[ 21 mai 2014 ]

Libertés fondamentales - droits de l'homme

Le droit à l’oubli sur Internet : un droit sous condition au regard de la directive de l’Union

Mots-clefs : Protection des données à caractère personnel, Droit au respect de la vie privée, Droit fondamentaux, ingérence, Directive, Internet, Droit à l’oubli

La protection des données à caractère personnel constitue actuellement un contentieux récurrent devant la Cour de justice ce qui lui permet de préciser la portée des obligations de chacun des acteurs de l’industrie d’Internet (v. dernièrement, CJEU, grde ch., 8 avr. 2014, Digital Rights Ireland Ltd).

Ce nouvel arrêt est l’occasion pour la Cour de définir non seulement les obligations d’un exploitant d’un moteur de recherche mais également le champ d’application territorial de la directive 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Sur ce dernier aspect, l’enjeu est réel étant donné que les entreprises sont pour la majorité basées en dehors du territoire de l’Union européenne.

À l’origine des faits, il y a un requérant espagnol qui a déposé une réclamation à l’encontre d’un journal espagnol et de Google Inc, basé aux États-Unis, afin que soient supprimées ou modifiées des pages web ou que les données en cause figurant dans ces pages soient écartées de la liste de résultats lorsqu’une recherche est effectuée à partir de son nom. Le requérant reproche aux données apparaissant dans les pages en question de faire mention d’une vente aux enchères immobilières à la suite d’une saisie pour recouvrer des dettes de sécurité sociale alors que le contentieux a été définitivement réglé il y a plusieurs années.

La Cour de justice a ainsi été interrogée pour déterminer si cette demande pouvait aboutir auprès de Google.

La Cour a apporté des réponses concernant plusieurs aspects de l’application de la directive 95/46/CE. La Cour : 

– confirme, tout d’abord, son approche large de la notion de traitement des données pour garantir une protection effective ; 

– détermine, ensuite, le champ d’application géographique de la directive ;

– définit, enfin, l’obligation s’imposant à l’exploitant du moteur de recherche.

▪ Tout d’abord, la Cour confirme que l’exploitant de moteur de recherche effectue une activité de traitement au sens de la directive, même si cette opération intervient de manière indifférenciée pour toute information, personnelle ou non. Le fait d’extraire les données, de les enregistrer, de les organiser et de les mettre à disposition sous forme de listes de résultats constitue une activité de traitement. L’entreprise est alors responsable de ce traitement, l’obligeant à intervenir conformément aux exigences de protection posées par la directive.

▪ Ensuite, la Cour détermine le champ d’application territorial de manière très favorable à l’application de la directive. La Cour ne se fonde pas uniquement sur le lieu de l’établissement du traitement des données. La Cour de justice prend en considération l’ensemble des établissements, ici de Google, qui s’appuie sur l’activité de traitement pour exercer leurs missions. En Espagne, Google a un établissement chargé de vendre des espaces publicitaires, Google Spain, pour rentabiliser l’activité principale. La directive est en conséquence applicable à Google Inc, chargé du traitement.

▪ Enfin, la Cour définit les obligations de l’exploitant, en précisant qu’elles sont identiques que les informations en cause soient licites ou non, légales ou non à l’origine et qu’elles soient encore présentes sur des pages web d’un éditeur. La responsabilité de l’exploitant est, en conséquence, indépendante des éditeurs de pages web au regard de la directive.

L’obligation de suppression n’est pas absolue, la Cour imposant de prendre en considération les intérêts des internautes et notamment l’accès à l’information. L’ingérence doit ainsi est proportionnée tant à l’égard de la personne concernée par les données que pour les internautes.

Pour la personne concernée, il s’agit de protéger le droit au respect de la vie privée (Charte UE, art. 7) et le droit à la protection des données à caractère personnel (Charte UE, art. 8).

La Cour pose alors les règles permettant d’établir un juste équilibre. Dans ce cadre, elle refuse de prendre en considération le seul intérêt économique de l’exploitant pour justifier d’une ingérence à l’égard de la protection de la vie privée et des données à caractère personnel. La Cour pose le principe : la suppression des données dès lors qu’avec le temps celles-ci apparaissent inadéquates, pas ou plus pertinentes, ou excessives au regard de leur finalité initiale. La Cour reconnaît indubitablement un droit à l’oubli dans ces circonstances.

Cependant, cette protection ne s’applique pas de manière systématique. Il convient pour la Cour d’opérer une distinction avec les personnes intervenant dans la vie publique. Dans cette dernière hypothèse, la Cour reconnaît que les informations peuvent être maintenues accessibles si elles représentent un intérêt prépondérant pour les internautes.

Concrètement, il reviendra, d’abord, à l’autorité administrative puis au juge national, en cas de contentieux, de déterminer la catégorie à laquelle appartient la personne et, ensuite, d’appréhender si les informations accessibles sont devenues avec le temps non nécessaires, imposant leur suppression.

CJUE, grde ch., 13 mai 2014, Google Spain Sl, Google Inc. c/. Agencia Espanola de Proteccion de Datos (AEPD), Mario Costeja Gonzalez, C-131/12