Droit à l’oubli, territorialité et données sensibles : Google marque un premier point devant la CJUE

Droit à l’oubli, territorialité et données sensibles : Google marque un premier point devant la CJUE

.Com outragé, .Com martyrisé mais .Com libéré !

Avatar de l'auteur
Marc Rees

Publié dans

Droit

10/01/2019 12 minutes
3

Droit à l’oubli, territorialité et données sensibles : Google marque un premier point devant la CJUE

L’avocat général de la CJUE a rendu ses conclusions (non contraignantes) dans deux affaires relatives au droit à l’oubli dans les moteurs de recherche, en particulier Google. Elles concernent la portée territoriale de ce droit, outre le sort des données sensibles dans ce traitement automatisé. Une nouvelle jurisprudence est attendue.

Comme prévu, Maciej Szpunar, avocat général à la Cour de justice de l'Union européenne (CJUE), a rendu ses opinions dans deux affaires relatives au droit à l’effacement (ou droit à l’oubli) dans les moteurs de recherche. Deux dossiers adressés à la juridiction à la demande du Conseil d’État.

Pour mémoire, dans son arrêt Costeja du 13 mai 2014, la cour avait estimé que Google était soumis à la directive de 1995 sur les traitements des données personnelles, par ses filiales publicitaires.

Dans la foulée, la cour a posé qu’un moteur réalise un traitement lorsqu’il indexe des données personnelles. Il doit dès lors respecter le droit à l’effacement réclamé par les personnes physiques, dès lors que des données ne respectent pas l’un de ces standards :

  • Les données à caractère personnel sont traitées loyalement et licitement
  • Les données sont « collectées pour des finalités déterminées, explicites et légitimes, et ne [sont pas] traitées ultérieurement de manière incompatible avec ces finalités »
  • Les données sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement »,
  • Les données sont « exactes et, si nécessaire, mises à jour »,
  • Les données sont « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ».

Toutefois, avait à cette occasion modulé la cour, ce droit doit être mis en balance avec d’autres intérêts, tels la liberté de la presse, le droit de recevoir des informations ou la liberté de communication. 

Plusieurs cas de figure n’ont pas été évoqués par l’arrêt Costeja. D’une part, la portée géographique du droit à l’effacement. D’autre part, la question des données sensibles, celles pour lesquelles les traitements sont par principe interdits. Deux arrêts rendus en France ont ainsi relancé l’épineuse question du droit à l’oubli dans ces scénarios.

La portée territoriale du droit à l’oubli

Saisie par une personne qui souhaitait voir effacer ses données personnelles sur l’ensemble des déclinaisons du moteur, la CNIL avait infligé une sanction de 100 000 euros à Google.

L’autorité plaidait pour un effacement mondialisé frappant notamment le .com, lorsque l’entreprise américaine souhaitait le limiter au seul périmètre européen (.fr, .it, .de, etc.). « Si nous devions appliquer la loi française partout dans le monde, combien de temps faudrait-il avant que d’autres pays – peut être moins libres et démocratiques  exigent à leur tour que leurs lois régulant l’information jouissent d’un périmètre mondial ? » avait estimé un porte-parole dans nos colonnes, à la porte du Conseil d’État (notre compte rendu).. Deux ans avant de préparer (puis abandonner) un moteur censuré pour la Chine

Devant la CJUE, la CNIL, le Défenseur des droits ainsi que les gouvernements français ont tous milité pour un déréférencement sur l’ensemble des noms de domaine, ce afin de lui donner un effet utile, efficace et complet à ce coup de gomme.

Analyse diamétralement opposée de Google, la fondation Wikimedia, la Fondation pour la liberté de la presse, les gouvernements irlandais, hellénique et polonais ou encore la Commission européenne : décider d’une telle portée planétaire « constituerait un précédent dangereux invitant des régimes autoritaires à exiger également la mise en œuvre à l’échelle mondiale de leurs décisions de censure ».

Pas de déréférencement mondial, la CNIL désavouée

Une analyse partagée par l’avocat général pour qui « les demandes de recherche faites en dehors du territoire de l’Union ne devraient pas souffrir d’un déréférencement des résultats de recherche ».

Pourquoi ? D’une part parce que sauf exception, le droit de l’Union ne s’applique que sur le territoire des 28 États membres. D’autre part, il se pose un problème de mise en balance des droits fondamentaux.

En consacrant un déréférencement mondial, il ne serait plus possible de faire la mise en balance soulignée par l’arrêt Costeja, à savoir entre les intérêts de la personne concernée et le droit à recevoir des informations.

Rejoignant les positions de Google, il considère que « si une autorité au sein de l’Union pouvait ordonner un déréférencement à l’échelle mondiale, un signal fatal serait envoyé aux pays tiers, lesquels pourraient ordonner également un déréférencement en vertu de leurs propres lois ».

