Le droit à l’oubli numérique : leurre ou réalité ?

Le droit à l’oubli numérique : leurre ou réalité ?

Le nouveau règlement européen sur la protection des données personnelles («RGPD») est paru au journal officiel de l’Union européenne le 4 mai 2016 et entrera en application en 2018.

Il consacre le droit à l’oubli («right to be forgotten») ou droit à l’effacement des données personnelles sous la forme d’un article à part entière qui lui est consacré (art. 17). Le RGPD semble ainsi renforcer l’utilisation de ce droit, fort médiatisé depuis l’arrêt de la CJUE du 13 mai 2014 Google Spain (1). Dans cet arrêt, la CJUE établissait, entre autres, que les moteurs de recherche sont des responsables de traitement au sens de la directive européenne 95/46/CE de protection des données personnelles de 1995 et qu’ils sont donc soumis à ses exigences, incluant le droit à l’effacement des données. Celui-ci peut être mis en œuvre après analyse de l’équilibre nécessaire entre la protection de la vie privée des individus d’une part et le droit du public à accéder à ces informations et à les diffuser d’autre part.

Le droit à l’oubli est, en effet, fondamental pour le respect de la vie privée car l’information sur le web est difficile à faire disparaitre et elle peut avoir des conséquences préjudiciables pour la personne. Il ne s’agit pas de permettre d’effacer systématiquement toutes ses données ni de falsifier les archives et donc rétroagir sur le passé (syndrome des retouches de photos du régime stalinien), le nouveau règlement réservant bien entendu les cas où les données sont nécessaires à des fins historiques, statistiques ou de recherche scientifique, pour des raisons de santé publique, ou pour l’exercice du droit à la liberté d’expression. Le droit à l’oubli ne s’applique pas non plus lorsque la détention des données à caractère personnel est nécessaire pour la conclusion d’un contrat ou lorsque la loi l’exige. En dehors de ces cas, il s’agit de ne pas voir sa vie entravée par le rappel omniprésent de son passé, phénomène démultiplié par les environnements numériques.

Cependant, des critiques surgissent déjà sur le droit à l’oubli, qualifiant son apparition de phénomène cosmétique, n’apportant rien de nouveau par rapport aux dispositions de la directive de 1995, et regrettant l’occasion manquée d’aller plus loin.

On peut se demander ce qui justifie de telles critiques alors même que le RGPD prévoit explicitement plusieurs dispositions renforçant le droit à l’oubli numérique que nous allons présenter dans cet article (I). Nous verrons ensuite comment lever les doutes sur l’interprétation de ces dispositions (II).

I Les nouvelles dispositions du RGPD en matière de droit à l’oubli

Outre un article dédié au droit à l’oubli, plusieurs dispositions viennent renforcer ses effets.

A/ Un nouvel article sur le droit à l’oubli articulé avec un droit d’opposition renforcé

L’article 17 prévoit que toute personne peut obtenir d’un responsable de traitement l’effacement, dans les meilleurs délais, de données personnelles la concernant dans six cas énumérés. Rappelons que la directive 95/46/CE ne prévoyait l’effacement des données que comme un corollaire du droit d’accès à son article 12§b : «Les Etats membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement selon les cas,  rectification, effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive 95/46/CE, notamment en raison du caractère incomplet ou inexact des données ».

Il est donc précisé que ce droit peut désormais être exercé dans les cas où :

  1. Les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
  2. Le consentement était nécessaire lors de la collecte des données (ce qui vise les cas des données sensibles).
  3. La personne exerce son droit d’opposition «  pour des raisons tenant à sa situation particulière ». Le responsable de traitement doit démontrer l’existence de motifs légitimes et impérieux pour s’y opposer. La personne exerce son droit d’opposition à tout moment dans les cas de prospection et de profilage lié à celle-ci.
  4. Les données ont fait l’objet d’un traitement illicite.
  5. Elles concernent un mineur.
  6. L’effacement est prévu par une obligation légale (nouvelle loi ou décision de justice par exemple).

Cette liste de cas a pour vocation d’expliciter la définition de la politique d’effacement des données que le législateur européen veut promouvoir. Pour certains auteurs, le fait d’avoir prévu une liste limitative de cas permettant de demander l’effacement des données est une régression par rapport à l’article 12 de la directive 95/46/CE qui invoquait simplement la possibilité de demander l’effacement des données en cas de non-conformité à cette directive. Au-delà de l’intérêt de préciser les circonstances qui permettent d’utiliser ce droit, afin de sensibiliser le public aux applications concrètes dans leur vie quotidienne, il ne nous apparaît pas que le périmètre soit réduit, d’une part parce que la liste est assez exhaustive en elle-même et d’autre part, parce qu’elle prévoit l’effacement quand le droit d’opposition est mis en œuvre, droit lui-même étendu.

