La CNIL a sanctionné Google de 100 000 euros d’amende pour non-respect du droit au déréférencement. Épilogue d’un bras de fer débuté il y a plusieurs mois, où l’autorité plaide pour un droit à l’oubli mondialisé, attaché à la personne des citoyens Européens, que conteste le moteur américain.
Dans son arrêt fondamental « Costeja » de 2014, la Cour de justice de l’Union européenne considère que les moteurs, en l’occurrence Google, sont responsables des traitements des données glanées par leurs algorithmes de recherche et de classement.
Des contraintes fortes sur les moteurs
Conclusion ? Tout citoyen a mécaniquement la possibilité d’exiger le déréférencement de ses données, dès lors que le moteur ne respecterait pas l’un des impératifs de la directive 95/46 sur la protection des données personnelles :
- Des données à caractère personnel traitées loyalement et licitement.
- Des données collectées pour des finalités déterminées, explicites et légitimes, et ne [sont pas] traitées ultérieurement de manière incompatible avec ces finalités.
- Des données « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ».
- Des données « exactes et, si nécessaire, mises à jour ».
- Des données « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ».
Quelle est la portée territoriale du « droit à l’oubli » ?
Seulement, la mise en musique de ce droit au déréférencement et à l’effacement, résumé en « droit à l’oubli », a occasionné un bras de fer entre la CNIL et Google. La première considère en effet que les textes exigent un nettoyage dans toutes les extensions du moteur, même le .com. Pour la société américaine, ce droit doit être cantonné aux seules extensions européennes de son fameux outil en ligne.
Le différend s’est soldé le 21 mai 2015 en une mise en demeure adressée à Google Inc, qui a tenté en dernière ligne droite un recours gracieux. En vain. En septembre, saisie de huit plaintes d’internautes s’étant vus refuser le déréférencement par Google, la CNIL a ouvert une procédure de sanction.
Pour forger sa décision, elle s’est appuyée sur différents considérants de la décision de la CJUE, spécialement le point 54 qui réclame une protection particulièrement large des personnes, afin d’éviter les contournements, et le considérant 38, où les juges exigent une protection « efficace et complète ». Dans le même sens, l’article 38 de la loi Informatique et Libertés invoque en écho « un niveau élevé de protection ».
Dans un échange de courriers, Google a fait valoir que ces expressions manquaient notamment de précision et donc de prévisibilité. Argument balayé par la CNIL : celle-ci a pour mission de faire respecter la loi et le moteur a eu assez de temps depuis 2015 pour se mettre en conformité.
La firme de Mountain View a aussi considéré que la CNIL excédait ses pouvoirs en poussant son autorité en dehors de nos frontières, puisque le .com n’est pas dirigé vers le marché français, ni lié intimement à sa filiale française. Peine perdue : cette analyse fait croire qu’il existerait autant de traitements de données personnelles qu’il y a d’extensions, alors que toutes ne sont que les versions adaptées d’un même traitement, celui de Google.com. Peu importe d’ailleurs que ce droit au déréférencement soit « susceptible d’entrer en conflit avec des droits étrangers » : il doit être effectif « sans restriction sur l’ensemble du traitement », point barre.
Pas d’atteinte à la liberté d’expression ou d’information
Google a également argué d’une atteinte à la liberté d’expression et d’information de ce droit au déréférencement mondial. « Sans consistance » répond en substance la CNIL : d’une part, le déréférencement ne supprime pas un contenu sur Internet, ni ne désindexe la page en cause sur le moteur, puisqu’il n’est activé que lorsqu’on tape les nom et prénom de la personne. Les pages demeurent en ce sens « accessibles lorsque la recherche est opérée à partir d’autres termes ». D’autre part, ce coup d’éponge n’est passé qu’après un examen de proportionnalité, histoire de jauger l’intérêt de la personne face aux autres libertés fondamentales. Voilà d’ailleurs pourquoi la CJUE estime que ce droit est beaucoup plus restreint pour une personne publique (le politicien, l’artiste, etc.) que pour Mme Michu, illustre inconnue.
En conclusion, la CNIL estime que le droit à l’effacement n’est efficace, large et complet que s’il frappe l’ensemble des extensions. Il serait en effet trop simple de comparer les résultats d’une requête en .fr avec ceux en .com pour deviner qui a demandé la suppression de quoi (voir en ce sens les explications d'Isabelle Falque-Pierrotin).
