Google a décidé d’attaquer devant le Conseil d’État, la décision de la CNIL qui l’enjoint à appliquer le droit à l’effacement (ou « droit à l’oubli ») mondialement.
Ce droit à l’effacement a été reconnu en 2014 par la Cour de justice de l’Union européenne. Les juges ont estimé que les moteurs, ici Google, étaient responsables des traitements de données personnelles gérés par leurs algorithmes de recherche et de classement. De cette qualité, nait la possibilité pour quiconque d’exiger l’effacement de ses traces dans un moteur, du moins lorsqu'elles sont associés à une page référencée qui lui porte préjudice. Il suffit de démontrer que ces données ne sont pas traitées loyalement, licitement ou encore ne sont plus « adéquates », « pertinentes » ou « non excessives ».
Entre la CNIL et Google, une grille de lecture différente de la décision de la CJUE
En France, la grille de lecture de cet arrêt a été différente entre la CNIL et Google. Et pour cause. Selon l’autorité administrative, le nettoyage doit nécessairement être mondial, sur toutes les extensions, sauf à ruiner d’efficacité les vœux de la CJUE. La CNIL s’appuie sur le considérant 54 de la décision européenne :
« le législateur de l’Union a entendu éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée, en prévoyant un champ d’application territorial particulièrement large ».
Et sur le considérant 38 :
« Dans la mesure où l’activité d’un moteur de recherche est donc susceptible d’affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l’exploitant de ce moteur (…. ) doit assurer (…) que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée. »
En somme, un champ d’application « particulièrement large » et une protection « efficace et complète ». En mars dernier, la Commission informatique et libertés infligeait donc au moteur une amende de 100 000 euros, Google ayant refusé d'appliquer mondialement le droit à l’oubli réclamé par des internautes français.
Les efforts de Google jugés insatisfaisants par la CNIL
Plus précisément, Google a d’abord argué que ce coup d’éponge devait être limité aux seules extensions européennes. En dernière ligne droite, l’entreprise a accepté d'étendre ce nettoyage à toutes les extensions, même au .com, mais seulement pour les requêtes émanant du pays du demandeur, identifié par adresse IP. En somme, un Français qui obtiendrait l’effacement de son nom dans une entrée sur Google, ne pourrait plus le revoir dans les résultats, même sur Google.com, du moins s’il surfe en France.
Alors que la CNIL aurait pu se satisfaire de cette victoire, celle-ci a finalement fait la fine bouche : d'une part, cette décision a été prise hors délai. De plus, ce Français pris en exemple pourrait toujours voir le contenu normalement effacé depuis un autre pays européen, ou pire, depuis n’importe quel autre pays hors Union. En clair, l’autorité voudrait que le droit à l'effacement soit tout simplement mondialisé, quel que soit le lieu de connexion de l’internaute. Problème, si la CJUE a réclamé un champ d’application « particulièrement large » et une protection « efficace et complète », elle n’a nullement exigé de protection absolue.
Recours devant le Conseil d'État
C’est cet appétit qui a donc justifié le recours en annulation annoncé aujourd’hui par Google. « On ne conteste pas le droit à l’effacement mais la portée territoriale de la décision de la CNIL, nous confie un porte-parole. C’est un recours en plein contentieux. »
Le moteur répète être en désaccord avec l’analyse de la Commission. « Si nous devions appliquer la loi française partout dans le monde, combien de temps faudrait-t-il avant que d’autres pays - peut être moins libres et démocratiques - exigent à leur tour que leurs lois régulant l’information jouissent d’un périmètre mondial ? ». Et Google d’inverser le scénario : celui d’un Français incapable de profiter d’un contenu pourtant légal en France, mais jugé illicite dans un sombre pays lointain.
« On s’attend dans les meilleurs des cas à une décision d’ici l’été 2017 » table la branche française de Google. Pour notre part, on ne pourra qu’inciter la CNIL à développer la même pugnacité à l’égard des fichiers du renseignement qu'à l’encontre du droit à l’effacement. Chiche ?
Commentaires (16)
#1
Cela prouve bien l’inanité de ce droit au déréférencement. “Si je ferme les yeux ca n’existe pas”
" />
C’est la plus mauvaise réponse qu’on ait trouvé à un vrai problème…. Non je rigole, y’en a plein d’autre.