Le droit d’opposition en renfort du droit d’oubli

En effet, le droit d’oubli peut être invoqué comme suite du droit d’opposition détaillé à l’article 21 du RGPD. Or celui-ci a été revu et étendu. Il prévoit que « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement de données à caractère personnel la concernant […], y compris un profilage […]. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée […].» On peut considérer qu’il s’agit donc d’une inversion de preuve de la légitimité pour le droit d’opposition puisque dans la directive 95/46/CE, l’article 14 prévoyait que la personne concernée a le droit de « s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que les données la concernant fassent l’objet d’un traitement […]. En cas d’opposition justifiée, le traitement mis en œuvre par le responsable de traitement ne peut plus porter sur ces données.» Donc anciennement, la justification légitime devait être apportée par le demandeur pour exercer son droit d’opposition, dorénavant l’accent est mis sur la justification légitime qui doit être apportée par le responsable de traitement pour refuser la demande. Autrement dit, par défaut la demande d’effacement est valable, à moins que le responsable de traitement ne trouve une raison valable pour s’y opposer. On sait que la raison légitime impérieuse la plus fréquemment utilisée est celle du respect du droit à l’information du public. Certes, ce texte ne règlera pas l’emploi peut-être abusif de cet argument par les moteurs de recherche mais il paraît, de toutes manières, illusoire d’espérer trouver une formulation juridique qui remplacerait le travail d’analyse au cas par cas fait par les tribunaux. Ce sont les exemples jurisprudentiels et le recul d’expérience qui pourront sans doute à l’avenir aider le législateur à prescrire un cadre plus normatif, si tant est que cela soit souhaitable.

 Amélioration des délais de traitement des demandes

Le considérant 59 du RGPD prévoit, par ailleurs, pour toutes les demandes relatives aux droits d’accès, de rectification, d’effacement ou d’opposition que  «Le responsable de traitement devra être tenu de répondre aux demandes émanant de la personne concernée dans les meilleurs délais et au plus tard dans un délai d’un mois et de motiver sa réponse lorsqu’il a l’intention de ne pas donner suite à de telles demandes. » Actuellement, il est prévu en France une durée de deux mois de traitement pour les demandes faites auprès du responsable du site web qui a mis en ligne les données. Quant aux moteurs de recherche, leurs procédures ne prévoient pas d’engagement de délai.

 B/ Le cas de l’effacement des données de profilage est pris en compte par le RGPD

Le cas des activités de profilage et des données personnelles collectées à ces fins est aussi traité par le RGPD. C’est d’autant plus important que la majeure partie des données personnelles nous concernant et disponibles sur le web n’est pas issue d’un dépôt conscient de données de notre part mais bien d’une traçabilité complète de l’ensemble de notre navigation sur le web. Les volumes de données en résultant sont gigantesques et représentent le nouvel Eldorado du 21eme siècle : l’Eldoradonnées.

Le considérant 71 du RGPD donne la définition du profilage : « toute forme de traitement automatisé de données à caractère personnel visant à évaluer les aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des aspects concernant le rendement au travail de la personne concernée, sa situation économique, sa santé, ses préférences ou centres d’intérêt personnels, sa fiabilité ou son comportement, ou sa localisation et ses déplacements, dès lors qu’il produit des effets juridiques concernant la personne en question ou qu’il l’affecte de façon similaire de manière significative. »

Deux cas de figure sont prévus dans le règlement :

  • Cas du profilage à des fins de prospection commerciale 

La protection est alors farouche : toute personne peut demander l’effacement de ses données sans avoir à justifier de motifs légitimes impérieux (article 17§c qui fait référence au droit d’opposition de l’article 21§2).

Concernant le profilage à des fins de prospection, on voit la force du nouveau règlement qui permet d’obtenir l’effacement des données sans justification, et évite les contorsions juridiques auxquelles se livre actuellement la CNIL pour lutter contre l’utilisation incontrôlée des données par les réseaux sociaux ou les courtiers en données. Ainsi dans sa dernière mise en demeure adressée à Facebook le 8 février 2016 (dont on attend les derniers développements avec intérêt, la réponse de la société ayant été transmise à la CNIL le 10 août dernier), elle indique que si la question de la combinaison des données personnelles en vue de la publicité est bien évoquée dans les conditions d’utilisation du réseau social, c’est insuffisant de son point de vue. La combinaison de différentes données n’est pas strictement prévue par ce « contrat » entre l’usager et le réseau social, et nécessite donc une approbation distincte de l’internaute. On note qu’elle écarte l’argument de l’intérêt légitime, en remarquant que Facebook ne pourrait s’affranchir de ce consentement explicite en arguant que l’affichage de publicité est fait dans l’intérêt de l’usager car selon elle, cet intérêt est trop faible et la collecte de données trop intrusive pour que Facebook se dispense d’un consentement.

