mercredi 1 mars 2017

Le droit à l'oubli sur internet est-il garanti ?

Définition : permet à tout individu de demander le retrait des informations le concernant sur des actions passées, qui pourraient lui nuire.
En effet, conformément à l’article 38 de la loi n°78-17 du 6 janvier 1978 relative à ‘l’informatique, aux fichiers et aux libertés (modifié par la loi n°2004-801 du 6 août 2004) « Toute personne physique a le droit de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement. Elle a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur ».


Le droit à l’oubli est l’objet d’un important travail législatif européen. Il est mentionné dans la directive sur la protection des données de 1995 n° 95/46/CE jusqu’à une décision n°C-131/12 de la Cour de Justice de l’Union Européenne du 13 mai 2014 qui a consacré le droit à l’oubli en Europe.


  • Le 14 avril 2016 a été adopté le règlement régulation européenne pour la protection des données (General Data Protection Regulation). Celui-ci entrera en vigueur le 24 mai 2018. Il prévoit notamment que le consentement du sujet devra être donné explicitement, que les pouvoirs des autorités nationales indépendantes chargées de la protection des données seront renforcés ou que des sanctions pour manquement au respect de ce règlement seront adressées aux entreprises.


En France, à l’initiative de la secrétaire d’Etat chargée de la Prospective et du développement de l’économie numérique, Nathalie Kosciusko-Morizet, est signée en 2010 deux chartes relatives au droit à l’oubli numérique :
- le 30 septembre 2010 : Charte du droit à l'oubli numérique dans la publicité ciblée : concernant les données personnelles collectées sans que l'internaute en ait conscience ;
- le 13 octobre 2010 : Charte du droit à l'oubli numérique dans les sites collaboratifs et moteurs de recherche : concernant les données personnelles publiées activement par l'internaute. (Facebook et Google n’en seront pas signataires).


En 2011 le G29 par un avis 15/2001 souligne que l’utilisateur doit pouvoir exprimer clairement son consentement.


Le responsable du site où est présent l'information dispose d'un délai légal de deux mois pour répondre à la demande du plaignant (conformément à l’article 94 du Décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés). En cas de non réponse ou de refus, le plaignant peut porter plainte auprès de la CNIL.


Le droit à l'oubli s'applique concrètement  de 2 manières :
  • par le retrait de l'information sur le site d'origine, on parle alors du droit à l'effacement (I)
  • par un déréférencement du site par les moteurs de recherches, on parle alors du droit au déréférencement (II).


  1. Le droit à l’effacement


Selon la CNIL, il suffit de contacter le site d’origine pour faire une demande de suppression. Il est possible de trouver son identité via les mentions légales ou les conditions générales d’utilisation.
Pour cela, il suffit de justifier la demande en expliquant en quoi la publication de ce contenu nuit à la réputation ou à la vie privée.
Là encore, le responsable du site dispose d’un délai légal de deux mois pour répondre à la demande. En l’absence de réponse ou en cas de réponse insatisfaisante, une plainte peut être adressée à la CNIL.


  1. Le droit au déréférencement


La procédure du droit au déréférencement provient de l’arrêt rendu par la Cour de Justice de l’Union Européenne rendu le 13 mai 2014 (n° C-131/12) : Dans cette décision, la Cour de Justice de l’Union européenne a confirmé l’application du droit de la protection des données aux moteurs de recherche. Elle en a déduit que les internautes peuvent demander, sous certaines conditions, la suppression des liens vers des informations portant atteinte à la vie privée. De ce fait, elle assimile les exploitants de moteur de recherche (Google en l’espèce) à des responsables de traitement au sens de la directive 95/46/CE et donc les soumet à celle-ci.
Par cet arrêt, la Cour de justice donne donc une interprétation unique de la directive de 1995 applicable dans les 28 pays de l’Union européenne. 


Le droit au déréférencement, découlant du droit à l’oubli, permet de demander à un moteur de recherche de supprimer certains résultats de recherche associés aux noms et prénoms.
Mais attention, cette suppression ne signifie pas l’effacement de l’information sur le site internet source. Le contenu original reste ainsi présent et est toujours accessible via les moteurs de recherche en utilisant d’autres mots clés de recherche ou en allant directement sur le site.
Ces résultats de recherche doivent être retirés s'ils sont « inadéquats, pas ou plus pertinents ou excessifs ». La Cour a néanmoins précisé que la désindexation des contenus doit tenir compte de l'intérêt public, tout en spécifiant que les moteurs de recherche ne peuvent pas revendiquer la valeur journalistique d'un contenu pour refuser une demande de suppression.


Pour procéder à un déréférencement, il suffit d’écrire au moteur de recherche en demandant la suppression de ce référencement.
En effet, dans les semaines qui ont suivi l’arrêt “Google Spain”, Google a mis en place un processus de demande de retrait mettant à la disposition de tout internaute européen un formulaire dans sa langue.


Toutefois, s’il y a un refus ou une absence de réponse de la part du moteur de recherche, toute personne résidant en France pourra alors saisir la CNIL.


Un tel droit n’est cependant pas absolu. La suppression de telles données doit être appréciée au cas par cas. Cette analyse se fera en fonction de la nature de l’information, de son atteinte à la vie privée de la personne concernée et de l’intérêt pour le public à la recevoir (s’il y a un caractère de notoriété attaché à la personne par exemple). la date de la publication, ainsi que sa portée politique seront également pris en compte.


Cependant, le Conseil d’Etat, dans une décision rendue le 24 février 2017 s’est permis de renvoyer plusieurs questions préjudicielles à la Cour de Justice de l’Union Européenne concernant la mise en oeuvre du droit au déréférencement. En effet il soulève plusieurs difficultés relatives à la portée de la directive européenne  du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données à caractère personnel, après la première interprétation donnée  par la Cour de justice de l’Union européenne dans son arrêt “Google Spain”. Ces questions concernent les obligations de déréférencement pesant sur l’exploitant d’un moteur de recherche dans l’hypothèse ou les pages web qu’il traite contiennent des informations sensibles dont la collecte et le traitement est illicite ou très encadré (parce qu’elles révèlent une orientation sexuelle, des opinions politiques, religieuses ou philosophiques, ou qu’elles contiennent des informations relatives à des infractions, condamnations pénales ou mesures de sûreté). Ainsi, le Conseil d’Etat a considéré que l’arrêt de la CJUE n’était pas assez précis pour lui permettre de prendre sa décision. Il demande à la Cour si les règles applicables aux données sensibles sont applicables aux moteurs de recherche ? S’ils doivent déréférencer les liens vers des pages web qui traitent ces données ou peuvent-ils refuser de le faire ?


Enfin, il faut préciser que cette procédure ne s’applique que pour l’Europe, les versions européennes de Google notamment. La désindexation ne se fera pas sur les versions des Etats tiers à l’Union Européenne du moteur de recherche.


Pour résumer la procédure :


  • les internautes peuvent saisir l’exploitant d’un moteur de recherche d’une demande de déréférencement d’une page web qui porterait atteinte à leur vie privée.
  • L’exploitant examinera alors le bien fondé de la demande, au regard des conditions fixées par la CJUE.
  • En cas d’absence de réponse ou de réponse insatisfaisante, le plaignant pourra saisir la CNIL ou la justice afin qu’elles vérifient et ordonnent les mesures nécessaires.

#cloudDays 2017

#cloudDays 2017, aujourd'hui, avec les acteurs du cloud et l'évocation du thème de la mise en conformité #RGPD, cf. l'ensemble d...