Le droit à l’oubli, un concept pas si novateur
Le concept d’oubli, en droit n’est pas un concept nouveau. En effet, la doctrine, et notamment la juriste Roseline Letteron rattache le droit à l’oubli aux lois d’amnistie et au principe de prescription extinctive. Avec le droit à l’oubli, la loi organise une amnésie collective afin de protéger la paix sociale et de maintien de l’ordre public.
Historiquement, en France, le droit à l’oubli a été invoqué pour la première fois en 1965, lorsque la maîtresse de Landru avait intenté un procès contre la société de production de Claude Chabrol, au sujet du film Landru. Elle invoqua, au cours du procès, son droit à « être oubliée ».
Quelques années plus tard, en 1974, l’article de Philippe Boucher au Monde, intitulé « SAFARI ou la chasse aux Français » révélait la teneur projet de loi SAFARI.
Ce projet de loi, lancé sous la présidence de Georges Pompidou, tendait à la création d’un Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus (SAFARI). La réaction de l’opinion publique ne se fit pas attendre et le projet de loi fut enterré. L’émoi suscité peut s’expliquer par le traumatisme du fichage vécu par la population de confession juive, lors de la Seconde Guerre mondiale. Après la Guerre, toute idée de fichage à grande échelle ravivait les souvenirs du nazisme.
Il résultat de ce scandale, l’adoption de la loi du 6 janvier 1978 Informatique et Libertés et la création de la CNIL. La loi Informatique et Libertés consacre également, en droit interne, le droit à l’opposition au traitement et limitait déjà la durée de conservation des données personnelles. Ces deux dispositions sont des corollaires du “droit à l’oubli numérique”.
Il faudra toutefois attendre la loi du 6 août 2004 dont l’article 5 consacre le droit à l’oubli au sein de la loi du 6 janvier 1978 Informatique et Libertés (article 40).
Concrètement, le droit à l’oubli, qu’est-ce que c’est ?
Le droit à l’oubli est protéiforme. En effet, celui-ci est constitué de deux démembrements : le droit au déréférencement et le droit à l’effacement des données détenues par un responsable de traitement.
Le droit au déréférencement
Le droit au déréférencement a été consacré par l’arrêt de la CJUE Google vs Spain rendu le 13 mai 2014. La CJUE avait reconnu l’existence d’un droit au déréférencement même lorsque le traitement de données est licite. La Cour a également identifié les cas pour lesquels le droit au déréférencement peut être invoqué lorsque les données collectées ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées.
En pratique, l’arrêt Google Spain impose aux moteurs de recherche de mettre à disposition des internautes, une procédure leur permettant d’exiger le déréférencement d’un contenu référencé sur un site internet. Les moteurs de recherche devront également estimer la légitimité de la requête au regard notamment, de l’interprétation de la Cour en la matière ou de l’atteinte à la vie privée de la personne concernée.
Si l’exploitant d’un moteur de recherche ne donne pas suite à la demande d’effacement, la personne concernée pourra saisir la CNIL qui décidera ou non de donner suite.
Le droit au déréférencement apparaît comme un véritable outil de gestion de sa e-réputation. Toutefois, en pratique, il est difficile d’obtenir le déréférencement d’un contenu. D’autant que le contenu litigieux aura pu être publié sur d’autres sites. En outre, le droit au déréférencement n’octroie pas un droit à la suppression du contenue ce contenu figure toujours sur le site.
Enfin, un point de contention et apparu entre Google et la CNIL. Alors que la société Google déréférençait les sites litigieux des résultats d’extensions européennes (.fr, .es, .pt, etc.) du moteur de recherches, la CNIL a mis en demeure la société Google, en mai 2015, de procéder au déréférencement mondial, sur toutes les autres extensions géographiques ainsi que sur google.com. Le droit au déréférencement n’est qu’une protection de façade pour la vie privée des personnes concernées car l’accès aux sites déréférencés en Europe reste aisé : entrer une extension d’un autre continent, utiliser un VPN.
En juillet 2015, la société Google demandait le retrait de la mise en demeure de la CNIL arguant qu’une telle injonction était de nature à entraver le droit à l’information et consacrait une forme de senseur. L’argument avancé par la société Google montre bien que le numérique impose de trouver de nouveaux équilibres entre intérêt général et intérêt privé, droit à l’information et droit à la protection de la vie privée.
Toutefois, la CJUE, tranchera la question dans les mois à venir. En effet, l’Avocat général Szpunar a rendu, le 10 janvier dernier, ses conclusions préliminaires concernant le droit au déréférencement. L’Avocat général considère que le droit au déréférencement mondial serait une atteinte trop importante au droit à l’information et à la liberté d’expression. S’il doit être cantonné au niveau européen, le droit au déréférencement doit être « efficace et complet » via le géo-blocage.
La CNIL vous indique la procédure à suivre pour plusieurs moteurs de recherche afin de mettre en œuvre votre droit au déréférencement : https://www.cnil.fr/fr/le-dereferencement-dun-contenu-dans-un-moteur-de-recherche
Le droit à l’effacement des données détenues par un responsable de traitement
Le droit à l’effacement des données détenues par un responsable de traitement a été consacré, en droit européen, par l’article 12 de la directive de 1995 relative à la protection des données personnelles et remplacé par l’article 17 du RGPD dont l’entrée en vigueur la directive de 1995.
En France, l’existence d’un droit à l’effacement existe depuis la loi la loi du 6 août 2004 insérant un article 40 dans la loi Informatique et Libertés.
Avec l’entrée en vigueur du RGPD le 25 mai dernier, les organisations ayant engagé leur mise en conformité doivent indiquer aux personnes concernées, en amont de la collecte de leurs données, que ces dernières disposent de droits (article 15 à 21 du RGPD). Les organisations doivent mettre à disposition des personnes concernées une adresse mail et postale à laquelle adresser la demande d’exercice des droits. Les organisations auront un mois pour y répondre sans quoi la personne concernée pourra déposer une plainte auprès de la CNIL.
S’il parait aisé, de prime abord, pour les organisations d’effacer les données qu’elles détiennent, en pratique, l’effacement peut s’avérer impossible. En effet, les développeurs de logiciels métiers n’ont pas nécessairement prévu la possibilité de supprimer complètement les données personnelles de leurs logiciels. Les organisations doivent faire preuve d’ingéniosité. La solution la plus simple mais la plus coûteuse est de demander au développeur de créer une fonctionnalité supplémentaire permettant l’effacement des données. Une autre solution serait d’isoler les données personnelles en question et de faire en sorte qu’elles ne soient plus accessibles par personnes. Les données peuvent par exemple faire l’objet d’un chiffrement dont la clé de déchiffrement serait perdue volontairement.
La CNIL vous explique pas à pas comment exercer son droit à l’effacement : https://www.cnil.fr/fr/le-droit-leffacement-supprimer-vos-donnees-en-ligne
Sarah Catalan
Master 2 Cyberjustice – Promotion 2018-2019
Sources :
http://bugbrother.blog.lemonde.fr/2010/12/23/safari-et-la-nouvelle-chasse-aux-francais/
https://www.lemonde.fr/technologies/article/2013/10/03/le-droit-a-etre-oublie-genese-d-une-idee-neuve_3489511_651865.html