  • Cas du profilage à d’autres  fins :

La personne peut demander l’effacement (article 17§c qui fait référence au droit d’opposition de l’article 21§1) mais le responsable de traitement peut y opposer un motif légitime impérieux. Cette notion d’intérêt légitime du responsable de traitement est éclairée au considérant 47 et peut servir de base juridique à un traitement « à moins que les intérêts ou les libertés et droits fondamentaux de la personne concernée ne prévalent, compte-tenu des attentes raisonnables des personnes concernées fondées sur leur relation avec le responsable de traitement. » Cet intérêt légitime peut être mis en avant notamment quand « la personne concernée est un client du responsable de traitement ou est à son service. » Mais « les intérêts et droits fondamentaux de la personne concernée pourraient prévaloir […] sur l’intérêt du responsable du traitement lorsque des données à caractère personnel sont traitées dans des circonstances où les personnes concernées ne s’attendent raisonnablement pas à un traitement ultérieur. » Ainsi, on peut s’attendre à ce qu’un réseau social, s’il veut pouvoir s’appuyer sur son intérêt légitime, soit obligé d’être beaucoup plus transparent sur les différents modes de traitement des données personnelles qu’il prévoit et qui sont difficiles à deviner pour l’utilisateur non-averti. Ainsi, au-delà des conditions générales d’utilisation des services que personne ne lit car libellées trop juridiquement donc peu compréhensibles pour un utilisateur lambda, il conviendrait que, lors de l’inscription à un réseau social, celui-ci informe clairement l’utilisateur des utilisations prévues de ses données, ce qui lui permettrait plus facilement ensuite de défendre son intérêt légitime.

C/ Le droit de suite du droit d’effacement

L’article 17§2 explicite aussi les responsabilités du responsable de traitement en cas  de diffusion des données à d’autres responsables de traitement. Celui-ci a l’obligation de transmettre la demande d’effacement qu’il a été contraint de mettre en œuvre, à l’ensemble des responsables de traitement qui utilisent les données concernées. Il doit le faire en prenant des « mesures raisonnables », « compte-tenu des technologies disponibles et des coûts de mise en œuvre ». Ces responsables de traitement doivent procéder à leur tour à l’effacement de toute copie ou reproduction de ces données.

Cette obligation est mieux expliquée que dans la directive. D’une part, parce qu’on passe à une obligation de diffusion par défaut du droit d’effacement dont il faudra démontrer, le cas échéant, qu’elle est déraisonnable. La directive 95/46/CE portait l’emphase sur les difficultés techniques (article 12§c) : « si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné ». D’autre part, parce que la transmission de la demande d’effacement est explicitement prévue : « le responsable de traitement […] prend des mesures raisonnables […] pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci. » Auparavant, dans la directive 95/46/CE, il n’était pas précisé si les responsables de traitement « secondaires » étaient simplement informés de la demande d’effacement ou s’ils devaient eux-mêmes la mettre en œuvre.

Ceci établi, comment mettre en œuvre efficacement ce droit à la diffusion de la demande d’effacement ? Si l’éditeur du site web à l’origine de l’information est contraint d’effacer le contenu incriminé, il doit prévoir un mécanisme pour transmettre la demande d’effacement à l’ensemble des acteurs du web qui font une référence à ce contenu ou l’ont repris à leur compte. Pour cela, il peut soit supprimer ou mettre à jour la page web relative au contenu incriminé, soit bloquer l’accès au contenu en le protégeant par un mot de passe, soit utiliser des balises spéciales dans le fichier robots.txt du site (fichier placé à la racine d’un site web, et qui contient une liste des ressources du site qui ne sont pas censées être indexées par les robots d’indexation des moteurs de recherche). Ainsi, lors des mises à jour des liens de référencement, les contenus concernés ne seraient plus repris. Cela paraît une solution efficace pour les moteurs de recherche. Par contre, le fichier robots.txt étant lisible par n’importe quelle personne, il ne faudrait pas que les URL référencées soient trop explicites (certaines contiennent le nom de la personne et le titre du scandale), afin d’éviter que la demande d’effacement ne soit rendue publique, ce qui pourrait provoquer le contraire de l’effet recherché (« effet Streisand »). Une idée pourrait être d’anonymiser les libellés des URL en utilisant une fonction de hachage, mais cela demandera une évolution du fonctionnement des moteurs de recherche.

Au-delà des moteurs de recherche, tout site web relatant le contenu incriminé devrait être mis à jour. Pour cela, on pourrait imaginer que les éditeurs aient l’obligation de vérifier périodiquement que les liens de référencement qu’ils utilisent n’ont pas été « blacklistés ». Si c’est le cas, non seulement le lien devrait être supprimé mais le contenu qui a été repris par le site web devrait aussi être effacé ou mis à jour. Encore une fois, des évolutions seront nécessaires car cette veille sur la pertinence des liens référencés n’existe pas actuellement.

D/ L’apparition d’un nouveau droit complémentaire : le droit à la limitation du traitement

A ceci, s’ajoute le nouveau droit à la limitation du traitement (article 18). Dans sa définition à l’article 4, il est indiqué qu’il s’agit du « marquage de données à caractère personnel conservées, en vue de limiter leur traitement futur ». Comme le considérant 67 l’explicite plus simplement, ce droit permet d’obtenir la suspension de l’utilisation des données par le responsable de traitement. Sur le web, cela se traduit par la désactivation temporaire de l’accès aux données. Cette disposition est prévue pendant le temps nécessaire à la vérification de la demande de la personne, dans les cas suivants :

  • inexactitude des données,
  • traitement illicite,
  • le responsable de traitement n’a plus besoin des données mais celles-ci sont encore nécessaires à la personne concernée pour la constatation, l’exercice ou la défense de droits en justice,
  • exercice du droit d’opposition, le temps que le responsable de traitement vérifie si ses motifs légitimes et impérieux prévalent sur ceux de la personne concernée.

