[ 7 juillet 2016 ]

Les droits des personnes, Internet et la CNIL

Que reproche la CNIL à la société NC Numéricâble dans sa décision du 1^er mars 2016 ?

L’article 6-4 de la loi Informatique et Libertés impute au collecteur ou gestionnaire de données à caractères personnelles l’obligation de prendre des « mesures appropriées » pour que « les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ». 

Entreprise de téléphonie, Numéricâble doit en outre communiquer l’identité d’abonnés ayant accédé à des sites ayant des activités illicites ou criminelles. L’entreprise a transmis le nom d’un internaute, désigné comme ayant accédé plus de 1 500 fois à des sites de contrefaçon et de pédocriminalité. Mais il s’agissait d’une erreur informatique récurrente ! L’internaute a été poursuivi au pénal alors qu’il n’avait rien fait. La CNIL sanctionne l’entreprise pour avoir transmis une fausse information.

Quelle précision apporte la Commission sur l’obligation légale de transmission des données par les opérateurs à la Hadopi et aux services de police ?

L’obligation pour l’entreprise d’avoir des données exactes et complètes est une obligation de résultat. « Prendre des mesures appropriées » n’engendre pas qu’une obligation de « faire au mieux ». Le régulateur « retourne le texte comme un gant » : prendre des mesures pour rectifier des données se révélant inexactes est interprété comme l’obligation objective d’avoir en permanence des données exactes et complètes.

Adieu l’obligation de moyens ! Cela se comprend en ce que l’entreprise qui a la position centrale, puisqu’elle détient les informations et les transmets – ce qui est le cœur du réacteur – ne doit pas transmettre de données inexactes. Dans un système de régulation, le droit internalise dans l’entreprise la charge objective de disposer des informations exactes et complètes aux gardiens du système (régulateur et parquet) : c’est la rançon du pouvoir. 

Concernant le droit à l’oubli, que dit l’arrêt de la CJUE du 13 mai 2014 ?

Cet arrêt Google Spain est fondateur en ce qu’il a conçu le « droit à l’oubli » : il a conféré à tout internaute le droit subjectif dont toute personne est titulaire d’exiger de l’entreprise le retrait immédiat de la donnée personnelle qui le concerne. L’entreprise qui détient cette donnée ne peut se protéger contre des difficultés techniques, elle doit s’exécuter : c’est donc la même idée d’obligation de résultat.

C’est aussi la même idée non seulement de protection des personnes contre la puissance de l’entreprise, mais encore la conception d’un système de régulation dans lequel on « arme » un acteur – ici l’internaute – pour qu’il attaque le puissant – ici l’entreprise numérique – et qu’un équilibre en résulte.

On sait bien qu’il ne s’agit pas littéralement d’un « droit à l’oubli », car rien n’est « oublié » dans l’espace numérique : le droit fait place à un mécanisme objectif de déréférencement que l’internaute actionne et l’entreprise doit obtempérer. 

En rejetant le recours gracieux formé par Google en septembre 2015, que précise la CNIL sur la portée effective du déréférencement ?

On voit ici la cohérence du système, dont les entreprises ne sont pas les maîtresses. Le droit de la régulation passe de plus en plus par les actions des personnes privées et il est faux de dire qu’Internet est un espace sans droit, l’efficacité des actions privées assurant le bon fonctionnement de l’ensemble.

C’est pourquoi lorsque Google a effacé les références des internautes européens sur les seules extensions numériques européennes répertoriées par son moteur de recherche et pas sur les autres zones du monde, la CNIL l’a mis en demeure. 

Mais, tout à coup réconcilié avec le droit classique, Google a formé un recours gracieux contre cette mise en demeure en soutenant qu’un arrêt de cour européenne ne pourrait être efficace que sur des adresses numériques européennes (comme « .fr »,  « .uk », etc.) mais ne pourrait viser toutes les autres, comme « .com », sauf à commettre l’outrage d’extra-territorialité !

La CNIL a répondu qu’à ce compte la décision européenne ne vaudrait plus rien et a rejeté le recours. 

Dans cette histoire à trois temps, régulateurs et juges apprennent aux entreprises numériques qu’elles ne sont pas les maîtres du Net, si gigantesques et planétaires soient-elles. Et cela n’est que le début de la « Régulation du numérique », dont Pierre Catala fût le premier à mesurer les enjeux.