La CNIL sanctionne Google pour son refus de mondialiser le droit à l’oubli des Européens

France vs World 41
En bref
image dediée
Justice
Marc Rees

La CNIL a sanctionné Google de 100 000 euros d’amende pour non-respect du droit au déréférencement. Épilogue d’un bras de fer débuté il y a plusieurs mois, où l’autorité plaide pour un droit à l’oubli mondialisé, attaché à la personne des citoyens Européens, que conteste le moteur américain.

Dans son arrêt fondamental « Costeja » de 2014, la Cour de justice de l’Union européenne considère que les moteurs, en l’occurrence Google, sont responsables des traitements des données glanées par leurs algorithmes de recherche et de classement.

Des contraintes fortes sur les moteurs

Conclusion ? Tout citoyen a mécaniquement la possibilité d’exiger le déréférencement de ses données, dès lors que le moteur ne respecterait pas l’un des impératifs de la directive 95/46 sur la protection des données personnelles :

  • Des données à caractère personnel traitées loyalement et licitement.
  • Des données collectées pour des finalités déterminées, explicites et légitimes, et ne [sont pas] traitées ultérieurement de manière incompatible avec ces finalités.
  • Des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ».
  • Des données « exactes et, si nécessaire, mises à jour ».
  • Des données « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ».

Quelle est la portée territoriale du « droit à l’oubli » ?

Seulement, la mise en musique de ce droit au déréférencement et à l’effacement, résumé en « droit à l’oubli », a occasionné un bras de fer entre la CNIL et Google. La première considère en effet que les textes exigent un nettoyage dans toutes les extensions du moteur, même le .com. Pour la société américaine, ce droit doit être cantonné aux seules extensions européennes de son fameux outil en ligne.

Le différend s’est soldé le 21 mai 2015 en une mise en demeure adressée à Google Inc, qui a tenté en dernière ligne droite un recours gracieux. En vain. En septembre, saisie de huit plaintes d’internautes s’étant vus refuser le déréférencement par Google, la CNIL a ouvert une procédure de sanction.

Pour forger sa décision, elle s’est appuyée sur différents considérants de la décision de la CJUE, spécialement le point 54 qui réclame une protection particulièrement large des personnes, afin d’éviter les contournements, et le considérant 38, où les juges exigent une protection « efficace et complète ». Dans le même sens, l’article 38 de la loi Informatique et Libertés invoque en écho « un niveau élevé de protection ».

Dans un échange de courriers, Google a fait valoir que ces expressions manquaient notamment de précision et donc de prévisibilité. Argument balayé par la CNIL : celle-ci a pour mission de faire respecter la loi et le moteur a eu assez de temps depuis 2015 pour se mettre en conformité.

La firme de Mountain View a aussi considéré que la CNIL excédait ses pouvoirs en poussant son autorité en dehors de nos frontières, puisque le .com n’est pas dirigé vers le marché français, ni lié intimement à sa filiale française. Peine perdue : cette analyse fait croire qu’il existerait autant de traitements de données personnelles qu’il y a d’extensions, alors que toutes ne sont que les versions adaptées d’un même traitement, celui de Google.com. Peu importe d’ailleurs que ce droit au déréférencement soit « susceptible d’entrer en conflit avec des droits étrangers » : il doit être effectif « sans restriction sur l’ensemble du traitement », point barre.

Pas d’atteinte à la liberté d’expression ou d’information

Google a également argué d’une atteinte à la liberté d’expression et d’information de ce droit au déréférencement mondial. « Sans consistance » répond en substance la CNIL : d’une part, le déréférencement ne supprime pas un contenu sur Internet, ni ne désindexe la page en cause sur le moteur, puisqu’il n’est activé que lorsqu’on tape les nom et prénom de la personne. Les pages demeurent en ce sens « accessibles lorsque la recherche est opérée à partir d’autres termes ». D’autre part, ce coup d’éponge n’est passé qu’après un examen de proportionnalité, histoire de jauger l’intérêt de la personne face aux autres libertés fondamentales. Voilà d’ailleurs pourquoi la CJUE estime que ce droit est beaucoup plus restreint pour une personne publique (le politicien, l’artiste, etc.) que pour Mme Michu, illustre inconnue.

En conclusion, la CNIL estime que le droit à l’effacement n’est efficace, large et complet que s’il frappe l’ensemble des extensions. Il serait en effet trop simple de comparer les résultats d’une requête en .fr avec ceux en .com pour deviner qui a demandé la suppression de quoi (voir en ce sens les explications d'Isabelle Falque-Pierrotin).

Un droit à l’oubli des Européens, effectif depuis et dans tous les pays

En dernière ligne droite, Google a bien voulu faire un effort. Dans une lettre adressée le 21 janvier 2016 au G29, groupement des autorités européennes de protection des données personnelles, il promet que l’effacement sera bien entendu à toutes les extensions, même non européennes, lorsque la requête apparaît « comme émanant du pays du demandeur (…), le pays étant déterminé en priorité par l’adresse IP de l’utilisateur ».

Applaudissements réservés de la CNIL, mais la solution est jaugée « incomplète » : avec un tel système, l’information déréférencée reste accessible en dehors du territoire identifié par l’IP. De plus, le contournement est très simple, soit accidentellement pour les résidents des zones frontalières ou, volontairement via un VPN. Mieux, « n’importe quel internaute situé en dehors du territoire français ne sera pas concerné par la mesure de filtrage et pourra continuer à avoir accès aux informations déréférencées en interrogeant les extensions non européennes du moteur s’il réside de l’Union européenne ou n’importe quelle version de Google Search, s’il se situe en dehors de l’UE ». Or, pour la CNIL, « la protection d’un droit fondamental ne peut varier en fonction du destinataire de la donnée ».

Une amende, une sanction publique, une décision susceptible de recours

La formation restreinte de la CNIL a donc infligé une amende de 100 000 euros à Google inc. pour ces manquements. La décision paraîtra bien maigre – le maximum à ce stade est de 150 000 euros dans la loi de 1978, mais l’autorité a surtout décidé de rendre publique cette prune, soit un choix très douloureux pour le moteur, puisque dans l’univers numérique où la confiance est un socle fondamental.

Google pourra bien entendu attaquer la décision devant les juridictions administratives. Devant les juridictions pénales, le moteur risque en parallèle jusqu’à 1 500 000 euros d’amende pénale pour chaque infraction constatée.


chargement
Chargement des commentaires...