Le projet de règlement sur les données personnelles prévoit de rendre effectif le droit à l’oubli dans toute l’Europe. En France, la CNIL a lancé deux consultations, l’une publique l’autre privée, avant de participer à ce débat à Bruxelles. Comme les acteurs du web 2.0 hier, le Medef repousse lui aussi ce dispositif que la CNIL aimerait coupler à un droit à la désindexation.
Si l’idée de mettre en place un droit à l’oubli, par lequel tous les internautes pourraient obtenir l’effacement de leurs données personnelles est séduisante (voir l'émission 14h42), les critiques fusent lorsqu’il s’agit d’en envisager la mise en œuvre. Hier, les acteurs du web réunis autour de l’ASIC (Facebook, Microsoft, Google, etc.) avaient démultiplié les critiques pour dénoncer les dangers d’un tel système. Dans la même veine, le Mouvement des entreprises de France a adressé ce courrier (PDF) à la CNIL pour dresser les points noirs de ce projet européen.
Ce droit à l’oubli serait d’abord redondant avec plusieurs autres dispositions déjà en vigueur comme le droit d’opposition et de rectification, en leur ajoutant cependant une « complexification inutile ». Elle juge, comme l’association des acteurs du web communautaire, que cette notion pourrait « avoir pour conséquence d’induire en erreur les citoyens et par la même de les déresponsabiliser notamment relativement aux contenus qu’ils publient sur Internet ». L’organisation estime en outre que si ce droit peut se concevoir dans les certains services comme les réseaux sociaux, une application trop vaste de ce droit est « préoccupante en ce qu’elle emportera des conséquences majeures et injustifiées pour l’ensemble des secteurs. »
Ce n’est pas tout. L’article 17-2 du projet impose une mécanique bien huilée : quand une personne demande un effacement de données, le responsable du traitement doit « prendre toutes les mesures raisonnables (…) en vue d'informer les tiers » qui traiteraient à leur tour ces mêmes informations personnelles.
Droit à l'oubli, oubli du droit ?
Là encore, l’application de cette obligation, dont les défauts seraient sanctionnés, risque d’être délicate si ce n’est impossible, estime le Medef : comment distinguer entre l’information rendue publique à un nombre indéterminé de personnes de celle rendue accessible à un groupe d’individus ? Cela pourrait même conduire à accentuer la responsabilité des intermédiaires et donc à les contraindre à surveiller de près les flux alors que cette obligation de surveillance active est expressément exclue par le droit européen. L’organisation patronale préconise plutôt des mesures de pédagogie sur la sensibilité des données publiées sur internet touchant à la vie privée.
Ce n’est pas tout, le Medef rappelle que cette obligation de droit à l’oubli va devoir s’articuler finement avec d’autres pans, comme le droit des assurances, le droit bancaire, la lutte contre le terrorisme, etc. qui tous exigent des durées de conservation des données variables. La CNIL propose en effet de rendre à l’internaute la maitrise de ses données et d’instaurer en ce sens une date de péremption des publications, souverainement décidée par l’individu. Trop complexe, trop coûteux, trop hasardeux juge en substance le Medef.
Dans les pistes formulées lors de sa consultation, la CNIL voudrait encore que l’individu qui ne parvient pas à mettre en œuvre son droit à l’oubli chez un éditeur puisse se retourner contre l’hébergeur. Une extension de responsabilité pour le moins curieuse, répond l’organisation, alors que les hébergeurs ne sont tenus d’effacer que les données présentant un caractère manifestement illicite. Dans tous les cas, il devrait revenir au juge de trancher ces questions puisque seul celui-ci est apte à déterminer si un contenu est illicite.
Même réponse en substance quand la CNIL veut coupler au droit à l’oubli « une obligation juridique de déréférencement sans délai à la charge des moteurs de recherche, dès lors que l’internaute aurait obtenu l’effacement de l’information initiale ». Inutile pour le Medef, qui croit en l'utilité des mesures déjà en vigueur techniquement. « Les moteurs mettent déjà à disposition des internautes et des responsables de traitement une procédure de désindexation d’urgence afin de désindexer la page sur laquelle est situé le contenu, à activer dans les cas dans lesquels l’internaute a obtenu l’effacement de l’information initiale. »
Usine à gaz ?
Et quant à l’idée d’offrir au particulier « la possibilité pour l’internaute de gérer l’indexation de ses données », en paramétrant pour chaque donnée, celles qu’il souhaite voir indexées ou ignorées par les moteurs, le Medef oppose la nécessaire protection du référencement naturel et l’importance de distinguer entre les données publiées sur les réseaux sociaux et celles diffusées sur d’autres sites. Il craint là encore l’usine à gaz puisqu’il faudrait démultiplier les codes d’exclusion dans tous les moteurs.
Enfin, le projet européen songe à inclure un droit à la portabilité des données, qui permettrait à chaque individu d’obtenir du responsable du traitement la copie des informations le concernant. Le droit à la portabilité pourrait ainsi épauler le droit à l’oubli lorsque le particulier demande concomitamment récupération et effacement. Le Mouvement des entreprises de France démultiplie là aussi les critiques, jugeant la disproportion de ce droit et rappelant là encore les différentes obligations en termes de durée de prescription légale ou réglementaire. Surtout, le droit à la réappropriation des données pourrait en outre générer un « coût considérable » pour les entreprises, soulevant des problématiques aiguës de sécurité des transmissions, alors que dans le même temps aucune étude d’impact n’est venue jauger ce dispositif futur.