Un droit à l’oubli des Européens, effectif depuis et dans tous les pays
En dernière ligne droite, Google a bien voulu faire un effort. Dans une lettre adressée le 21 janvier 2016 au G29, groupement des autorités européennes de protection des données personnelles, il promet que l’effacement sera bien entendu à toutes les extensions, même non européennes, lorsque la requête apparaît « comme émanant du pays du demandeur (…), le pays étant déterminé en priorité par l’adresse IP de l’utilisateur ».
Applaudissements réservés de la CNIL, mais la solution est jaugée « incomplète » : avec un tel système, l’information déréférencée reste accessible en dehors du territoire identifié par l’IP. De plus, le contournement est très simple, soit accidentellement pour les résidents des zones frontalières ou, volontairement via un VPN. Mieux, « n’importe quel internaute situé en dehors du territoire français ne sera pas concerné par la mesure de filtrage et pourra continuer à avoir accès aux informations déréférencées en interrogeant les extensions non européennes du moteur s’il réside de l’Union européenne ou n’importe quelle version de Google Search, s’il se situe en dehors de l’UE ». Or, pour la CNIL, « la protection d’un droit fondamental ne peut varier en fonction du destinataire de la donnée ».
Une amende, une sanction publique, une décision susceptible de recours
La formation restreinte de la CNIL a donc infligé une amende de 100 000 euros à Google inc. pour ces manquements. La décision paraîtra bien maigre – le maximum à ce stade est de 150 000 euros dans la loi de 1978, mais l’autorité a surtout décidé de rendre publique cette prune, soit un choix très douloureux pour le moteur, puisque dans l’univers numérique où la confiance est un socle fondamental.
Google pourra bien entendu attaquer la décision devant les juridictions administratives. Devant les juridictions pénales, le moteur risque en parallèle jusqu’à 1 500 000 euros d’amende pénale pour chaque infraction constatée.
Commentaires (41)
#1
Il ne reste plus qu’à les recondamner pour les même faits d’année en année pour assurer une rentrée régulière d’argent frais.
#2
100 000€ d’amende !
ah c’est malin ! ils sont ruinés maintenant.
#3
La question que je me pose c’est:
L’UE peut elle s’arroger le droit qu’une de ses décisions s’applique mondialement ?
Apres tout lorsque ce sont les USA, ça gueule.
#4
Je me demande si c’est utile, ça ne risque pas d’être une faille pour qu’un pays fasse des demandes loufoques ?
#5
loufoques ?
Pourquoi serait-il loufoque que la Corée du Nord, par exemple, demande de supprimer les références aux calomnies infames publiées à l’étranger sur ses leaders successifs ?
#6
#7
Le temps qu’ils ouvrent la lettre (même pas la lire) ils ont fait assez de benef pour payer l’amande … Tant que les amande ne seront pas exprimé en % du CA/bénef ça ne leur fera rien.
#8
#9
voir la fin de l’actu sur ce point.
#10
#11
C’est d’ailleurs l’enchainement logique puisque l’UE peut imposer ses décisions au monde entier.
D’ailleurs, on me souffle dans l’oreillette que la Chine et la Russie, entre autre, sont en train de préparer des lois qui interdisent toute critique envers leurs dirigeants. Ces lois ont bien évidemment une portée mondiale, elles aussi.
La turquie est aussi en train de concocter une loi interdisant d’accoler les termes génocide et arménien.
Edit : overburned….
#12
On attend que la Chine fasse valoir mondialement le droit à l’oubli du Dalai Lama.
Edit: thermobariqué…
#13
C’est le MEDEF ou nos gouvernements qui ont créé cette loi pour cacher ses casseroles sous le tapis? Que chacun assument ses actes et ses déclarations publics
" />
" />
Et si il se crée 1000 moteurs de recherche par jour dans le monde, ils vont envoyer des millions de sanctions par an façon Hadopi?
#14
#15
Je ne comprend la fin du paragraphe “mais l’autorité a surtout décidé de rendre publique cette prune”, ils vont devoir de nouveau afficher la condamnation par la cnil sur leur page d’accueil ?
#16
“La confiance est un socle fondamental” à partir du moment ou les alternatives sont utilisées/connues par plus de 3 bédouins.