#2
Ca prouve surtout que c’est pas du ressort d’un moteur de recherche, mais de l’hébergeur.
#3
Il ne s’agit pas de demande de suppression de contenu : Le nom de la personne reste cité dans la page mais on empêche de retrouver cette page via son nom dans un moteur de recherche
#4
#5
Même quand une page est effacée, à la source, Google continu de la référencer dans ses résultats, pendant plusieurs semaines, voire plusieurs mois.
#6
« Si nous devions appliquer la loi française partout dans le monde,
combien de temps faudrait-t-il avant que d’autres pays - peut être moins
libres et démocratiques - exigent à leur tour que leurs lois régulant
l’information jouissent d’un périmètre mondial ? »
Tout est dit, c’est la porte ouverte au n’importe quoi.
#7
Je pense qu’un moteur de recherche devient de facto un hébergeur à partir du moment ou il effectue une copie même partielle des données.
#8
Google a ajouté une restriction depuis mars : la géolocalisation afin de bloquer aussi sur tous les sites google accédés depuis le pays demandeur.
Avec cela, la réponse du Conseil d’État va être intéressante.
Edit : en fait, c’était déjà dans la dernière news de NXI du 25 mars !
#9
Arrêt C-131⁄12
Prenez la peine de lire l’arrêt en question. Bien qu’il soit plutôt long il est accessible pour les non juristes.
Vous comprendrez ensuite que le traitement fait par celui qui héberge les données ou celui qui fournit le contenu constitue un traitement de données personnelles soumis à la législation les protégeant. Google, en proposant des listes de résultats organisées traite également des données personnelles.
Les deux situations sont différentes. Dans le cas en question, la suppression était trop proche de la censure pour que le quotidien efface les données de ses archives, mais le déréférencement ne gênait pas les gens ni google suffisamment pour nier à Monsieur Gonzales son droit à la vie privé et à être laissé tranquille. La Cour a aussi considéré qu’avoir un article au fonds de ses archives et pas mis en avant sur le site est moins une atteinte à la vie privée que fournir un lien y menant directement lorsqu’on tape le nom de la personne dans le moteur.
L’arrêt se tient et est solide sur ses bases juridiques. C’est neuf dans le domaine d’internet mais le concept de droit à l’oubli est beaucoup plus vieux.
Il ne faut pas confondre le droit à l’oubli avec l’utilisation qui en est faite par la CNIL notamment qui exagère (mais c’est la tendance française en matière d’internet) et veut étendre sa juridiction à tout internet. On verra ce qu’en dit la Cour. Je considère personnellement que la solution de google était satisfaisante.
La suppression à la source est bien pire que le déréférencement et s’apparente, elle à une censure.
#10
#11
hahaha excellent le dernier paragraphe
#12
D’un point de vue protection des données le droit ne propose pas de définition d’hébergeur mais de contrôleur de données personnelles.
C’est vrai la notion est autonome et englobe tous ceux qui traitent de manière automatisée des données personnelles.
On peut bien sûr discuter de l’usage qui est fait des définitions mais souvent les législateurs vont faire exprès de ne pas coller aux définitions techniques de peur que le développement fulgurant des technologies de l’information ne rende la loi inutile. L’avantage est l’adaptabilité, le désavantage le manque de prévisibilité car le critère doit être précisé par la jurisprudence.
D’ailleurs on peut se demander si le juridique doit nécessairement coller au technique. Que le législateur et le juge comprennent les faits du cas qu’ils ont à traiter y compris dans ses détails techniques est essentiel mais est-ce que la loi doit s’en préoccuper? Pour caricaturer beaucoup c’est comme si le meurtre avait été défini par le législateur il y a longtemps comme le fait de mettre une flèche dans une autre personne. avec une arme à feu le résultat est pareil mais la définition technique aurait dû être modifiée avant de le prendre en compte.
#13
A vouloir faire des lois trop abstraites et des descriptions trop génériques, on est obligé de légiférer par “exception”… on remplace donc l’élaboration d’une liste exhaustive des permissions/interdictions par l’élaboration d’une liste exhaustive des exceptions aux permissions/interdictions.
" />
Les lois deviennent donc incompréhensibles car trop génériques, et avec trop d’exceptions… exceptions qui sont elles-mêmes rédigées de manière générique.
