Le droit à l’oubli

Cet article a été rédigé conjointement par Dr. Daniel SMYREK et Carole SCHERTZINGER.

Récentes précisions sur la mise en œuvre du principe par les juridictions allemandes, françaises et européennes

Depuis 2014, les Européens ont la possibilité de demander aux moteurs de recherche tels que Google de supprimer, sous certaines conditions, des liens obtenus lorsqu’on entre leur nom en ligne. En quatre ans, Google a ainsi reçu plus de 650 000 demandes et en a accepté environ 43%. Ce droit à l’oubli numérique ou droit au déréférencement a été consacré par la Cour de Justice de l’Union Européenne en 2014 dans l’affaire Google Spain[1]. Le droit à l’oubli consiste à demander à un moteur de recherche de supprimer des liens comportant son nom pour accéder à une page dans laquelle des données personnelles sont révélées[2]. Les juridictions sont alors parfois saisies de la question et sont amenées à concilier des libertés antagonistes : tandis que le droit à l’information et la liberté d’expression encouragent au maintien des données, leur suppression est parfois justifiée pour des raisons de vie privée. Le principe du droit à l’oubli a d’abord été consacré par la jurisprudence (I) puis sa mise en œuvre se façonne peu à peu au fil de la plume du législateur européen et des décisions de justice (II).

I.  La consécration du principe du droit à l’oubli

Dans l’affaire Google Spain, un particulier souhaitait obtenir la suppression d’une information, légalement publiée il y a 16 ans, relative à la mise en vente d’une de ses propriétés pour le non-paiement de ses cotisations sociales. Selon la Cour de Justice de l’Union Européenne, l’existence d’un lien sur Google donne une information d’une portée universelle, qui constitue une ingérence considérable dans la vie privée, « dès lors que ledit traitement permet à tout internaute d’obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne disponibles sur Internet »[3]. Ainsi, la Cour doit concilier divers droits fondamentaux : d’une part, l’intérêt économique de l’activité de Google ne peut prévaloir sur la protection de la vie privée, mais d’autre part, le respect à la vie privée doit se conjuguer avec le droit à l’information. Cet équilibre entre les libertés est à la charge du responsable du traitement. Google a immédiatement donné suite à l’arrêt de la Cour en mettant en ligne un formulaire permettant d’obtenir la suppression de l’indexation d’une information.

 

Une fois consacré dans son principe (I), le droit à l’oubli continue de poser de nombreuses questions dans sa mise en œuvre (II). Le Conseil d’Etat français a d’ailleurs renvoyé plusieurs questions préjudicielles à la CJUE en 2017 à ce sujet, notamment lorsque les données personnelles révèlent une orientation sexuelle, des opinions politiques, religieuses ou philosophiques, ou qu’elles contiennent des informations relatives à des condamnations pénales[4].

 

II.  La mise en œuvre du principe

La mise en œuvre du droit à l’oubli a été précisée par la suite non seulement quant à son champ d’application territorial (A), matériel (B) mais aussi personnel (C).

 

  A. Un champ d’application territorial étendu

Bien que le droit à l’oubli soit originaire du vieux continent, peut-il être cantonné aux frontières étatiques ou européennes ? Lorsqu’un moteur de recherche est tenu de déréférencer, doit-il le faire uniquement dans la zone géographique couverte par le Règlement européen de protection des données (RGPD)[5], ou doit-il, compte tenu de l’indifférence d’internet aux frontières, déréférencer de manière mondiale ? Face à ces interrogations, Google a fait le choix de ne déréférencer que localement et non sur l’ensemble des extensions de noms de domaines, en excluant notamment l’extension .com. Pour contrer cette interprétation réductrice du droit à l’oubli par Google, la Commission Nationale de l’Informatique et des Libertés (CNIL) – autorité administrative indépendante française – lui a infligé une amende de 100 000 € le 10 Mars 2016. Le Conseil d’Etat français a été saisi de cette sanction par Google mais il a préféré laisser le soin à la CJUE de se prononcer sur la question de la portée territoriale du droit à l’oubli en lui posant une question préjudicielle[6]. La portée territoriale du droit à l’oubli reste donc à préciser.