De même, si ces pays tiers faisaient la même chose, « il existerait un risque réel d’un nivellement vers le bas, au détriment de la liberté d’expression, à l’échelle européenne et mondiale ». Ces affirmations sont fortes, mais non absolues, puisque l'avocat général ouvre une petite brèche au paragraphe 62 de ses conclusions. 

Une portée réservée à l’UE, au besoin par géoblocage

En tout cas, si l’effacement dans les moteurs n’est pas mondialisé, quelle peut être sa portée ? Déjà, l’AG demande à l’exploitant d’un moteur d’assurer « un déréférencement efficace et complet ».

Et il ne peut s’agir que d’une protection sur l’ensemble des territoires de l’Union européenne, pouvant passer par une solution de géoblocage par exemple.

Pourquoi cette portée européenne ? Car limiter l’effacement au seul pays du demandeur irait à l’encontre de l’objectif d’harmonisation. Cette solution a d’ailleurs été retenue par le règlement européen sur la protection des données personnelles, « directement applicable dans tout État membre ».

L’imbroglio des données sensibles

Le second dossier, plus complexe, concerne les données dites sensibles. Comme déjà rappelé dans nos colonnes, Google et la CNIL ont cette fois été d’accord : hors de question de faire droit à la demande d’effacement de quatre personnes physiques qui se plaignaient que leur nom se retrouve dans le moteur (notre compte rendu d'audience).

Dans un cas, une conseillère régionale d’Île-de-France souhaitait voir effacer le lien vers une vidéo laissant entendre des relations intimes avec le maire d’une commune dont elle fut directrice de cabinet. Dans un autre cas, un ex-responsable des relations publiques de l’Église de scientologie ne souhaitait plus que ses traces se retrouvent dans Google, alors que dans un article de 2008, Libération citait son nom et relatait le suicide d’une adepte.

Dans la troisième affaire, un ancien conseiller de Gérard Longuet avait vainement réclamé l’effacement de liens vers des articles rapportant sa mise en examen dans les années 90. Or, il avait bénéficié d’un non-lieu en 2010.

Enfin, un ex-animateur d'école avait demandé le retrait de sept liens vers des articles du Figaro et de Nice Matin relatif à sa condamnation en 2010 pour des actes pédophiles. Il avait depuis purgé sa peine (sept ans d’emprisonnement et une peine complémentaire de dix ans de suivi sociojudiciaire).

Un droit à l’effacement systématique

Problème : selon l’article 8, paragraphe 1, de la directive 95/46, les États membres doivent interdire le traitement des données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.

Cette directive a été rédigée avant le succès de Google et de ses concurrents, qu’elle ne pouvait présager. Dit autrement, une application stricte, souligne l’avocat général, « obligerait un moteur de recherche à contrôler qu’une liste de résultats affichée à la suite d’une recherche effectuée sur la base du nom d’une personne physique ne contienne pas de lien vers des pages Internet comportant des données visées par cette disposition, et ce ex ante et d’office, c’est-à-dire même en l’absence de demande de déréférencement d’une personne concernée ».

Un contrôle jugé ni possible ni souhaitable. Impossible car ce n’est pas le rôle d’un moteur de censurer a priori les contenus. Sa responsabilité ne peut donc s’envisager qu’après mise en ligne du contenu et son référencement.

Pour autant, si la responsabilité a posteriori de Google est reconnue, celui-ci doit-il faire droit automatiquement aux demandes d’effacement des données dites sensibles ?

Un effacement systématique, sauf exception  

Pour les gouvernements irlandais, autrichien et britannique, non. Chacun des critères de l’article 8 est un « facteur important mais non décisif ». Mais pour les gouvernements français, italien et polonais et la Commission européenne, au contraire, le déréférencement doit être systématique.

Et c’est aussi l’avis de l’avocat général : dès lors que des données sont sensibles, l’effacement doit être automatique puisque le traitement était par définition interdit. Là encore, il se conforte en s’appuyant sur le Règlement général sur la protection des données (RGPD) qui a étendu par la suite la liste des données sensibles, celles pour lesquels un traitement est par définition interdit à tous, même aux moteurs.

L’interdiction n’est cependant pas absolue : sous le règne de la directive de 95, ici seule en cause, elle doit être levée avec l’autorisation de la personne concernée ou bien parce « le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ».

Quand l’exception des journalistes transpire sur les moteurs

Problème : la directive prévoit une exception en faveur des journalistes dans un autre article. Cette exception se propage-t-elle pour ainsi dire, en faveur des moteurs qui indexent leurs articles ? Pour l’avocat général, oui, d’une certaine manière.

Google doit pouvoir s’opposer au rejet de la demande de déréférencement. Dans un tel cadre, « l’exploitant d’un moteur de recherche est amené à procéder à une mise en balance entre, d’une part, le droit au respect de la vie privée ainsi que le droit à la protection des données (…) et, d’autre part, le droit du public à avoir accès à l’information en question ainsi que le droit de la liberté d’expression de celui dont émane l’information ».