Concrètement, on peut interpréter ce droit comme une possibilité d’obtenir la suspension temporaire de l’accès à ses données, dès qu’on a formulé une demande d’effacement, pendant la durée du processus de traitement de la demande, et même si celle-ci sera finalement refusée. Le considérant 67 donne plusieurs indications des mesures techniques qui pourraient être prises à ces fins. Cette disposition est redoutablement efficace pour la personne qui utilise le droit d’effacement pour une raison valable et n’a pas ainsi à supporter un délai d’attente qui peut paraître très long dans certaines situations, même si le RGPD le limite désormais à un mois.

Cette nouvelle disposition aussi intéressante soit-elle pour la personne qui l’exerce à bon escient, risque d’occasionner un certain nombre d’abus. En effet, alors qu’aujourd’hui on constate une majorité de refus de demandes de déréférencement  de la part des moteurs de recherche, il faudrait pourtant désormais qu’ils commencent par accepter la limitation du traitement pour chaque demande. Il serait en effet étonnant que les utilisateurs ne se saisissent pas de l’occasion de faire cesser immédiatement le tort dont ils pensent être la victime. On voit bien les atteintes à la liberté d’expression qui pourraient en découler quand la demande concerne le site éditeur à l’origine de l’information…Mais on peut aussi considérer que cette disposition aura un effet positif et que les demandes seront traitées dans un délai extrêmement court, afin d’écarter les demandes abusives et de rétablir l’accès à l’information… A quel coût ?

E/ Durée de conservation

Le RGPD prévoit une nouvelle obligation concernant les délais de conservation des données. Désormais le responsable de traitement devra indiquer la durée prévue de conservation des données lors de la collecte des données (article 13). Ceci contribue aussi à la sensibilisation des différentes parties à la notion d’oubli numérique.

Les détracteurs du droit à l’oubli du RGPD utilisent d’ailleurs l’argument de la notion de délai de conservation pour démontrer que le nouveau règlement n’apporte rien de neuf. Certes la notion de définition de durée de conservation des données par le responsable de traitement existe depuis 1978 en France et a été codifiée dans la directive 95/46/CE, imposant de facto le droit à faire disparaître les données au-delà d’un certain délai. Mais cette disposition n’apparaissait que comme un corollaire de la définition de la durée de conservation de la même manière que le droit d’effacement n’était prévu que comme corollaire du droit d’accès.

Le nouveau règlement distingue les différentes notions : droit d’accès, durée de conservation, droit d’oubli qui peuvent donc être invoqués indépendamment les uns des autres.

F/ Des pénalités financières très dissuasives

Enfin, quelle que soit l’interprétation des nouvelles dispositions du droit à l’oubli, un élément important vient s’ajouter en sa faveur : celui du montant des amendes désormais prévues dans le nouveau règlement. L’article 83§5 sanctionne le non-respect des droits dont bénéficient les personnes en vertu des articles 12 à 22, d’une amende administrative plafonnée à 20 millions d’euros ou pour les entreprises, jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. En cas de doute, il est fort probable qu’un responsable de traitement hésitera à risquer de telles sommes alors même que la simple suppression du contenu incriminé ne lui fait courir aucun risque ni perdre aucune énergie en défense juridique. Les détracteurs du droit à l’oubli s’interrogent ainsi sur la liberté d’expression et le rôle de censeur que risquent de jouer les intermédiaires internet soumis à une telle pression financière. Le jour où de tels montants d’amendes seront réellement appliqués peut paraître cependant encore lointain, quand on voit que l’autorité française, la CNIL, a toujours utilisé avec parcimonie son propre pouvoir de sanction financière, certes peu dissuasif puisque limité à des amendes de 150 000€, doublées en cas de récidive. Mais vu la guerre économique actuelle entre Europe et Etats-Unis, nul doute que ce nouvelles dispositions pourraient s’avérer fort utiles.

Ainsi, on le voit, le nouveau règlement européen de protection des données personnelles prévoit une série de dispositions précises et détaillées pour mettre en œuvre le droit à l’oubli. Cependant, pour certains observateurs, celles-ci ne sont pas suffisamment explicites vis-à-vis des intermédiaires internet et manquent donc ainsi leur objectif principal qui serait de contrôler l’utilisation des données personnelles par les  intermédiaires internet.

II Les doutes sur l’applicabilité du droit à l’oubli sont-ils fondés ?

On se rappelle que l’arrêt de la CJUE de 2014 avait déclenché la panique des partisans de la liberté d’expression sur le net. On vient de voir que les dispositions du nouveau règlement viennent renforcer encore le domaine du droit à l’oubli. Pourtant des voix s’élèvent ici et là pour dénoncer la médiocrité du nouveau règlement à ce sujet et y voir le triomphe des lobbies des intermédiaires internet.

A/ Quid de la responsabilité des moteurs de recherche en matière de droit à l’oubli ?