Il reste que le Règlement Européen de Protection des Données (RGPD)[7], entré en vigueur le 25 Mai 2018, consacre une interprétation extensive de son champ d’application. En effet, l’article 17 du RGPD consacre le droit à l’oubli tandis que l’article 3 du RGPD prévoit que le Règlement s’applique dans l’Union mais aussi hors Union grâce à deux critères de rattachement alternatifs. D’une part, le critère de l’établissement fait jouer le Règlement dès lors que le responsable de traitement ou le sous-traitant est établi dans l’Union Européenne, que le traitement ait lieu ou non dans l’Union. D’autre part, le critère du ciblage exige l’application du RGPD lorsque les activités de traitement concernent l’offre de biens ou services à des personnes qui se trouvent sur le territoire de l’Union, alors même que le responsable de traitement (ou son sous-traitant) ne se trouve pas sur le territoire de l’Union. En conséquence, le Règlement marque une véritable extension du champ d’application du droit à l’oubli en englobant des comportements hors union, extension allant à l’encontre du raisonnement de Google. Bien que le Règlement ne s’applique pas au conflit entre Google et la CNIL, en raison des règles d’application de la loi dans le temps, le Règlement démontre malgré tout une tendance à l’extension de la portée territoriale du droit à l’oubli. Ainsi, en appliquant le raisonnement à d’autres catégories de responsables de traitements visées par le RGPD, la solution retenue pourrait ainsi, par exemple, obliger une entreprise transnationale à faire disparaître les données d’un client européen pour l’ensemble de ses filiales, y compris dans des pays où le traitement de ces données serait pourtant resté parfaitement licite.

 

Alors que la portée territoriale du droit à l’oubli semble être interprétée de manière extensive (A), les juridictions allemandes ont rappelé dans deux affaires récentes qu’il ne constitue pas pour autant un droit absolu (B).

 

B. Une portée matérielle non absolue

Quelles sont les informations susceptibles de tomber dans l’oubli au nom de la vie personnelle et quelles sont celles qui doivent être maintenues en vertu du devoir d’information et de la liberté d’expression ? La portée matérielle du principe du droit à l’oubli est peu à peu façonnée par la jurisprudence. La Cour Européenne des Droits de l’Homme a eu à se prononcer à deux reprises sur des décisions prises par des juridictions allemandes. Tout d’abord, l’affaire Fuchsmann[8] concerne la demande formée par un entrepreneur international dans le milieu cinématographique aux fins de l’obtention d’une injonction ordonnant le retrait de la publication de certaines déclarations faites à son sujet dans un article publié dans la version en ligne du New York Times. Les déclarations concernaient une enquête criminelle menée aux États-Unis sur des soupçons de corruption entre un ancien candidat à la mairie de New York et des entreprises de média, dont celle du requérant. Les tribunaux allemands ont refusé d’accorder cette suppression au motif que, bien que les déclarations portent atteinte aux droit de la personnalité de M. Fuchsmann, le public avait un intérêt à être informé que cet homme d’affaires allemand était soupçonné d’implication dans le crime organisé. L’affaire fût ensuite portée devant la Cour Européenne des Droits de l’Homme au motif que les publications violent le droit au respect de la vie privée et familiale, protégé par l’article 8 de la Convention Européenne des Droits de l’Homme et du Citoyen. Bien que la Cour reconnaisse que l’article 8 est invocable en la matière, elle s’aligne sur le raisonnement des tribunaux allemands : les informations publiées présentent un intérêt public en ce qu’elles portent sur l’implication d’un homme d’affaires allemand dans une affaire de corruption, de détournement de fonds et de liens avec le crime organisé. La Cour fait donc prévaloir la liberté de la presse et la liberté d’expression face à la protection de la vie privée.

Dans une autre espèce concernant l’Allemagne[9], la Cour Européenne des Droits de l’Homme vient réaffirmer que le droit à l’oubli n’est pas absolu en faisant prévaloir le droit du public d’accéder aux informations archivées sur Internet. Les requérants sont deux ressortissants allemands reconnus coupables de l’assassinat d’un célèbre acteur, qui souhaitent obtenir l’anonymisation des données personnelles parues sur le site internet de la radio Deutschlandradio, sur le site de l’hebdomadaire allemand Der Spiegel, et du quotidien Mannheimer Morgen. Alors que les juges du fond ont fait droit à la suppression des publications en avançant le droit au respect de la vie privée, la Cour fédérale de justice allemande cassa ces décisions au motif que les juridictions inférieures n’ont pas suffisamment pris en compte l’intérêt du public à être informé ainsi que le droit à la liberté d’expression. Les requérants ont alors saisi la Cour Européenne des Droits de l’Homme. Elle juge qu’en raison de la marge d’appréciation des autorités nationales, de l’importance de conserver l’accessibilité à des reportages participant au débat général, de la véracité des publications, et de l’absence de volonté de nuire à la réputation des requérants, il n’y a pas lieu de se substituer à la Cour Fédérale de Justice allemande. L’Allemagne n’a donc pas manqué à l’obligation positive de protéger le droit à la vie privée des requérants, l’article 8 de la Convention n’a donc pas été violé.