On est en 2016 et ce qui est interdit, permis, exceptionnellement interdit ou exceptionnellement permis concernant le droit d’auteur n’est toujours pas clair.
Et il en va de même pour les hébergeurs, éditeurs, fournisseurs, indexeurs, …
#14
Fondamentalement la loi est faite pour être générale et abstraite. Le juge lui rend des décisions précises et concrètes. Cela n’empêche naturellement pas que la loi contienne des définitions juridiquement précises.
Il y a certes une pratique législative qui tend à faire des lois fleuves en voulant s’occuper des cas précis à la place du juge, souvent avec une nauséabonde odeur de lobby derrière. C’est justement créer une loi trop précise que de légiférer avec des exceptions et exceptions des exceptions.
Concernant le droit d’auteur, je pense que tu confonds la situation juridique telle qu’elle est avec tous les projets, idées et autres joyeusetés qui sont pondues par les lobbies ou les politiciens.
Un exemple: Google, dans l’affaire en question ne s’est pas battu de toute ses forces sur sa qualification de contrôleur de données. Pourtant, si elle manquait, la directive 95⁄46 n’aurait tout simplement pas pu lui être applicable. La raison est que, bien que certes très vaste, la qualification de contrôleur est suffisamment précise pour pouvoir adapter son comportement.
Enfin, je persiste, mais une définition qui serait considérée comme absolument technique et précise ne résoudrait en rien l’insécurité juridique. Les TIC se développent toujours à toute vitesse, et restreindre un critère à une pure notion technique rend la loi impossible à appliquer ne cas d’évolution de l’Etat de l’art.
De plus, pourquoi la loi devrait coller avec la technique? On peut très bien avoir des situations techniquement différentes, mais qui, pour le monde séculier de l’internaute moyen sont identiques. L’insertion de contenu d’autres sites dans sa page en est un bon exemple. L’internaute n’a aucune idée qu’il s’agit de contenu tiers et le considère comme du contenu de la page alors que techniquement cette vision des choses est erronée.
#15
Personnellement, je trouve que l’insécurité juridique qui découle de la généricité des lois - et donc de leur interprétation au moment du jugement - induit une rupture d’égalité des chances entre la riche multinationale qui peut s’assurer contre le risque (ou minimiser son impact) et la petite entreprise/le particulier pour qui la prise de risque est inacceptable.
Une société nettement moins puissante que Google aurait déjà fermé sa gueule et supprimé mondialement les contenus demandés. Et peu importe si la décision de la CJUE semble abusive.
#16
C’est vrai en terme de théorie économique du droit tout litige a un coût et une probabilité de perte, qui peut être converti en risque et donc permettre de procéder à un choix économique. On peut mitiger ce risque en se renseignant par exemple, on peut aussi obtenir une aide financière si on n’en a pas les moyens, ainsi qu’obtenir un dédommagement en cas de réussite.
Le problème est que l’insécurité juridique ne découle pas uniquement du fait que la loi soit générale et abstraite. Trop de loi et, comme tu l’a dis on a des exceptions d’exceptions incompréhensibles. Voir même pire on peut avoir des trucs très arbitraires. C’est la même chose avec trop peu de loi.
Il faut un contenu normatif juste, qui est précis lorsqu’il faut être précis, dans les définitions ou les conditions tout en laissant au juge le soin d’agir avec justice, donc s’intéresser au cas particulier en rendant une décision qui ne sera formellement destinée qu’au particulier. Chacun de ces éléments sont importants pour former un cadre juridique complet, toujours en mouvement comme la technologie.
Tant mieux que Google ait pu faire valoir sa voix. On aura une décision qui s’appliquera a google et qui précisera la situation pour tous les petits acteurs sans qu’aucun d’entre eux n’ait à être inquiété par la justice parce que la question aura été traitée.
Il n’y a pas non plus des immenses blancs dans la législation permettant à n’importe quelle autorité de faire n’importe quoi. Les choses sont assez claires. Le droit à l’oubli pouvait être déduit de la loi, et existait déjà avant internet. La question plus spécifique de l’étendue du déréférencement est déjà plus particulière, et il était aussi prévisible que la CNIL amende google parce que la justice française tend à se considérer comme globalement compétente dans ce genre de cas.