Certains auteurs critiquent l’absence de mention explicite de l’assimilation des moteurs de recherche à des responsables de traitement dans le RGPD. Encore une fois, la vocation du règlement étant de rester d’actualité le plus longtemps possible, il paraît inopportun de citer des catégories de responsables de traitement, ce qui pourrait se révéler restrictif dans le futur et empêcher d’y inclure de nouveaux acteurs (par exemple l’internet des objets connectés). D’ailleurs, les moteurs de recherche sont loin d’être les seuls à référencer du contenu puisque tous les sites web par essence peuvent comporter des liens vers d’autres sites.

D’autre part, il paraît difficile d’imaginer que la jurisprudence de la CJUE dans l’affaire Google Spain de mai 2014 puisse être remise en cause sur ce point : si un moteur de recherche a pu être considéré comme étant à l’évidence un responsable de traitement selon les dispositions de la directive 95/46/CE, rien dans le règlement ne devrait permettre de faire marcher arrière. Les définitions qui avaient permis d’étayer la démonstration de la CJUE sur ce sujet n’ont pas varié dans le RGPD et permettent toujours de considérer comme traitement les activités des moteurs de recherche qui se distinguent des et s’ajoutent à celui des éditeurs de site web et affectent de manière additionnelle les droits fondamentaux de la personne concernée.

Le seul changement de définition (pour les termes « traitement de données » et « responsable de traitement » correspond à l’ajout du terme « structuration de données » (art 4§2) dans la définition d’un traitement des données, ce qui concerne entre autres les moteurs de recherche.

Par ailleurs, contrairement à une opinion largement répandue, il n’est pas prouvé que jusqu’à l’arrêt de la CJUE de mai 2014, il était impossible de considérer les moteurs de recherche comme des responsables de traitement au sens de la directive 95/46/CE. En effet, si l’on examine le document d’interprétation de référence du Groupe de travail « Article 29 » sur la protection des données : l’Avis 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche adopté le 4 avril 2008, on peut lire en conclusion : « À cet effet, il convient de bien distinguer les deux principaux rôles des fournisseurs de moteurs de recherche. Dans le premier, celui de responsables du traitement des données d’utilisateur (comme les adresses IP qu’ils collectent auprès des utilisateurs et leur historique de recherche propre), ils doivent être tenus pour entièrement responsables au titre de la directive sur la protection des données. Dans le second, celui de fournisseurs de données de contenu (comme les données de l’index), en général ils ne doivent pas être considérés comme les principaux responsables, au regard de la législation européenne protégeant les données, des données à caractère personnel qu’ils traitent. Les exceptions sont l’existence d’une mémoire cache à long terme et les opérations à valeur ajoutée effectuées sur les données à caractère personnel (comme les moteurs de recherche destinés à établir des profils de personnes physiques). Lorsqu’ils fournissent ce genre de services, les moteurs de recherche doivent être tenus pour entièrement responsables au titre de la directive sur la protection des données, et ils doivent respecter toutes les dispositions applicables en la matière. »  Plutôt qu’une restriction sur la possibilité de considérer les moteurs de recherche comme des responsables de traitement au sens de la directive 95/46/CE, cet avis démontre que la plupart des grands fournisseurs mondiaux de moteurs de recherche peuvent être considérés comme tel puisqu’ils sont effectivement concernés par les exceptions soulevées et qui représentent le cœur de leur modèle économique. D’ailleurs l’avis précisait aussi que dans certains États membres de l’UE, les autorités de protection des données avaient déjà spécifiquement réglementé l’obligation des fournisseurs de moteurs de recherche de retirer des données de contenu de l’index de recherche, sur la base du droit d’opposition consacré à l’article 14 de la directive sur la protection des données (95/46/CE).

Il nous apparaît donc que le déréférencement est une modalité établie de la mise en œuvre du droit à l’oubli qui s’applique aux moteurs de recherche.

B/ Déréférencement versus droit à l’oubli ?

Une autre critique concerne le fait l’absence de mention formelle du terme « droit au déréférencement » dans  le nouveau règlement. Pourtant les termes « effacement de liens » sont cités textuellement à l’article 17. Par ailleurs, le déréférencement, consistant en l’effacement de liens pointant sur une source primaire d’informations, est l’un des moyens permettant de mettre en œuvre le droit à l’oubli, autrement dit un outil technique qu’il ne paraît pas opportun de faire apparaître dans un règlement européen.

Donc, pour obtenir l’effacement de ses données personnelles, on peut :

  • soit s’adresser au site web qui les a initialement utilisées et publiées : le responsable de traitement primaire. Si la demande est valable, le responsable du site web éditeur a la responsabilité de supprimer le contenu incriminé ou de le mettre à jour (article 17§1). De plus, il doit prévoir un dispositif technique pour transmettre aux autres responsables de traitement la requête d’effacement des données ou des liens vers ces données, soit l’obligation de déréférencer (article 17§2). C’est bien entendu, la méthode la plus efficace pour la personne concernée puisqu’elle n’a pas à contacter tous les utilisateurs de ses données. Une chaîne automatique d’effacement devra se propager sur le web.
  • soit s’adresser aux différents responsables de traitement secondaires (moteurs de recherche ou éditeurs d’autres sites web qui ont repris l’information) pour qu’ils effacent la copie ou reproduction des données ou des liens permettant de revenir à la source primaire. Ceux-ci sont, en effet, des responsables de traitement à part entière, qui sont donc contactés au titre de l’article 17§1 et non par effet du droit de suite du droit d’effacement.
  • soit enfin faire les deux demandes en parallèle.