Quand la concurrence est écrasée comme ça, le quidam, ça lui en touche une sans faire bouger l’autre, il changera pas ses habitudes.
C’est comme dans un autre domaine ou même si on sait qu’Amazon c’est des méchants (et nous aussi en achetant chez eux), on va continuer à commander ses slips sur internet
#17
#18
La donnée étant leur outil de travail, c’est clair que Google doit faire la gueule …
#19
je ne vois pas pourquoi, la donnée ils l’ont toujours, ils ne peuvent juste plus te la communiquer…
ce qui les emmerdes c’est
1) On leurs demande à eux de dire ce qui est “oubliable” et ce qui ne l’est pas
2) La personne qui fait la demande peut les attaquer en justice si il n’a pas eut ce qu’il voulait, et un juge peut les allumer si “ils n’oublient” pas assez
3) on va les critiquer si “ils oublient” trop, en disant que c’est de la censure / de la politique
4) c’est la porte ouverte à tout les gouvernements pour demander de filtrer les recherches dans le monde entier sur les sujets “tabou”, aussi bien politique que culturel (à quand l’interdiction de rechercher des mots ayant attrait à l’érotisme ou la pornograpie par l’arabie saoudite? et dans toutes les langues!)
#20
A quoi leur sert une donnée qu’ils ne peuvent te fournir ?
Ce qui les intéresse c’est la donnée qu’ils peuvent associer avec une pub ou un service payant.
Pas de donnée = pas d’argent , c’est pas plus compliqué.
Leur argumentaire est faux de toute manière : la donnée déréférencé deviens inaccessible de fait , car noyée dans la masse d’autres mots clés moins pertinent pour y accéder.
#21
#22
Ils peuvent toujours…
rien que le fait que tu ais cherché le nom, et le fait de savoir qu’il a été ajouté dans la liste des “ oublié ” veut dire que tu t’intéresse au sujet du <insérer la raison pour laquelle il a été oublié>
Il n’y a aucun problème pour après te pousser des pubs associé a ce sujet… le seul impact du droit à l’oubli c’est que tu as une ligne de moins dans ta recherche
Au pire ça pourrait les faire chier que tu passes sou Bing, ou DuckDuckGo, voir Yandex ou Baidu pour avoir la réponse, et que tu utilises moins google, mais je présume qu’ils se feront un plaisir d’attaquer pour concurrence déloyale si ils voient un mouvement s’amorcer, et que la CNIL n’impose pas les même restrictions sur les autres moteurs….
#23
#24
Toutes les dictatures et les pays révisionnistes vont pouvoir donc pouvoir se faire plaisir.
" /> vont pouvoir être déférence vu qu’en général ce sont que des calomnies dans certains pays.
" />
Combien de lien vers les grands criminels/crimes/génocides
Et je ne parle pas de toutes les pages (sur la femme, l’histoire, la science …) dont un pays respectant la charia pourrait demander le déréférencer si la CNIL réussi son coup d’état mondial.
Ce n’est vraiment pas glorieux de devenir un pays champion de la censure.
Car par ou que l’on prenne les choses c’est dans tout les cas:
une demande de censure au niveau mondial (et non nationale ce qui est justifié) que la CNIL (juge du monde ?) souhaite.
#25
#26
“La masse” de myspace, impressionnante en effet. Et niveau fonctionnalités/interactions (et interet, quoi qu’on puisse dire de facebook), je placerais ça plutot au niveau d’un skyblog ou de copainsdavant
Entre ça et yahoo qui était concurrencé par des “mastodontes” comme voila ou lycos, à une époque ou ta meilleure chance de trouver un résultat correct était un aggrégateur, la masse a pas du trop hésité à migrer. En ce qui me concerne, c’était plus parce que yahoo était une merde ou je trouvais rien que pour un quelconque scandale (y’a eu un scandale?)
Je dirais même plutot qu’en fait facebook et google, la masse n’y est pas passée, elle y est venue, en même temps qu’internet s’est démocratisé.
Mais ouais, sinon tu as totalement raison
#27
J’ai toujours été contre ce truc.
Ca permet à ceux qui ne s’assument pas de faire “peau neuve” par la censure, particuliers, célébrités, entreprises, états, tout le monde. Et après on pleurera au moindre révisionniste qui l’ouvre.
#28
Bonjour à vous,
Justice, elle est bien bonne celle là.
