Le droit à l’oubli numérique

03.11.22  
Le droit à l’oubli numérique
Le droit à l’oubli numérique
Le droit à l’oubli numérique

Aujourd’hui, entrer le nom d’une personne sur des moteurs de recherche comme par exemple Google, Bing ou Ecosia pour s’informer sur celle-ci est une pratique habituelle. Pourtant, cette recherche peut porter atteinte au respect de la vie privée. La personne visée peut avoir divulgué dans le passé ou laisser divulguer des informations sur sa vie privée sur la toile qu’elle ne peut pas ou plus assumer. Il existe de nombreuses agences en e réputation qui traquent ces informations indésirables. Dans notre monde toujours plus numérique, le droit à l’oubli numérique est devenu essentiel et a été consacré au niveau de l’Union européenne en vue de la protection des données personnelles des résidents européens.

Qu’est-ce que le droit à l’oubli numérique ? définition

Le droit à l’oubli numérique est aussi appelé le droit à l’effacement (voir article 17 du règlement nᵒ 2016/679, dit règlement général sur la protection des données). Ce droit permet à un individu de demander l’effacement d’une information en ligne qui la concerne.

Souvent, on distingue deux formes de ce droit : le droit au déréférencement et le droit à l’effacement (au sens strict) :

  • le droit au déréférencement permet à un individu de demander à un moteur de recherche de supprimer certains résultats de recherche associés à son nom et prénom. Le déréférencement ne signifie pas l’effacement de l’information sur le site internet qui reste toujours disponible. La suppression des résultats de recherche par le moteur de recherche est donc possible indépendamment d’un éventuel effacement des informations sur les sites web sur lesquels elles ont été publiées.
  • C’est alors le droit à l’effacement (au sens strict) qui permet à un individu de demander à l’éditeur d’un site web d’effacer ses données à caractère personnel, lorsqu’il n’existe plus de raison légitime à les conserver.

Quand est né ce droit à l’oubli numérique ?

Le droit à l’oubli numérique a été instauré au niveau européen par l’arrêt Google Spain c/ AEPD et Costeja Gonzales du 13 mai 2014. Dans cet arrêt, la Cour de justice de l’Union européenne (CJUE) affirmait que, sous certaines conditions, « l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne ». Cette décision permettait alors aux résidents européens d’obtenir la suppression de liens renvoyant à des données personnelles en cas de motif légitime.

Selon la Cour, une telle suppression est obligatoire pour les exploitants d’un moteur de recherche lorsque les droits de l’individu « prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt [du grand] public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne ».

La Cour soulignait que cette obligation pouvait même exister si la publication des informations en cause sur les sites internet était licite.

Quelle est la base légale actuelle du droit à l’oubli numérique en droit européen ?

Aujourd’hui, le droit à l’oubli est consacré dans le règlement général sur la protection des données personnelles (RGPD) qui est entré en vigueur le 25 mai 2018. Ce texte élargit considérablement le champ de la protection des internautes qui était fixé en droit français dans la Loi Informatique et Libertés (n° 78-17 du 6 janvier 1978). L’article 17 du RGPD précise plus particulièrement dans quelles conditions le responsable d’un traitement a l’obligation d’effacer certaines données à caractère personnel. En outre, cet article fixe les limites du droit à l’oubli.

Dans quels cas peut-on bénéficier d’un droit à l’effacement ?

L’article 17, paragraphe 1 RGPD limite les circonstances dans lesquelles une personne dispose du droit à l’oubli. Ainsi, le responsable du traitement a uniquement l’obligation d’effacer les données personnelles de la personne concernée lorsque surgit l’une des situations suivantes :

  • les données ne sont pas ou plus nécessaires au regard des objectifs pour lesquelles elles ont été initialement collectées ou traitées ;
  • la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
  • la personne concernée s’oppose au traitement et il n’existe pas de motif légitime impérieux pour le traitement ;
  • les données font l’objet d’un traitement illicite (par exemple publication de données piratées) ;
  • les données doivent être effacées pour respecter une obligation légale.

Peut-on se voir refuser le droit à l’oubli numérique ?

Le droit à l’oubli numérique n’est pas absolu. Ainsi, selon l’article 17, paragraphe 3, le responsable du traitement n’est pas obligé d’effacer les données dans la mesure où ce traitement est nécessaire :

  • à l’exercice du droit à la liberté d’expression et d’information ;
  • pour respecter une obligation légale ;
  • pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
  • pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques, dans la mesure où le droit à l’effacement est susceptible de rendre impossible ou de compromettre gravement la réalisation des objectifs dudit traitement ; ou
  • à la constatation, à l’exercice ou à la défense de droits en justice.