Dans le premier cas, les données seront définitivement effacées si la demande est acceptée mais pourront rester visibles pendant plusieurs mois via les moteurs de recherche, le temps qu’ils mettent à jour leurs liens.

Dans le deuxième cas, elles resteront accessibles sur le site d’origine, que ce soit à partir d’autres requêtes que celles de votre nom, ou par le biais d’autres moteurs de recherche auxquels on ne s’est pas adressé ou d’autres sites web reprenant l’information. Mais si l’on s’adresse aux principaux moteurs de recherche du web, cela permet d’obtenir un résultat très efficace.

Ceci est possible car même si le responsable de traitement primaire a pu objecter adéquatement à  la demande, nul n’empêche la personne concernée de diriger sa demande vers les responsables de traitement secondaires qui ne pourront peut-être pas opposer le même type d’objections et seront obligés de supprimer les données concernées et donc dans le cas des moteurs de recherche, de supprimer les liens avec la source primaire. Comme la jurisprudence de la CJUE de mai 2014 sur le droit au déréférencement l’a établi, il est en effet valable de demander un déréférencement à un moteur de recherche alors même que la demande d’effacement des données publiées par la source primaire n’est pas agréée car contraire au droit d’information. En effet, même si la publication initiale est licite et doit être préservée, l’intérêt légitime justifiant le traitement par le moteur de recherche n’est pas forcément le même. Or l’accessibilité et la diffusion des informations par le moteur de recherche sont susceptibles de constituer une ingérence plus importante dans le droit fondamental au respect de la vie privée de la personne que la publication par l’éditeur sur une page web, publication rapidement reléguée dans les archives du site.

Le nouveau règlement s’applique désormais explicitement de manière extra-territoriale  (article 3). Il s’applique aux données personnelles des citoyens européens quelles que soient la localisation du responsable de traitement ou de son sous-traitant. On peut en déduire que les données doivent donc être protégées de manière uniforme indépendamment des modalités pour y accéder, notamment l’endroit géographique depuis lequel on y accède. C’est le sens du combat que livre la CNIL depuis 2015 contre Google, en exigeant que le déréférencement soit effectif quelle que soit l’extension géographique du moteur de recherche utilisé. L’universalité du traitement de données que procure un moteur de recherche impose ce déréférencement universel pour qu’il soit réellement efficace.

On peut même se demander si le règlement ne permet pas d’aller encore plus loin que l’apport de l’arrêt de 2014 : en effet, l’article 17§2 indique « informer les responsables du traitement  qui traitent les données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel ». Il n’est pas précisé que c’est uniquement la recherche avec l’identité de la personne (nom-prénom) qui ne doit plus ramener le ou les liens vers le contenu concerné. Bien sûr, la recherche par l’identité est la plus banale mais une fois que le droit au déréférencement sera devenu commun, ne voudra-t-on pas aller plus loin ? En poussant le raisonnement, le RGPD ne permet-il pas d’obtenir l’effacement de liens obtenus par recherche avec des mots-clés spécifiques au contenu ? Par exemple, si le nom de la personne est associé à un scandale X survenu à la date Y dans le lieu Z, ne faudrait-il pas prévoir de supprimer les liens relatifs à ces trois mots-clés ? On imagine aisément la difficulté de l’exercice….mais la formulation du règlement est suffisamment large pour que cela ne soit pas exclu…

C/ Quid de la responsabilité des fournisseurs de réseaux sociaux en matière de droit à l’oubli ?

La vraie question concerne les intermédiaires internet que sont les réseaux sociaux. Comme il n’y a pas encore eu de jugement de la CJUE du même type que celui concernant les moteurs de recherche, les interprétations de leur soumission au RGPD sont encore diverses et variées. Ceci peut paraître étonnant puisqu’à l’évidence, un réseau social comme Facebook prend déjà la peine d’essayer de se conformer avec la directive 95/46/CE actuelle. Ainsi, même si les outils qu’il déploie sont décriés pour leur incomplétude ou la difficulté de mise en œuvre, ils permettent déjà par exemple, d’effacer un compte complet ou d’effacer certaines des données de son compte. Et c’est parce qu’ils sont à l’évidence soumis aux exigences de la directive 95/46/CE que la CNIL a pu leur émettre une mise en demeure pour manquements à  certaines de ces exigences en  janvier 2016. D’ailleurs, si les moteurs de recherche sont considérés comme des responsables de traitement parce qu’ils enregistrent les données, les organisent dans le cadre de leurs programmes d’indexation, les conservent sur leurs serveurs et les mettent à disposition des utilisateurs sous la forme de listes de résultats de recherches, on voit difficilement comment les réseaux sociaux pourraient y échapper. Eux-aussi enregistrent des données, les organisent, les présentent sous différents formats et gèrent aussi bien des données personnelles que non personnelles.