Rien à ajouter
#29
#30
www.offrelegale.fr ?
" />
#31
#32
Perso je suis plutôt mitigé sur cette histoire, je suis contre la censure de l’internet (et le droit à l’oublie est une forme de censure) mais en même temps je peux comprendre la position des personnes victimes de la publication d’info les concernant sur internet, dans l’idéal il faudrait faire du cas par cas pour qu’il y ai preuve d’un réel préjudice mais bon c’est juste pas envisageable.
Pour le coup de l’amende a google parce qu’il ne veulent pas appliqué ce que l’Europe souhaite au monde entier, je soutiens google là dessus, même si on me dira que du coup ce n’est pas un réel oubli #VpnProxy&cie
#33
si Google ne corrige pas le tir, la CNIL pourra le trainer devant la juridiction pénale qui, comme dis dans la news:
Devant les juridictions pénales, le moteur risque en parallèle jusqu’à
1 500 000 euros d’amende pénale pour chaque infraction constatée.
Ce qui pour peut vite monter vu les volumes de recherche …
#34
pour moi google ne devrait pas être la cible du droit à l’oubli, c’est juste que c’est la cible facile pour avoir l’effet le plus important.
Le job d’un moteur de recherche est d’indexer le contenu. Si tu aimes pas le contenu, va faire chier le producteur du contenu.
On va arriver a un niveau où si un site étranger critique quelqu’un, plutôt que de l’attaquer pour diffamation, on va demander a google de ne plus l’indexer pour pas avoir à s’emmerder avec les lois internationales…
Le Figaro dis du mal de Poutine? hop, il dit que c’est de la diffamation, Google n’a plus le droit d’indexer le site dans le monde entier.
#35
+1 j’arrivais pas à exprimer clairement mon ressentis sur cette histoire, je suis tout à fait d’accord avec ce que tu dis là !
" />
#36
Peu importe d’ailleurs que ce droit au déréférencement soit « susceptible d’entrer en conflit avec des droits étrangers »
Mieux, « n’importe quel internaute situé en dehors du territoire français ne sera pas concerné par la mesure de filtrage et pourra continuer à avoir accès aux informations déréférencées en interrogeant les extensions non européennes du moteur s’il réside de l’Union européenne ou n’importe quelle version de Google Search, s’il se situe en dehors de l’UE ». Or, pour la CNIL, « la protection d’un droit fondamental ne peut varier en fonction du destinataire de la donnée ».
Donc en fait on nationalise internet c’est bien ca ?
#37
#38
Google viens de perdre 1 seconde de leur chiffre d’affaire.
Mince alors, comment ils vont gérer ce séisme ? Ils vont faire un crédit ?
#39
” Devant les juridictions pénales, le moteur risque en parallèle jusqu’à
" />
1 500 000 euros d’amende pénale pour chaque infraction constatée.”
Et là, c’est le drame ! ! Google va mourir … ou pas ?
#40
#41
Si Google Inc. était partie de l’arrêt C-131⁄12 (que je recommande
de lire, il est clair et accessible, y compris pour des non juristes),
l’obligation vaut bien sûr en théorie pour tous les autres moteurs de
recherche puisque la jurisprudence serait certainement reprise à l’encontre du
moteur qui ne voudrait pas s’exécuter. Cette question sera d’ailleurs réglée avec le prochain règlement qui
prévoit un article spécial sur le droit au déréférencement, donc applicable à tous.
Rien n’est oublié parce qu’on a aussi cette balance entre publication et censure chez le fournisseur de contenu. On protège fortement le fournisseur parce qu’on ne veut pas, ou le moins possible de censure.
Le problème du moteur de recherche c’est qu’il indexe et structure des informations personnelles justement. Un article sur une faillite vieux de 30 ans dans les archives d’un quotidien peut ne pas léser une personne. Par contre le fait de voir un robot ressortir ça et le mettre en première page peut avoir un impact considérable sur cette même personne. Google en indexant traite aussi des données personnelles et doit respecter les principes de ce traitement. Les deux cas sont différents.
Après le problème est plus qu’on tente d’appliquer une loi par définition territoriale à internet qui ne se borne pas à un territoire donné et un retour à la CJUE de cette affaire parait obligatoire afin de trouver une solution cohérente. C’est LE problème mais pas uniquement en matière de déréférencement malheureusement.