Enfin, s’agissant des condamnations ou des mises en examen, soit deux des quatre cas des affaires soumises à la CJUE, la question est de savoir si les données afférentes doivent être effacées lorsqu’elles sont devenues incomplètes ou inexactes (une mise en examen, suivie d’un non-lieu, une condamnation désormais consommée).

Selon la directive, « le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national ». Des dérogations peuvent être accordées par l’État membre « sur le fondement de dispositions nationales prévoyant des garanties appropriées et spécifiques ».

D’après l’AG, il ne fait pas de doute qu’une procédure, même si elle n’aboutit pas, est une donnée relative à une infraction. Son approche va être là encore prudente : « s’agissant d’un article de presse, il conviendrait d’adopter une approche nuancée dans la mesure où il s’agit de données à caractère personnel relatées aux seules fins de journalisme ».

Du côté du moteur, on retrouve cette logique de mise en balance : celui-ci devrait « effectuer une pondération entre, d’une part, le droit au respect de la vie privée ainsi que le droit à la protection des données (…) et, d’autre part, le droit du public à avoir accès à l’information en question, tout en tenant compte du fait que cette information relève du journalisme ou constitue une expression artistique ou littéraire ».

Google grand vainqueur de cet avis non contraignant

Ces avis ont été rendus sur l'autel de la directive antérieure au RGPD, même s'ils devraient inspirer son interprétation. Dans tous les cas, ils sont clairement en faveur de Google. L’arrêt de la Cour de justice, qui n’est pas liée par ces conclusions, est attendu dans quelques mois. Néanmoins, si ces conclusions prospèrent, elles ne faciliteront par vraiment le travail des services de référencement.

L’opération de mise en balance sera nécessairement un nouveau foyer à contentieux qui devra être traité au cas par cas par les autorités de contrôle puis les juridictions. Toutefois, la Computer & Communications Industry Association (CCIA), lobby qui représente entre autres les intérêts de Google, salue cette opinion. « Nous espérons que la décision finale de la Cour adoptera cette approche pragmatique et équilibrée. »

3

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

La portée territoriale du droit à l’oubli

Pas de déréférencement mondial, la CNIL désavouée

Une portée réservée à l’UE, au besoin par géoblocage

L’imbroglio des données sensibles

Un droit à l’effacement systématique

Un effacement systématique, sauf exception  

Quand l’exception des journalistes transpire sur les moteurs

Google grand vainqueur de cet avis non contraignant

Commentaires (3)


Très intéressante l’approche sur les données sensibles et la prévalence (heureuse) du droit à l’information.



Cependant, c’est à mon sens sur la problématique de la territorialité que le texte est le plus intéressant, loin d’innover les conclusions prennent acte d’une “souveraineté” européenne et donc que cette directive ne peut prétendre s’imposer aux pays hors UE et surtout inversement qu’un tiers à l’UE ne peut lui imposer sa réglementation.



La position de la CNIL poursuivant un but parfaitement louable était intenable, revenant à nier le droit international et la souveraineté des Etats (même si extension de domaine =! Etat, on est d’accord).



C’est là que la question doit se poser à l’égard du RGPD et sa prétention à s’appliquer à tout responsable du traitement, européen ou non, à partir du moment où il traite des données d’un ressortissant européen.



Je le pense depuis le début, sauf bonne volonté du responsable du traitement non européen (volonté de s’implanter en Europe, donner le sentiment de respecter de la vie privée etc…), personne ne pourra le contraindre à respecter le RGPD.


Le problème c’est que cette optique est très différente de celle pratiquée par les Etats-Unis, qui eux n’ont aucun souci à imposer l’extra-territorialité de leurs lois. On se retrouve donc avec un fort déséquilibre où les entreprises internationals doivent obéir à 2 legislations différentes et parfois contradictoires, et où l’utilisateur qui se croit protégé ne l’est plus…








Poppu78 a écrit :



Le problème c’est que cette optique est très différente de celle pratiquée par les Etats-Unis, qui eux n’ont aucun souci à imposer l’extra-territorialité de leurs lois. On se retrouve donc avec un fort déséquilibre où les entreprises internationals doivent obéir à 2 legislations différentes et parfois contradictoires, et où l’utilisateur qui se croit protégé ne l’est plus…





Certes et du coup ça pose inévitablement la question de la force de l’UE face aux autres Etats et en particulier les USA et la Chine.



Mais contrairement à la légende on est pas totalement désarmé, par exemple avec le boycott de l’Iran par les USA imposé aux autres Etats, on pouvait répondre par un système de compensation des sanctions américaines infligées aux entreprises de l’UE. On l’a envisagé, puis on a préféré se diviser et pas l’appliquer…