Les particularités des réseaux sociaux :

Cependant, il est vrai qu’en raison de leur essence même, les réseaux sociaux posent un vrai problème en permettant la manipulation des données par une multiplicité d’intervenants. On dénombre, en effet, plusieurs catégories de données personnelles concernant une personne A sur les réseaux sociaux :

  • Celles déposées et publiées par la personne A : certaines sont obligatoirement publiques parce que la configuration du réseau le prévoit (ex : photo du profil) et d’autres sont publiques par défaut mais l’utilisateur peut les rendre privées pour un groupe restreint (ce qui n’est pas toujours facile à configurer, notamment la visibilité par défaut de nos publications par les « amis » de nos « amis »).
  • Celles publiées par d’autres personnes (par exemple lorsqu’elles publient une photo de la personne A).
  • Celles générées par les réseaux sociaux à partir de l’activité de A sur les réseaux ou d’autres sites (traçage de la navigation grâce à l’installation de cookies permettant, entre autres, de cibler la publicité qui apparaît sur le réseau social). La personne est le plus souvent inconsciente de cette accumulation de données la concernant, sauf quand le ciblage publicitaire est particulièrement évident (ex : je viens de faire une recherche sur un lieu de vacances, le réseau social m’inonde de publicités d’hôtels ou de vols pour cette destination dans les minutes qui suivent). Remarque : un moyen d’y échapper est d’utiliser le mode de navigation privé de son navigateur internet pour désactiver le suivi de traces.

 Effacer ses données personnelles, oui, mais qui en est maître ?

Ainsi, autant le droit à l’effacement de ses propres données qu’on a soi-même déposées sur son compte social se conçoit et est déjà possible en pratique, autant propager ces suppressions sur les autres comptes d’utilisateurs pose problème ainsi que contrôler l’ensemble des posts relatifs à sa personne, sans compter l’absence de maîtrise de la collecte de ses données de navigation.

En effet, si la suppression d’une publication de son compte se propage automatiquement dans les comptes amis même s’ils avaient aimé, partagé ou commenté le post, il n’en est pas de même si l’ « ami » a repris à son compte la publication, c’est-à-dire s’il a repris la photo et l’a publiée sans lien avec la publication d’origine. Ou plus simplement, si un « ami » a fait une publication concernant une autre personne. Quelle est alors la responsabilité du réseau social ? L’option de suppression d’autorité d’un contenu déposé par une personne B à la demande d’une personne A paraît à exclure tant elle met en cause la liberté d’expression, sauf dans les cas abusifs punis pénalement.

Dans la logique de la directive 95/46/CE de 1995, on a pu imaginer que tout utilisateur d’un réseau social devenait lui-même responsable de traitement des données qu’il collectait, qu’il enregistrait et qu’il utilisait (publication sur le réseau), qu’il s’agisse de ses propres données ou de celles d’autrui, et donc qu’à ce titre il était soumis aux exigences de protection des données personnelles. En effet, si le considérant 12 de la directive excluait déjà les traitements de données réalisés dans le cadre d’activités personnelles, il ne citait que la correspondance et la tenue de répertoire d’adresses, activités sans commune mesure avec l’activité sur un réseau social. C’était la thèse développée par le Dr Rebecca Wong dans un excellent article de 2008 intitulé « Social Networking : Anybody is a Data Controller ». Il semble cependant que cette idée n’ait pas prospéré et que les actions en diffamation aient été privilégiées par les plaignants, plutôt que les plaintes pour non-respect des exigences de la directive 95/46/CE.

Dans le RGPD, cette idée semble définitivement écartée puisque le considérant 18 mentionne que « le présent règlement ne s’applique pas aux traitements de données à caractère personnel effectués par une personne physique au cours d’activités strictement personnelles ou domestiques, et donc sans lien avec une activité professionnelle ou commerciale. Les activités personnelles ou domestiques pourraient inclure l’échange de correspondance et la tenue d’un carnet d’adresses, ou l’utilisation de réseaux sociaux et les activités en ligne qui ont lieu dans le cadre de ces activités. » Donc l’utilisateur de réseaux sociaux ne peut être assimilé à un responsable de traitement au sens du RGPD. L’article 2 du règlement indique aussi que « Le présent règlement ne s’applique pas au traitement de données à caractère personnel effectué par une personne physique dans le cadre d’une activité strictement personnelle ou domestique« .

Les réseaux sociaux sont des responsables de traitement au sens du RGPD dans leur relation avec chaque utilisateur, pas entre utilisateurs 

Le considérant 18 poursuit en indiquant : « Toutefois, le présent règlement s’applique aux responsables de traitement ou aux sous-traitants qui fournissent les moyens de traiter des données à caractère personnel pour de telles activités personnelles ou domestiques. »

Ce faisant, ce considérant reprend donc l’ancien considérant 12 de la directive 95/46/CE en le renforçant significativement puisque ce dernier ne mentionnait pas le cas des réseaux sociaux (ils n’existaient pas en 1995) et ne prévoyait donc pas le cas de responsabilité des réseaux en tant que responsables de traitement…

Ceci apporte donc une réponse formelle aux interrogations de certains sur la soumission des fournisseurs de réseaux sociaux au RGPD. La nouvelle réglementation doit être interprétée à la lumière de ses considérants qui prévoient explicitement le cas des réseaux sociaux. Dans le cas qui nous intéresse ici, à savoir le droit à l’oubli, ceux-ci ont donc la responsabilité de mettre en œuvre un mécanisme adéquat pour répondre à la demande d’une personne A de suppression de ses données personnelles qu’elle les aient déposées volontairement ou non (traçabilité des activités de navigation).

