« Nous sommes favorables à un droit au déréférencement » (E. Geffray, CNIL)

Édouard Geffray, secrétaire général de la CNIL, a bien voulu répondre à nos questions relatives au droit à l’oubli dans le projet de règlement européen. Ce maître des requêtes au Conseil d'État explique le souhait de la CNIL de voir instaurer un principe d’un droit à désindexation dès lors qu’une personne fait état de « motif légitime ».

La CNIL met en avant le principe du droit à l’oubli. Comment définissez-vous ce droit et quels sont ses fondements juridiques ?

Aujourd’hui, il y a un droit à l’effacement pour motif légitime. Le terme de droit à l’oubli n’existe pas dans la loi. En revanche, l’expression apparaît dans le projet de règlement européen en négociation à Bruxelles. Pour la CNIL, il apparaît souhaitable que dans ce cadre soit prévu un volet déréférencement. Après il ne s’agit pas d’ouvrir un droit au déréférencement absolu.

Certes, mais comment envisagez-vous ce droit au déréférencement ?

Nous allons prochainement lancer une consultation d’un certain nombre d’acteurs. En attendant, l’idée est de corréler étroitement ce droit à la désindexation avec celui à l’effacement : à partir du moment où j’ai obtenu un droit à l’effacement d’une information, la logique voudrait que j’en obtienne le déréférencement. C’est finalement la prolongation naturelle auprès des moteurs de recherches : si au niveau d’un site vous obtenez la correction d’une information sur vous pour laquelle vous avez un motif légitime d’effacement, l’idée est d’obtenir la correction corrélative de la photographie auprès des moteurs.

Quelle serait l’autorité habilitée à valider ou non ce droit ?

Dans le projet de règlement européen, le principe est que le droit à l’oubli est posé. De manière générale, les autorités de contrôle sont en charge de s’assurer que les droits du citoyen sont bien respectés. Après, est-ce que ce sera à l’autorité de contrôle d’apprécier le motif qui aboutit ou non à l’effacement ou au refus d’effacement ? Honnêtement, les débats ne sont pas encore consolidés pour avoir une mise au clair.

Si un moteur référence des données personnelles, c’est parce que des sites les mentionnent. Quels seraient les motifs qui permettraient de justifier l’effacement et donc la désindexation ?

Aujourd’hui, vous avez d’ores et déjà des hypothèses dans lesquelles vous pouvez obtenir un effacement. Par exemple, une personne qui se fait insulter sur un site peut porter plainte pour injure, mais aussi réclamer l’effacement. Le problème est qu’on n’a pas de reconnaissance reconnue juridiquement d’un droit à déréférencement. De plus quand on a effacé la source, cela n’empêche pas que, grâce à un moteur de recherche, on puisse retrouver les pages en mode cache, par exemple. On peut toujours agir auprès du moteur, mais vous n’avez pas de droit.

Comment allez-vous combiner ce droit à l’oubli avec le travail des lanceurs d’alerte, des journalistes, des historiens, de Wikipedia, etc. ?

La question que vous posez c’est celle de l’articulation d’une législation avec d’autres. À l’intérieur de la législation informatique et libertés, la première question qui se pose est de savoir si aujourd’hui on complète le droit à l’effacement avec un droit au déréférencement. Dans certaines conditions, nous y sommes favorables. J’obtiens l’un, logiquement je dois pouvoir obtenir l’autre. Cela ne paraît pas radical comme position dès lors que les informations seraient inexactes ou équivoques.

La deuxième question qui se pose est l’articulation avec les autres législations, notamment celle de la presse et des archives. La CNIL a déjà pris voilà plusieurs années une recommandation pour expliquer par exemple les conditions dans lesquelles une personne pouvait demander la désindexation d’un article de presse en ligne. Pour les archives publiques, notamment les régimes d’état civil, la CNIL a aussi dit par exemple que pendant une certaine durée, il n’est pas possible d’indexer les archives publiques à partir d’un moteur de recherche externe.

Personne n’a à l’esprit de transformer les archives en gruyère. Simplement, on veut obtenir d’un outil qui a de grandes potentialités de fléchage, une désindexation de mots clefs associés à la personne. Évidemment, cela ne trouve pas à s’exprimer en de mêmes termes pour la presse, l’archivage ou dans des matières plus générales.

