Avec 13 arrêts du 6 décembre 2019, le Conseil d’État vient préciser les contours et modalités du droit au déréférencement, corolaire du droit à l’oubli consacré par le RGPD.

Droit à l’oubli et déréférencement sur internet

Contexte : le droit à l’oubli

Dès 1995 (Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données), la protection des données personnelles intègre la nécessité de pouvoir demander la suppression de ses données.

Avec l’entrée en application du RGPD (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données) qui la remplace et la complète, ce droit est confirmé et renforcé afin de permettre à tout un chacun de mieux maitriser ses données dans le cadre de la numérisation croissante de l’activité.

Définition : le droit au déréférencement

Aujourd’hui, c’est l’article 17 du RGPD qui accorde aux personnes concernées par un traitement de données le droit de demander au responsable de traitement la suppression des données personnelles les concernant.

« La personne concernée a le droit d’obtenir du responsable du traitement l’effacement […] de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel […] »

Le texte mentionne le droit à l’effacement, également appelé droit à l’oubli. Toutefois, dès l’apparition de cette possibilité, une difficulté majeure apparait dans son application : comment supprimer les données qui apparaissent sur internet par le biais des moteurs de recherche ? Dans ce contexte, il semble complexe d’obtenir l’effacement effectif des données, dès lors que ce ne sont pas les moteurs de recherche qui traitent les données finales mais les éditeurs des sites web vers lesquels ils renvoient…

C’est pour répondre à cette problématique que la jurisprudence et la pratique consacrent le droit au déréférencement, qui consiste à faire supprimer par les moteurs de recherche, non pas les données elles-mêmes, mais les liens faits par le moteur vers les contenus qui les mentionnent.

La Cour de Justice de l’Union Européenne (CJUE) a ainsi « créé » le droit au déréférencement en 2014 en jugeant dans une affaire qui opposait Google à la CNIL (Commission Informatique et Libertés) que le droit européen de la protection des données personnelles trouvant à s’appliquer aux moteurs de recherche, la personne concernée devait pouvoir demander aux entités exploitant ces moteurs de recherche de déréférencer les résultats de recherche liés à son identité.

Il s’agit ici du point de vue juridique de considérer qu’indépendamment des opérations de traitement des éditeurs de site internet qui diffusent un contenu comportant des données personnelles, celles qui consistent à afficher des résultats suite à une requête effectuée sur la base d’une identité (activité des moteurs de recherche) constituent elles-mêmes un traitement de données à part entière, ouvrant le droit pour l’individu de demander l’effacement des données concernées auprès de ces autres responsables de traitement.

Déréférencement

Modalités du droit au déréférencement sur internet

Condition d’application du droit à l’oubli 

Cas d’application

Aux termes de l’article 17 du RGPD, toute personne concernée par un traitement au sens du Règlement dispose du droit de demander l’effacement de ses données, dont découle le droit au déréférencement. Toutefois, ce droit n’est pas absolu, puisqu’il ne peut être exercé que dans certains cas spécifiques :

  • Les données ne sont plus nécessaires au regard de la finalité du traitement ;
  • La personne concernée retire le consentement qu’elle avait donné et qui fondait la licéité du traitement, lequel ne peut pas se justifier par une base légale alternative ;
  • L’individu a valablement exercé son droit d’opposition au traitement ;
  • Les données personnelles en question ont fait l’objet d’un traitement illicite;
  • L’effacement des données est rendu obligatoire pour le responsable du traitement dans le cadre d’une exigence légale qui lui est applicable ;
  • Les données ont été collectée dans le cadre de l’offre de services de la société de l’information (cas spécifique du consentement donné par une personne mineure).

En dehors de ces cas, l’effacement des données n’est pas un droit à proprement parler, le responsable de traitement n’est pas tenu d’y accéder.

Limites à l’effacement

Même lorsque le droit à l’oubli s’applique et que le responsable de traitement est tenu de procéder à la suppression des données, il faut mesurer la portée de ce droit. En effet, dès lors que les données ont été rendues publiques (diffusion, publication), le responsable n’est pas raisonnablement en mesure de procéder à l’effacement des données personnelles sur tous leurs supports.

Dans ce cas particulier, le RGPD prévoit donc que « le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci ».

On retrouve ici l’idée d’une application raisonnée de droits qu’il est inévitable de confronter à la réalité pratique en vue de leur mise en œuvre. C’est ici la méthode de la balance de proportionnalité qui s’applique, outil repris par le Conseil d’État dans son dernier apport.

Critères d’appréciation du déréférencement 

Les affaires jugées par le Conseil d’État en cette fin d’année 2019 font suite à la décision de la CJUE en la matière pour définir les modalités d’application du droit au déférencement par les exploitants de moteurs de recherche, le tout sous le pouvoir de contrôle de la CNIL. Il en découle des principes généraux pour l’établissement du cadre juridique applicable, mais aussi des précisions en fonction du niveau de sensibilité des données référencées.

Les grands principes d’appréciation du droit au déréférencement

Si le Conseil d’État considère bien que « le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit », l’appréciation de sa portée repose sur la mise en œuvre d’une balance des droits et libertés fondamentaux en présence, au regard des circonstances factuelles.

En effet, le droit de la personne concernée à demander l’effacement de ses données ne doit pas aller à l’encontre des cas suivants :

  • Exercice du droit à la liberté d’expression et d’information: c’est le cas de la presse ;
  • Respect d’une obligation légale: par exemple lorsque le responsable de traitement est tenu de conserver des documents pendant un délai fixé par la règlementation ;
  • Utilisation des données dans l’intérêt public dans le domaine de la santé;
  • Utilisation des données à des fins d’archivage dans l’intérêt public à des fins de recherche scientifique ou historique, ou à des fins statistiques;
  • Constatation, exercice, ou défense de droits en justice.