Par contre, le problème se pose concernant les données personnelles d’une personne A publiées par un autre utilisateur B sur un réseau social. Celui-ci étant une personne physique, il ne sera donc pas soumis au RGPD (les autres tiers, personnes morales partenaires du réseau social sont bien entendu concernés par le droit de suite du droit d’effacement). Cet utilisateur B reste cependant soumis aux exigences du droit à l’image et au respect de la vie privée, comme actuellement. C’est pourquoi, les réseaux sociaux prennent déjà des mesures pour répondre aux demandes de suppression de données personnelles utilisées abusivement par des tiers : signalement de contenus abusifs, haineux, diffamatoires, injurieux ou contraires aux standards de la communauté, signalement d’infractions à la vie privée et droit à l’image, cas de harcèlement, informations concernant des mineurs et possibilité de faire un retrait d’identification sur les photos.

Ainsi, en dehors de ces cas prévus et détaillés dans les conditions d’utilisation du service, il paraît difficile actuellement de faire supprimer des données personnelles utilisées de manière non abusive par un tiers, simplement parce qu’elles nous gênent.

Le RGPD a donc pour but de protéger l’exploitation des données personnelles par les entreprises ou les organisations publiques. Il n’a pas vocation à gérer les relations entre particuliers. Donc le réseau social doit être considéré comme un responsable de traitement soumis au RGPD dans son lien individuel avec chaque personne utilisatrice de ses services, mais pas comme tel dans les liens entre les personnes utilisatrices. Et celles-ci œuvrant dans le cadre d’une activité personnelle ne peuvent être assujetties aux exigences du RGPD.

Alors, comment aller plus loin pour se protéger de l’utilisation de ses données personnelles par d’autres utilisateurs de réseaux sociaux ?

Il serait souhaitable que les réseaux sociaux jouent un rôle de sensibilisation à la protection des données personnelles. Ainsi, ils pourraient prévoir une fonctionnalité formelle de demande de suppression de données personnelles entre utilisateurs, incitant le tiers à retirer le contenu indésirable, par crainte d’éventuelles suites judiciaires. Il pourrait aussi s’agir de mettre en place des mesures incitatives pour les utilisateurs les plus signalés qui ne répondent pas aux demandes de suppression, en les bannissant de manière temporaire du réseau. Ceci ne va évidemment pas dans le sens de l’intérêt légitime des réseaux sociaux et peut de toutes manières faire aussi l’objet d’abus.

Mais au fond, on peut se demander si le réel problème se situe au niveau des informations publiées par les tiers. En dehors des cas abusifs qui peuvent souvent faire l’objet d’une procédure de signalement, et en dehors des données collectées à des fins de profilage qui sont désormais encadrées par le RGPD, toute personne n’a-t-elle pas intérêt à nettoyer d’abord son compte des données qu’elle a elle-même enregistrées et publiées, et qui dans bien des cas sont celles qui lui font le plus tort? Pour cela, des outils existent déjà, qui lui permettent d’accéder à son historique d’actions et de supprimer tout ou partie des données. Si la confidentialité du compte est bien paramétrée, l’utilisateur ne diffuse qu’à destination de ses amis. En personnalisant davantage cette diffusion, on peut la restreindre et empêcher que les « amis » d’ « amis » aient accès à ses publications. On peut aussi empêcher que son compte soit disponible depuis un moteur de recherche.

De cette analyse, il nous apparaît que le nouveau règlement européen sur la protection des données personnelles représente une avancée importante sur le droit à l’oubli numérique, consolidant les apports de la jurisprudence de la CJUE de mai 2014 et proposant de nouvelles possibilités sur les données personnelles des citoyens européens. Cependant, au-delà des textes législatifs qui auront toujours un peu de retard par rapport aux innovations technologiques, il est grand temps d’adapter l’éducation des citoyens à ces nouveaux défis numériques. L’apprentissage des outils pour gérer ses données personnelles devrait faire l’objet de cours dispensés dans le cursus scolaire le plus tôt possible afin de traiter le problème à la source et donner aux enfants des réflexes de survie en environnement numérique. Dans ce domaine, comme ailleurs, prévenir vaut toujours mieux que guérir et le droit à l’oubli numérique devrait sans doute commencer par s’oublier un peu soi-même.

 

(1) CJUE du 13 mai 2014 Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González – affaire C-131/12

 

Tous les articles de ce blog sont la propriété exclusive de son auteur. Toute reproduction (hormis une brève citation en précisant la source et l’auteur) sans l’autorisation expresse de l’auteur est interdite.

 

 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *