Actualité > À la une
À la une
Libertés fondamentales - droits de l'homme
Le droit à l’oubli sur Internet : un droit sous condition au regard de la directive de l’Union
Mots-clefs : Protection des données à caractère personnel, Droit au respect de la vie privée, Droit fondamentaux, ingérence, Directive, Internet, Droit à l’oubli
Le droit à l’oubli constitue un droit découlant de la directive 95/46/CE dont l’objet est de protéger les libertés et les droits fondamentaux des personnes physiques lors du traitement des données à caractère personnel. Cette obligation de protection s’impose aux exploitants de moteurs de recherche sur Internet en raison de leur activité de traitement des pages web. Toutefois, cette protection n’est pas absolue, l’intérêt légitime des internautes quant à l’accès à l’information devant être prise en considération. Ainsi l’obligation de supprimer les données personnelles doit être appréhendée au regard du rôle de la personne en cause dans la vie publique et par ricochet de l’intérêt pour les internautes d’avoir accès aux informations dévoilées par les moteurs de recherche.
La protection des données à caractère personnel constitue actuellement un contentieux récurrent devant la Cour de justice ce qui lui permet de préciser la portée des obligations de chacun des acteurs de l’industrie d’Internet (v. dernièrement, CJEU, grde ch., 8 avr. 2014, Digital Rights Ireland Ltd).
Ce nouvel arrêt est l’occasion pour la Cour de définir non seulement les obligations d’un exploitant d’un moteur de recherche mais également le champ d’application territorial de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Sur ce dernier aspect, l’enjeu est réel étant donné que les entreprises sont pour la majorité basées en dehors du territoire de l’Union européenne.
À l’origine des faits, il y a un requérant espagnol qui a déposé une réclamation à l’encontre d’un journal espagnol et de Google Inc, basé aux États-Unis, afin que soient supprimées ou modifiées des pages web ou que les données en cause figurant dans ces pages soient écartées de la liste de résultats lorsqu’une recherche est effectuée à partir de son nom. Le requérant reproche aux données apparaissant dans les pages en question de faire mention d’une vente aux enchères immobilières à la suite d’une saisie pour recouvrer des dettes de sécurité sociale alors que le contentieux a été définitivement réglé il y a plusieurs années.
La Cour de justice a ainsi été interrogée pour déterminer si cette demande pouvait aboutir auprès de Google.
La Cour a apporté des réponses concernant plusieurs aspects de l’application de la directive 95/46/CE. La Cour :
– confirme, tout d’abord, son approche large de la notion de traitement des données pour garantir une protection effective ;
– détermine, ensuite, le champ d’application géographique de la directive ;
– définit, enfin, l’obligation s’imposant à l’exploitant du moteur de recherche.
▪ Tout d’abord, la Cour confirme que l’exploitant de moteur de recherche effectue une activité de traitement au sens de la directive, même si cette opération intervient de manière indifférenciée pour toute information, personnelle ou non. Le fait d’extraire les données, de les enregistrer, de les organiser et de les mettre à disposition sous forme de listes de résultats constitue une activité de traitement. L’entreprise est alors responsable de ce traitement, l’obligeant à intervenir conformément aux exigences de protection posées par la directive.
▪ Ensuite, la Cour détermine le champ d’application territorial de manière très favorable à l’application de la directive. La Cour ne se fonde pas uniquement sur le lieu de l’établissement du traitement des données. La Cour de justice prend en considération l’ensemble des établissements, ici de Google, qui s’appuie sur l’activité de traitement pour exercer leurs missions. En Espagne, Google a un établissement chargé de vendre des espaces publicitaires, Google Spain, pour rentabiliser l’activité principale. La directive est en conséquence applicable à Google Inc, chargé du traitement.
▪ Enfin, la Cour définit les obligations de l’exploitant, en précisant qu’elles sont identiques que les informations en cause soient licites ou non, légales ou non à l’origine et qu’elles soient encore présentes sur des pages web d’un éditeur. La responsabilité de l’exploitant est, en conséquence, indépendante des éditeurs de pages web au regard de la directive.
L’obligation de suppression n’est pas absolue, la Cour imposant de prendre en considération les intérêts des internautes et notamment l’accès à l’information. L’ingérence doit ainsi est proportionnée tant à l’égard de la personne concernée par les données que pour les internautes.
Pour la personne concernée, il s’agit de protéger le droit au respect de la vie privée (Charte UE, art. 7) et le droit à la protection des données à caractère personnel (Charte UE, art. 8).
La Cour pose alors les règles permettant d’établir un juste équilibre. Dans ce cadre, elle refuse de prendre en considération le seul intérêt économique de l’exploitant pour justifier d’une ingérence à l’égard de la protection de la vie privée et des données à caractère personnel. La Cour pose le principe : la suppression des données dès lors qu’avec le temps celles-ci apparaissent inadéquates, pas ou plus pertinentes, ou excessives au regard de leur finalité initiale. La Cour reconnaît indubitablement un droit à l’oubli dans ces circonstances.
Cependant, cette protection ne s’applique pas de manière systématique. Il convient pour la Cour d’opérer une distinction avec les personnes intervenant dans la vie publique. Dans cette dernière hypothèse, la Cour reconnaît que les informations peuvent être maintenues accessibles si elles représentent un intérêt prépondérant pour les internautes.
Concrètement, il reviendra, d’abord, à l’autorité administrative puis au juge national, en cas de contentieux, de déterminer la catégorie à laquelle appartient la personne et, ensuite, d’appréhender si les informations accessibles sont devenues avec le temps non nécessaires, imposant leur suppression.
Références
■ CJEU, grde ch., 8 avr. 2014, Digital Rights Ireland Ltd, C-293/12, Dalloz Actu Étudiant, 25 avr. 2014.
■ Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
■ Charte des droits fondamentaux de l’Union européenne, directive 95/46/CE
Article 7 - Respect de la vie privée et familiale
« Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. »
Article 8 - Protection des données à caractère personnel
« 1. Toute personne a droit à la protection des données à caractère personnel la concernant.
2. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d'un autre fondement légitime prévu par la loi. Toute personne a le droit d'accéder aux données collectées la concernant et d'en obtenir la rectification.
3. Le respect de ces règles est soumis au contrôle d'une autorité indépendante. »
Autres À la une
-
Droit de la santé
[ 4 décembre 2024 ]
Précisions sur l’indemnisation des dommages imputables aux vaccinations obligatoires
-
Droit des biens
[ 3 décembre 2024 ]
Possession versus propriété : la prescription acquisitive trentenaire l’emporte sur le titre publié
-
Droit bancaire - droit du crédit
[ 2 décembre 2024 ]
Le dirigeant avalisant un billet à ordre par une double signature associée au cachet de la société ne s’engage pas personnellement
-
Introduction au droit
[ 29 novembre 2024 ]
Point sur la charge de la preuve
-
Droit de la responsabilité civile
[ 28 novembre 2024 ]
Responsabilité du garagiste-réparateur : la persistance du désordre après son intervention suffit à la présumer
- >> Toutes les actualités À la une