Actualité > À la une
À la une
Libertés fondamentales - droits de l'homme
« Droit à l’oubli » sur les moteurs de recherche : état des lieux
Chaque individu dispose d’un « droit à l’oubli » ; droit qui consiste à décider si ses données personnelles doivent ou non être effacées lorsque leur conservation constitue une violation de ses intérêts ou libertés et droits fondamentaux. Les moteurs de recherche, incontournables, participent à l’essor de l’exercice de ce droit. Quelles sont, dès lors, les règles concrètes en la matière ?
Le « droit à l’oubli » est une notion qui souffrait jusqu’à récemment d’un manque de considération juridique, l’expression regroupant en réalité deux droits : le droit à l’effacement et le droit d’opposition. C’est par ailleurs la raison pour laquelle le Règlement général sur la protection des données (RGPD) n’omet jamais d’insérer des guillemets dès lors qu’il évoque ce droit. Il existait ainsi dès l’adoption de la directive du 24 octobre 1995, et, plus récemment depuis l’adoption du RGPD, la possibilité pour une personne de s’opposer au traitement de ses données personnelles, ou d’en demander l’effacement (Dir. 95/46/CE, art. 12 ; Règl. 2016/679/UE, art. 17 et 21).
Imaginons un instant Monsieur X, entrepreneur et sorti d’une longue période de surendettement, se voyant systématiquement refuser un prêt pour développer son affaire. En entrant son nom sur son moteur de recherche préféré, il s’aperçoit qu’un obscur article publié par un journal local il y a de cela dix ans ferait état de son insolvabilité. Sans l’existence du moteur de recherche, aucune banque n’aurait jamais pensé à consulter le journal, et Monsieur X entend faire valoir ses droits. Le problème étant que la personne doit en principe exercer ses droits auprès du responsable de traitement, qui est la personne déterminant les finalités et les moyens du traitement des données personnelles. Ce responsable de traitement serait donc a priori le journal local, puisque c’est lui qui est à l’origine de l’article, et non le moteur de recherche.
Depuis la célèbre affaire « Google Spain », la CJUE estime qu’un moteur de recherche est un responsable de traitement, puisqu’il stocke les données, les indexe, et les met à disposition des utilisateurs sous un ordre donné (CJUE, gr. ch., 13 mai 2014, n° C-131/12). Au vu de l’activité limitée du moteur de recherche, l’exercice du droit à l’oubli doit se restreindre à une demande de déréférencement. Ainsi, Monsieur X pourrait demander au moteur de recherche à ce que le résultat de la recherche liée à son nom ne mentionne pas le site web litigieux.
Or, l’exercice du « droit à l’oubli » peut être limité par d’autres intérêts, dont notamment l’exercice du droit à la liberté d’expression et d’information, ou encore des motifs d’intérêts publics (RGPD, art. 17, § 2). Le juge doit donc procéder à un contrôle de proportionnalité entre les droits fondamentaux de la personne concernée et les motifs listés par le RGPD.
Récemment, la Cour de justice de l’Union européenne (CJUE) a précisé la portée du droit au déréférencement imposé à l’exploitant d’un moteur de recherche, par deux arrêts rendus le 24 septembre 2019.
La première affaire s’intéresse à la question des données sensibles, particulièrement protégées, qui révèlent par exemple l'origine raciale ou ethnique, les opinions politiques, ou les convictions religieuses ou philosophiques (Dir. 95/46/CE, art. 8 ; RGPD, art. 9). En principe, expose la CJUE, le moteur de recherche doit automatiquement faire droit aux demandes de déréférencement de sites web contenant des données sensibles. Cependant, ajoute la Cour, le moteur de recherche peut refuser la demande :
- soit lorsque toutes les conditions de licéité du traitement ont été respectées et que la personne concernée n’a pas exercé son droit d’opposition ;
- soit après contrôle de proportionnalité, lorsque la conservation du lien litigieux dans la liste des résultats est « strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche », ou, pour les données relatives aux infractions et aux condamnations pénales, lorsque « ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle ».
La seconde affaire s’intéresse à la question de savoir si le juge peut étendre la demande de déréférencement à toutes les extensions des noms de domaine du moteur de recherche. C’est la question du blocage géographique, dit géoblocage, qui permet de bloquer le site web litigieux dans un territoire délimité. Sur ce point, la CJUE rappelle que le législateur européen entendait seulement harmoniser les règles sur le territoire de l’Union européenne, non dans le monde entier. Ainsi, en principe, l’exercice du droit au déréférencement devrait se limiter sur les territoires de l’Union. Toutefois, le législateur européen n’a pas non plus expressément interdit d’étendre le déréférencement au monde entier. De fait, selon la Cour, et à la suite d’un contrôle de proportionnalité, une autorité de contrôle ou une autorité judiciaire pourrait « enjoindre, le cas échéant, à l’exploitant [d’un] moteur de recherche de procéder à un déréférencement portant sur [les versions du monde entier] dudit moteur ».
CJUE, gr. ch., 24 septembre 2019, GC, AF, BH, ED c/ CNIL, n° C-136/17
CJUE, gr. ch., 24 septembre 2019, Google c/ CNIL, n° C-507/17
Références :
■ Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
Article 9 Traitement portant sur des catégories particulières de données à caractère personnel. 1. Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits.
2. Le paragraphe 1 ne s'applique pas si l'une des conditions suivantes est remplie:
a) la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l'Union ou le droit de l'État membre prévoit que l'interdiction visée au paragraphe 1 ne peut pas être levée par la personne concernée;
b) le traitement est nécessaire aux fins de l'exécution des obligations et de l'exercice des droits propres au responsable du traitement ou à la personne concernée en matière de droit du travail, de la sécurité sociale et de la protection sociale, dans la mesure où ce traitement est autorisé par le droit de l'Union, par le droit d'un État membre ou par une convention collective conclue en vertu du droit d'un État membre qui prévoit des garanties appropriées pour les droits fondamentaux et les intérêts de la personne concernée;
c) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique, dans le cas où la personne concernée se trouve dans l'incapacité physique ou juridique de donner son consentement;
d) le traitement est effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité politique, philosophique, religieuse ou syndicale, à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme ou aux personnes entretenant avec celui-ci des contacts réguliers en liaison avec ses finalités et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées;
e) le traitement porte sur des données à caractère personnel qui sont manifestement rendues publiques par la personne concernée;
f) le traitement est nécessaire à la constatation, à l'exercice ou à la défense d'un droit en justice ou chaque fois que des juridictions agissent dans le cadre de leur fonction juridictionnelle;
g) le traitement est nécessaire pour des motifs d'intérêt public important, sur la base du droit de l'Union ou du droit d'un 'État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée;
h) le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, de la prise en charge sanitaire ou sociale, ou de la gestion des systèmes et des services de soins de santé ou de protection sociale sur la base du droit de l'Union, du droit d'un État membre ou en vertu d'un contrat conclu avec un professionnel de la santé et soumis aux conditions et garanties visées au paragraphe 3;
i) le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel;
j) le traitement est nécessaire à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, conformément à l'article 89, paragraphe 1, sur la base du droit de l'Union ou du droit d'un État membre qui doit être proportionné à l'objectif poursuivi, respecter l'essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.
3. Les données à caractère personnel visées au paragraphe 1 peuvent faire l'objet d'un traitement aux fins prévues au paragraphe 2, point h), si ces données sont traitées par un professionnel de la santé soumis à une obligation de secret professionnel conformément au droit de l'Union, au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents, ou sous sa responsabilité, ou par une autre personne également soumise à une obligation de secret conformément au droit de l'Union ou au droit d'un État membre ou aux règles arrêtées par les organismes nationaux compétents.
4. Les États membres peuvent maintenir ou introduire des conditions supplémentaires, y compris des limitations, en ce qui concerne le traitement des données génétiques, des données biométriques ou des données concernant la santé. »
Article 17 « Droit à l'effacement («droit à l'oubli») 1. La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais, lorsque l'un des motifs suivants s'applique:
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d'une autre manière;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l'article 6, paragraphe 1, point a), ou à l'article 9, paragraphe 2, point a), et il n'existe pas d'autre fondement juridique au traitement;
c) la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 1, et il n'existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement en vertu de l'article 21, paragraphe 2;
d) les données à caractère personnel ont fait l'objet d'un traitement illicite;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis;
f) les données à caractère personnel ont été collectées dans le cadre de l'offre de services de la société de l'information visée à l'article 8, paragraphe 1.
2. Lorsqu'il a rendu publiques les données à caractère personnel et qu'il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d'ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l'effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
3. Les paragraphes 1 et 2 ne s'appliquent pas dans la mesure où ce traitement est nécessaire:
a) à l'exercice du droit à la liberté d'expression et d'information;
b) pour respecter une obligation légale qui requiert le traitement prévue par le droit de l'Union ou par le droit de l'État membre auquel le responsable du traitement est soumis, ou pour exécuter une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement;
c) pour des motifs d'intérêt public dans le domaine de la santé publique, conformément à l'article 9, paragraphe 2, points h) et i), ainsi qu'à l'article 9, paragraphe 3;
d) à des fins archivistiques dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, dans la mesure où le droit visé au paragraphe 1 est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement; ou
e) à la constatation, à l'exercice ou à la défense de droits en justice. »
■ CNIL, communiqué de presse, « Droit au déréférencement : la CJUE a rendu ses arrêts », 24 sept. 2019
■ CJUE, gr. ch., 13 mai 2014, Google Spain, n° C-131/12 : Dalloz Actu Étudiant, 21 mai 2014 ; AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1476, note V.-L. Benabou et J. Rochfeld ; ibid. 1481, note N. Martial-Braz et J. Rochfeld ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJCT 2014. 502, obs. O. Tambou ; Légipresse 2014. 330 et les obs. ; JAC 2014, n° 15, p. 6, obs. E. Scaramozzino ; Constitutions 2014. 218, chron. D. de Bellescize ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 879, étude B. Hardy ; ibid. 2016. 249, étude O. Tambou ; Rev. UE 2016. 597, étude R. Perray
Autres À la une
-
[ 20 décembre 2024 ]
À l’année prochaine !
-
Droit du travail - relations collectives
[ 20 décembre 2024 ]
Salariés des TPE : à vous de voter !
-
Droit du travail - relations individuelles
[ 19 décembre 2024 ]
Point sur la protection de la maternité
-
Libertés fondamentales - droits de l'homme
[ 18 décembre 2024 ]
PMA post-mortem : compatibilité de l’interdiction avec le droit européen
-
Droit de la famille
[ 17 décembre 2024 ]
GPA : l’absence de lien biologique entre l’enfant et son parent d’intention ne s’oppose pas à la reconnaissance en France du lien de filiation établi à l'étranger
- >> Toutes les actualités À la une