Vous évoquiez des motifs légitimes permettant de justifier la désindexation. Qu’entend-on par là ? Y a-t-il une liste définie ou ouverte de ces motifs dans le projet de règlement ?

L’article 17 sur le droit à l’oubli numérique et à l’effacement prévoit plusieurs motifs. Premièrement, les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. C’est la péremption de la donnée par rapport à la finalité. Deuxième chose, la personne concernée retire le consentement sur lequel est fondé le traitement. En outre, la personne peut s'opposer au traitement des données à caractère personnel en vertu de l'article 19 sur le droit d’opposition. Enfin, c’est lorsque traitement des données n'est pas conforme au règlement pour d'autres motifs.

Pour d'autres motifs... C’est donc bien une liste ouverte ?

C’est une liste ouverte pour non-conformité au règlement. Concrètement parlant, il y a tout de même une méconnaissance de la loi. Ce n’est pas un droit ouvert de tirage de la part citoyen, mais un droit qui est le corollaire du fait que le traitement n’est pas lui-même respectueux du cadre réglementaire qui sera fixé.

Dans l’article 17, il est aussi dit que « le responsable du traitement procède à l'effacement sans délai, sauf lorsque la conservation des données à caractère personnel est nécessaire à l'exercice du droit à la liberté d'expression » conformément à un article qui renvoie à la liberté de la presse. Le texte prévoit encore la conservation de données personnelles à des fins de recherche historique, statistique et scientifique.

Cela sera donc un éventuel foyer de contestation…

Pas nécessairement un foyer de contestation. C’est simplement l’idée qu’il y a là une articulation de loi. Ce n’est pas la même chose d’adresser une demande d’effacement quand un traitement est périmé, quand j’ai consenti sur un réseau social à ce que telle information soit diffusée à l’instant T et puis que quelques années plus tard je ne le souhaite plus, ou quand je demande l’effacement de telles mentions dans un article du journal. Le droit fondamental attaché à la personne est le même, mais il est évident que ses modalités d’exercice et son périmètre sont différents.

Les principaux moteurs de recherche sont américains. Seront-ils concernés par ce droit à l’oubli ?

Oui. Le principe est que les droits qu’il proclame sont rattachés au résident européen. L’ensemble du texte s’applique dès lors qu’un résident européen est concerné.

Où en sont vos échanges avec Google et Microsoft à ce jour ?

Ce n’est pas nous qui négocions le règlement. Le pilote du projet est la commission européenne et les négociateurs sont notamment les parlementaires européens. À notre niveau, ce qu’on souhaite c’est réfléchir à ce qu’est le droit à l’oubli et consulter pour cela un certain nombre d’acteurs. On réfléchit aux contours exacts d’une consultation pour avancer sur le sujet.

Au niveau du calendrier sur le projet de règlement européen ?

Il y a deux choses fixes. Le débat va avoir lieu au Parlement européen en avril-mai. Ensuite, il y a une volonté forte de la Commission européenne depuis le début de boucler le projet fin 2013, sachant que le règlement européen prévoir une entrée en vigueur deux ans plus tard.

Le projet de décret Sunshine vise justement à interdire l’indexation des liens d’intérêt entre l’industrie pharmaceutique et les professionnels de santé. Quelle est la position de la CNIL ?

Quand on rend un avis de projet de décret, on le rend au gouvernement. C’est lui qui décide s’il le rend public ou non.

Il y avait déjà eu un texte similaire sur les déclarations publiques d’intérêts des professionnels de santé. L’avis de la CNIL n’est plus secret au regard des règles CADA…

Il faut solliciter l’avis de la CNIL. La communication d’un document administratif n’est pas la publicité. Je n’ai pas à faire de publicité sur un avis rendu par la CNIL à partir du moment où le gouvernement n’a pas choisi de le publier.

La CNIL s’est aussi invitée dans le débat sur l’open data, quelles sont selon vous les implications de l’ouverture des données publiques sur la protection des données personnelles ?

On a annoncé qu’on allait se rapprocher des différents acteurs concernés. Il n’y a pas de position arrêtée sur l’open data à ce stade. Je crois à titre personnel que l’idée essentielle est de faire en sorte que si l’open data doit se développer et porter sur des données directement ou indirectement personnelles, il faut anticiper les éventuelles problématiques d’informatique et libertés. Il faut faire en sorte que les choses se passent bien.

Merci Édouard Geffray.