Si la jurisprudence définit peu à peu les contours du champ matériel du droit à l’oubli (B), le nouveau Règlement en a clairement défini le champ d’application personnel (C).

 

C. Une portée personnelle strictement délimitée

La question du champ d’application personnel est double : il faut se demander quelles sont les personnes bénéficiaires du droit à l’oubli mais aussi quelles sont les personnes responsables de la mise en œuvre de ce droit.

D’une part, il faut se demander si une entreprise pourrait faire valoir un droit à l’oubli pour supprimer des données la concernant sur Internet. L’article 17 du RGPD désigne le destinataire du droit à l’oubli ainsi : « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant ». Or, les données à caractère personnel se définissent comme toute information relative à une personne physique susceptible d’être identifiée, directement ou indirectement. Cet article ne s’adresse donc qu’aux personnes physiques et non aux personnes morales. Dès lors, une entreprise ne pourrait pas faire valoir son droit à l’oubli devant un responsable de traitement. Cependant, les personnes composant l’entreprise qu’il s’agisse d’un dirigeant, d’un mandataire ou d’un salarié pourraient demander à en bénéficier, si les données diffusées les concernent personnellement. Néanmoins, d’autres moyens d’actions restent ouverts à l’entreprise, comme recourir à la diffamation au dénigrement ou à la violation des droits de propriété intellectuelle, en cas de diffusion de données qu’elle juge préjudiciables.

D’autre part, il convient d’étudier quelles sont les personnes responsables de la mise en œuvre du droit à l’oubli. L’article 24 du RGPD consacre un principe de responsabilité de mise en œuvre à la charge du responsable de traitement de données et de son sous-traitant. Le responsable de traitement est défini à l’article 4 du RGPD comme « la personne physique ou morale, l’autorité́ publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement », tandis que le sous-traitant est défini comme « la personne physique ou morale, l’autorité́ publique, le service ou un autre organisme qui traite des données à caractère personnel pour le compte du responsable du traitement ». Responsable de traitement et sous-traitement peuvent donc tous deux être des personnes physiques ou morales. Dès lors, les entreprises ne sont pas complètement ignorées de la mise en œuvre du droit à l’oubli : si elles ne peuvent pas en bénéficier, elles doivent en revanche assurer sa mise en œuvre. Ainsi, les entreprises doivent mettre en place des mécanismes permettant de vérifier que la durée de conservation des données est limitée au strict minimum, assurant la mise en œuvre du droit à l’oubli, ou encore assurant la protection des données. Le RGPD exige que le responsable de traitement réponde adéquatement aux demandes dans le délai imparti, et relaie cette demande aux responsables de traitement auxquelles ces données ont été transmises (Art. 17, RGPD). De telles démarches exigent un travail en amont de recensement des données, de détermination des applications de traitement et de localisation de l’hébergement des données, ainsi que d’identification de la nationalité des personnes concernées[10]. A défaut, le responsable de traitement ne sera pas considéré comme en conformité avec le RGPD et s’expose à de lourdes sanctions : jusqu’à 20 000 000 d’euros, ou dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total de l’exercice précédent.

 

[1] CJUE, Gde ch., 13 mai 2014, aff. C-131/12, Google Spain c/ Agencia Española de Protección de Datos Mario Costeja Gonzalez

[2] O. TAMBOU, « Protection des données personnelles : les difficultés de la mise en oeuvre du droit européen au déréférencement », RTD eur. 2016. 249

[3] CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain c/ Agencia Española de Protección de Datos Mario Costeja Gonzalez

[4] CE, 24 février 2017, Mme C, M. F, M. H, M. D, N°391000, 393769, 399999, 401258

[5] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[6] CE, 19 juill. 2017, n° 399922

[7] J. GHEORGE – BADESCU, « Le droit à l’oubli numérique », Rev. UE 2017. 153

[8] CEDH, Fuchsmann c/ Allemagne, 19 Octobre 2017, n° 71233/13

[9] CEDH, M.L. et W.W. c/ Allemagne, 28 Juin 2018, n° 60798/10 et 65599/10

[10] O. TAMBOU, « L’impact du Règlement général de la protection des données sur la mise en oeuvre future du droit à l’oubli numérique », e-conférence sur le droit à l’oubli en Europe et au-delà, Mai 2017, Blogdroiteuropeen