Ce message est également disponible en : Anglais

google spainEn raison des risques croissants pour les droits fondamentaux des citoyens, et notamment pour le droit au respect de la vie privée, le traitement et la circulation des données à caractère personnel sur Internet sont aujourd’hui au cœur des préoccupations des instances européennes, qu’il s’agisse du projet de règlement européen (cf. infra) ou des récentes décisions rendues par la Cour de justice de l’Union européenne (CJUE) 1Outre la décision Google Spain qui est l’objet de cette note, la CJUE vient d’invalider la directive 2006/24/CE du 15 mars 2006 sur la conservation des données électroniques (CJUE, gde ch., 8 avril 2014, aff. C-293/12 et C-594/12, Digital Rights Ireland Ltd et a.)..

En juin 2013, la retentissante affaire PRISM2On se rappelle que The Guardian a révélé, sur la base du témoignage d’Edward Snowden, un ancien informaticien de la NSA, que le gouvernement américain disposait, grâce au programme de surveillance PRISM, d’un accès direct aux données personnelles collectées et stockées par les grands groupes américains de l’Internet, notamment Google, Facebook, YouTube, Microsoft, Skype et Apple (Glenn Greenwald et Ewen MacAskill, « NSA Taps in to Systems of Google, Facebook, Apple and Others, Secret Files Reveal », The Guardian,‎ 7 juin 2013).a mis en lumière les enjeux économiques et politiques du traitement des données personnelles par les grandes sociétés de l’Internet et a rappelé l’urgence d’un renforcement de la législation européenne afin d’améliorer la protection des citoyens européens face au développement et à la mondialisation des flux de données.

Rappelons que la législation européenne concernant le traitement des données personnelles date de 19953Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (c’est-à-dire avant la révolution numérique) et qu’elle fait l’objet d’un projet de réforme depuis 2012. Le 12 mars 2014, le Parlement européen a adopté en première lecture un projet de règlement4Le même jour, le Parlement a adopté en première lecture un projet de directive visant à appliquer les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. visant à renforcer les législations nationales et qui couvre l’essentiel du traitement des données personnelles au sein de l’Union européenne. En particulier, ce texte introduit des garanties plus solides pour les données personnelles des citoyens européens transférées vers des pays non européens, précise le droit à l’effacement des données prévu par la directive de 1995, crée un droit à l’oubli numérique et augmente le montant des amendes imposées aux entreprises contrevenantes, jusqu’à 100 millions d’euros ou 5 % de leur chiffre d’affaires global.

C’est précisément un droit à l’oubli numérique que la CJUE – devançant par-là même le législateur européen – a consacré dans son arrêt du 13 mai 2014 rendu dans l’affaire Google Spain. 5CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. / Agencia Espanola de Proteccion de Datos et Gonzales. Statuant sur l’interprétation de la directive de 1995, la Cour considère que l’exploitant d’un moteur de recherche est responsable du référencement des données personnelles apparaissant sur des pages Web publiées par des tiers et reconnaît, sous certaines conditions, à la personne dont les données personnelles ont été indexées par le moteur de recherche un droit à l’oubli, dont la mise en œuvre entraîne l’effacement des liens hypertextes du moteur de recherche.

Au-delà du litige individuel, cet arrêt, comme toutes les décisions de la CJUE, bénéficie à tous les citoyens de l’UE(sans condition de nationalité) 6Mais seulement aux citoyens de l’UE.et s’impose à toutes les autorités et juridictions nationales des Etats membres qui seraient saisies d’un problème similaire, ce qui laisse penser que l’obligation de désindexation, qui pour l’instant ne concerne que Google, sera à l’avenir étendue aux autres moteurs de recherche.

La première conséquence de cette décision a été la mise à disposition par Google, dès la fin du mois de mai, d’un formulaire « droit à l’oubli 7https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=fr.» pour recueillir les demandes de suppression de liens. Google aurait déjà reçu 70 000 réclamations…

L’affaire a débuté en 2010 avec la réclamation d’un citoyen espagnol, M. Mario Costeja Gonzales, auprès de l’Agence espagnole de protection des données (Agencia Espanola de Proteccion de Datos, AEPD8L’équivalent espagnol de la CNIL. Cette agence statue en premier ressort sur les demandes relatives à la protection des données personnelles.) à l’encontre de La Vanguardia Ediciones SL, société éditrice d’un quotidien espagnol, de Google Spain et de Google Inc. M. Gonzales faisait valoir, à l’appui de sa réclamation, que, lorsqu’un internaute introduisait son nom dans le moteur de recherche Google, la liste des résultats affichait des liens vers deux pages du quotidien de La Vanguardia, datées de janvier et mars 1998, mentionnant une vente aux enchères d’un immeuble saisi en paiement de ses dettes de sécurité sociale. M. Gonzales affirmait que ces références n’étaient plus pertinentes, ces dettes ayant été apurées depuis longtemps et demandait, en conséquence, d’une part, que soit ordonné à La Vanguardia de supprimer ou modifier les pages en cause afin que ses données personnelles n’y apparaissent plus et, d’autre part, qu’il soit ordonné à Google Spain ou Google Inc. de supprimer ou d’occulter ses données personnelles afin qu’elles disparaissent des résultats de recherche.

L’Agence de protection des données rejeta la réclamation dirigée contre La Vanguardia estimant que l’information avait été légalement publiée dans le quotidien, puisqu’il s’agissait d’un avis de vente judiciaire (annonce légale). En revanche, elle demanda à Google de prendre les mesures nécessaires pour retirer les données de son index. Google Spain et Google Inc. saisirent alors la juridiction d’appel (l’Audiencia Nacional) afin d’obtenir l’infirmation de la décision de l’AEPD.

Dès lors, devant cette juridiction (et donc devant la CJUE), le débat se limite à la responsabilité de l’exploitant du moteur de recherche et la question de la responsabilité de l’éditeur du site source n’est pas envisagée.

1. C’est ainsi que, statuant sur renvoi préjudiciel de l’Audiencia Nacional en interprétation de la directive de 1995, la CJUE a, par son arrêt du 13 mai 2014, tout d’abord, jugé que l’activité d’un moteur de recherche devait être qualifiée de « traitement de données à caractère personnel » et que l’exploitant du moteur de recherche devait être considéré comme « responsable du traitement de données personnelles », au sens de la directive.

En conséquence, pour la CJUE, les dispositions de la directive sont applicables à l’activité d’indexation des données personnelles opérée par un moteur de recherche et l’exploitant doit s’assurer que son activité est conforme aux exigences de la directive.

2. Répondant à une autre question de l’AEPD sur le champ d’application territorial de la directive, la CJUE considère que la directive est applicable lorsqu’une société-mère, effectuant un traitement de données personnelles en dehors de l’Union européenne, a une filiale établie dans un Etat membre de l’UE dont l’activité est la vente et la promotion d’espaces publicitaires comme c’est le cas en l’espèce pour la société Google. 9Cette question sur le champ d’application territorial se posait en l’espèce, puisque, au sein de la société Google, la société-mère américaine Google Inc. procède au traitement des données personnelles et la filiale espagnole Google Spain n’exerce qu’une activité de régie publicitaire.

3. La Cour se prononce, ensuite et surtout, sur l’étendue de la responsabilité de l’exploitant du moteur de recherche en cas d’indexation de données personnelles et consacre, ce faisant, un droit à l’oubli numérique, déclinaison du droit au respect de la vie privée10La CJUE fonde sa décision sur les articles 7 (respect de la vie privée) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux de l’UE., et dont la mise en œuvre conduit à la suppression, sous certaines conditions, des liens hypertextes d’un moteur de recherche renvoyant vers des sites Web sur lesquels figurent des données personnelles.

Quelles sont donc les conditions de mise en œuvre du droit à l’oubli posées par la CJUE dans cet arrêt ? En d’autres termes, dans quels cas est-il possible d’obtenir l’effacement de liens hypertextes d’un moteur de recherche ?

La Cour estime que l’exploitant d’un moteur de recherche a l’obligation de supprimer de la liste des résultats obtenus en tapant le nom d’une personne, les liens dirigeant vers des pages Web contenant des données personnelles relatives à cette personne, dès lors que le traitement des données personnelles en cause est incompatible avec la directive de 1995, cette incompatibilité pouvant « résulter non seulement du fait que ces données sont inexactes, mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques » (pt 92 de l’arrêt). Ainsi, il suffit que les données personnelles litigieuses tombent dans l’une de ces catégories pour que la personne concernée puisse exiger l’effacement des liens du moteur de recherche, l’existence d’un préjudice résultant de « l’inclusion de l’information en question dans la liste de résultats » n’ayant pas à être démontrée (pt 96).

Ce critère de mise en œuvre du droit à l’oubli pose d’emblée un certain nombre de questions (qu’est-ce qu’une durée nécessaire ? des données excessives ou non pertinentes ?…) et apparaît comme particulièrement large. Le risque d’une suppression massive de liens hypertextes des moteurs de recherche est donc réel.

On remarque que la CJUE vise à la fois les traitements de données initialement contraires à la Directive et ceux qui le deviennent avec le temps (« durée excédant celle nécessaire » : cf. supra). La Cour précise à cet égard : « Même un traitement licite de données exactes peut devenir, avec le temps, incompatible avec [la] directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé » (pt 93).

C’est donc bien un droit à l’oubli numérique (c’est-à-dire « la possibilité offerte à chacun de maîtriser ses traces numériques et sa vie – privée comme publique – en ligne11 Rapport d’activité 2013 de la CNIL, p. 16.») que la Cour de justice vient de consacrer dans cet arrêt.