Le droit à l’oubli n’est donc pas absolu, et la personne concernée peut se voir opposer un refus d’effacement sur l’un de ces fondements.

Sensibilité des données et étendue du droit à l’oubli

Dans un second temps d’appréciation de la portée du droit au déréférencement, le Conseil d’État précise que « l’arbitrage » entre la vie privée de la personne concernée et le droit à l’information du public « dépend de la nature des données personnelles », autrement dit de leur degré de sensibilité.

Une grille d’analyse est proposée sur la base de trois paramètres principaux :

Grilla analyse déréférencement

 

Trois niveaux de données sont alors distingués pour déterminer le niveau d’intérêt pour l’information du public à pouvoir rechercher les données à partir du nom de la personne concernée.

  1. Référencement d’un lien menant vers des données personnelles non sensibles

Dans le cas de données personnelles non sensibles, le critère d’appréciation du droit au déréférencement est celui de l’intérêt prépondérant du public à avoir connaissance des données personnelles du fait de leur référencement sur le moteur de recherche sur la vie privée de l’individu qui en demande le déréférencement, qui s’apprécie lui-même en fonction des trois paramètres principaux de la grille d’analyse.

Exemple

Sur la question du déréférencement d’une adresse postale, donnée personnelle non sensible, l’adresse postale du cabinet d’un médecin doit pouvoir être facilement accessible sans que le respect de la vie privée du professionnel soit excessivement impacté de ce fait. A l’inverse, l’adresse personnelle d’un individu ayant déposé un brevet d’invention ancien par ailleurs expiré n’est pas suffisamment nécessaire au public pour justifier le référencement des pages correspondantes, d’autant que les informations relatives au brevet sont susceptibles d’être retrouvées à partir d’autres mots clés par recherche sur internet.

  1. Référencement d’un lien menant vers des données personnelles sensibles

Dans cette deuxième hypothèse, le critère n’est plus celui de l’intérêt prépondérant du public à l’accès, mais celui d’un accès strictement nécessaire à l’information du public.

Ce sont alors les trois mêmes paramètres qui entrent en jeu, mais la CNIL en fera une appréciation plus stricte, plus exigeante, face à un risque accru du fait du niveau de sensibilité de la donnée en cause.

Toutefois, il est précisé que si l’information a manifestement été rendue publique par la personne concernée, c’est le niveau d’appréciation fixé pour les données non sensibles qui trouve à s’appliquer.

  1. Référencement d’un lien menant vers des données relatives à une procédure pénale

Enfin, le Conseil d’État traite le cas des données relatives à une procédure pénale de manière spécifique, dès lors que l’exactitude d’une telle information est susceptible de fluctuer dans le temps selon l’évolution des procédures visées alors même qu’elle a un effet considérable sur l’image et la renommée des personnes concernées.

Si le référencement d’informations relatives à une première étape reste légal, le public doit pouvoir accéder en priorité aux données mises à jour en cas de recherche par le nom. Les exploitants de moteurs de recherche doivent donc a minima faire apparaitre un lien vers une information à jour de la situation pénale de la personne concernée avant le lien vers l’information dépassée.

En outre, la méthode d’analyse définie pour les données sensibles restant applicables, il conviendra de traiter différemment les informations d’ordre pénal concernant un particulier sans renommée particulière et celles concernant une personne connue du public.

Exemple

Si une personne est acquittée en novembre, un article de presse du mois d’avril précédent, qui informe le public de sa mise en accusation, doit être moins bien référencé en cas de recherche à partir du nom de la personne, c’est-à-dire que le premier résultat lorsque l’internaute tape le nom dans sa barre de recherche ne doit pas être l’article dépassé (celui d’avril) mais un article plus récent donc à jour informant de son innocence, c’est-à-dire de la situation actuelle et exacte.

Portée territoriale du droit au déréférencement

Dans des affaires de septembre 2019, le Conseil d’État renvoyait à la CJUE la question du champ territorial du droit au déréférencement, soulevée dans le cadre de procédures devant la CNIL. En effet, dans le cas de moteurs de recherche souvent mondiaux, la question se pose de savoir si l’exploitant est tenu de déréférencer les résultats dans tous les pays où il opère.

Il est essentiel de garder ici à l’esprit que si le RGPD a vocation à protéger les individus de l’Union Européenne (UE) qu’ils soient ou non situés sur le territoire européen, l’Europe ne peut pas toujours exercer son pouvoir sur des entités étrangères comme elle le souhaiterait.

Ainsi, la CJUE a jugé que le droit européen ne permet pas d’obliger l’exploitant d’un moteur de recherche à appliquer le déréférencement demandé sur l’intégralité des versions du moteur concernée, ce qui signifie en pratique que les résultats restent accessibles depuis des pays hors UE.

Cette solution peut sembler priver d’effet le droit à l’oubli, raison pour laquelle il a été précisé que l’exploitant doit appliquer le déréférencement sur l’ensemble des extensions de noms de domaine qui correspondent aux États Membres de l’Union. Au-delà, il est tenu de prendre des mesures permettant de « satisfaire à toutes les exigences légales et avoir pour effet d’empêcher ou, à tout le moins, de sérieusement décourager les internautes dans les États membres d’avoir accès aux liens en cause à partir d’une recherche effectuée sur la base du nom de cette personne ».

On peut donc regretter que le droit à l’oubli sur internet, pour renforcé, reste soumis à interprétation et de portée restreinte, ce qui semble toutefois inévitable au regard du contexte technique et géographique…

Références