La CJUE indique, en outre, que la personne concernée peut obtenir l’effacement même lorsque les informations ne sont pas supprimées des pages Web où elles apparaissent et, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite. Il n’est alors pas nécessaire de s’adresser à l’éditeur du site Internet source avant de réclamer l’effacement auprès du moteur de recherche . Il sera par conséquent possible qu’une information qui a disparu de Google puisse être retrouvée grâce à un autre moteur de recherche, ce qui pourrait conduire les internautes à se détourner de ce dernier si les demandes d’effacement se multiplient – et tant que les autres moteurs de recherche n’auront pas la même obligation de désindexation que Google.

Cependant, tout en reconnaissant ce nouveau droit aux internautes, la Cour rappelle que l’effacement des liens de la liste des résultats se heurte au droit à l’information du public et qu’« un juste équilibre » entre celui-ci et les droits fondamentaux de la personne concernée, en particulier le droit au respect de la vie privée, doit être recherché (pt 81). Bien que, pour la CJUE, l’effacement soit la règle et le maintien des liens l’exception (« les droits de la personne concernée […] prévalent […] en règle générale »), l’équilibre dépend « dans des cas particuliers, […] de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique » (pt 81).

Si la notion de « personne publique » est bien connue comme exception au droit au respect de la vie privée, on peut se demander comment les tribunaux et les autorités nationales de contrôle, chargés de faire respecter le nouveau droit à l’oubli, interpréteront l’adverbe « notamment » et ainsi délimiteront les contours de cette exception.

4. Pour finir, la Cour indique que les demandes d’effacement sont à adresser directement à l’exploitant du moteur de recherche ; à défaut de réponse de l’exploitant, ou en cas de rejet, la personne concernée peut saisir l’autorité de contrôle ou le juge judiciaire. C’est donc à l’exploitant, Google en l’espèce, de déterminer, avant tout recours, si une demande est légitime ou non, ce qui paradoxalement renforce sa position si contestée de régulateur du Web…

Cette décision audacieuse de la CJUE a déjà donné lieu à de nombreux commentaires critiques de la part de Google bien sûr, mais aussi de Wikipédia qui parle de « censure du Web » ou encore de Reporters sans Frontières pour qui il s’agit d’un arrêt « attentatoire à la liberté de l’information ».

En attendant la définition du droit à l’oubli numérique dans le nouveau règlement européen (supra), c’est seulement si le « juste équilibre » entre vie privée et droit à l’information, dont parle la CJUE, est atteint, que cette décision pourra réconcilier les défenseurs du droit au respect de la vie privée et ceux de la liberté d’expression.

Réferences   [ + ]

1. Outre la décision Google Spain qui est l’objet de cette note, la CJUE vient d’invalider la directive 2006/24/CE du 15 mars 2006 sur la conservation des données électroniques (CJUE, gde ch., 8 avril 2014, aff. C-293/12 et C-594/12, Digital Rights Ireland Ltd et a.).
2. On se rappelle que The Guardian a révélé, sur la base du témoignage d’Edward Snowden, un ancien informaticien de la NSA, que le gouvernement américain disposait, grâce au programme de surveillance PRISM, d’un accès direct aux données personnelles collectées et stockées par les grands groupes américains de l’Internet, notamment Google, Facebook, YouTube, Microsoft, Skype et Apple (Glenn Greenwald et Ewen MacAskill, « NSA Taps in to Systems of Google, Facebook, Apple and Others, Secret Files Reveal », The Guardian,‎ 7 juin 2013).
3. Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
4. Le même jour, le Parlement a adopté en première lecture un projet de directive visant à appliquer les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale.
5. CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. / Agencia Espanola de Proteccion de Datos et Gonzales.
6. Mais seulement aux citoyens de l’UE.
7. https://support.google.com/legal/contact/lr_eudpa?product=websearch&hl=fr.
8. L’équivalent espagnol de la CNIL. Cette agence statue en premier ressort sur les demandes relatives à la protection des données personnelles.
9. Cette question sur le champ d’application territorial se posait en l’espèce, puisque, au sein de la société Google, la société-mère américaine Google Inc. procède au traitement des données personnelles et la filiale espagnole Google Spain n’exerce qu’une activité de régie publicitaire.
10. La CJUE fonde sa décision sur les articles 7 (respect de la vie privée) et 8 (protection des données à caractère personnel) de la Charte des droits fondamentaux de l’UE.
11. Rapport d’activité 2013 de la CNIL, p. 16.
Recommandez à vos amis
  • gplus
  • pinterest

À propos de l'auteur

Cecile Debost

Doctorante et chargée de cours au Département d’Etudes des Pays Anglophones de l’Université Paris 8. Membre du groupe de recherche Justices, Images, Languages, Cultures (JILC, EA 1569).