Selon la CJUE, l’article 17, paragraphe 3 consacre ainsi, entre autres, « l’exigence d’une mise en balance entre, d’une part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés par les articles 7 et 8 de la Charte [des droits fondamentaux de l’Union européenne], et, d’autre part, le droit fondamental à la liberté d’information, garanti par l’article 11 de la Charte » (CJUE, 6 décembre 2019, C-136/17).

Comment exercer concrètement le droit à l’oubli numérique ?

Pour exercer son droit à l’oubli, l’individu concerné doit d’abord contacter le moteur de recherche ou l’organisme du site interne (via le formulaire qui se trouve sur le site web du responsable du traitement ou par courrier). La demande doit indiquer précisément les données concernées et contenir un exposé des motifs.

Le moteur de recherche ou l’organisme auprès duquel la demande a été effectué doit alors apprécier si la demande est bien fondée ou s’il la refuse au vu des circonstances. Il doit alors répondre dans les meilleurs délais à la personne concernée, le délai maximum dont il dispose est d’un mois.

En cas d’absence de réponse ou en cas de refus, la personne concernée peut pour obtenir l’oubli numérique saisir la CNIL ou la justice. Mais attention : contester un refus ne signifie pas automatiquement que la demande de déréférencement ou d’effacement soit acceptée !

Responsabilité du responsable de traitement en cas de demande d’effacement

La CJUE a insisté dans un arrêt du 27 octobre 2022 (C-129/21) sur les obligations incombant au responsable de traitement des données personnelles de l’entreprise  en cas de demande d’effacement d’une donnée sur un annuaire téléphonique. Le responsable de traitement doit prendre les mesures techniques et organisationnelles appropriées pour informer les autres fournisseurs d’annuaires, auxquels il avait déjà fourni les données personnelles, de la demande d’effacement par la personne concernée. Le responsable de traitement doit également informer l’opérateur de services téléphoniques qui lui avait communiqué ces données personnelles afin qu’il adapte sa liste transférée automatiquement aux différents fournisseurs d’annuaires.

La Cour Européenne en profite pour rappeler que le consentement de la personne concernée par les données publiées dans les annuaires est toujours nécessaire et s’étend à la publication desdites données par des tiers (ici entreprises actives sur le marché des services de renseignement téléphoniques par exemple).

Sur quel territoire peut s’exercer le droit au déréférencement ?

Dans deux arrêts du 24 septembre 2019, la CJUE a précisé le régime du droit au déréférencement de manière importante.

Dans un premier arrêt (C‑507/17), la Cour précise l’étendue géographique du droit au déréférencement européen. Elle statue que l’obligation de déréférencement pour les moteurs de recherche dans l’Union européenne est limitée au territoire européen. Les exploitants des moteurs de recherche faisant droit à une demande de déréférencement n’ont donc pas d’obligation, sur la base du droit de l’Union européenne, de procéder à un déréférencement sur l’ensemble des versions de leur moteur. Ils sont alors autorisés à procéder au déréférencement uniquement sur les versions correspondant à l’ensemble des États membres.

Néanmoins, la CJUE exige que le droit au déréférencement soit effectif sur le territoire européen. Par conséquent, les moteurs de recherche doivent, le cas échéant, prévoir des mesures qui permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les utilisateurs effectuant une recherche d’accéder aux liens déréférencés (ex. : des mesures de géoblocage qui empêchent les utilisateurs connectés avec une adresse IP réputée localisée dans un État membre d’accéder aux liens déréférencés, quelle que soit la version du moteur de recherche consultée).

En outre, la CJUE constate que, exceptionnellement, l’obligation au déréférencement pourrait être mondiale, lorsque l’Etat membre prévoit, dans sa législation nationale, un déréférencement de portée mondiale. En France, pourtant, une telle loi prévoyant une obligation de déréférencement au-delà du territoire européen n’existe pas à ce jour. Mais attention : selon la CJUE, même si la législation nationale d’un Etat membre prévoit un déréférencement mondial, cette obligation ne serait pas systématique. Les autorités nationales chargées de la protection des données doivent alors effectuer une mise en balance entre, d’une part, l’atteinte au droit du respect de la vie privée et de la protection des données personnelles et, d’autre part, le droit à la liberté d’information pour décider si un déréférencement mondial est approprié.

Qu’en est-il du droit au déréférencement en matière de données sensibles ?

Dans son deuxième arrêt du 24 septembre 2019 (C-136/17), la CJUE traite notamment la question de savoir si le moteur de recherche doit faire systématiquement droit à une demande de déréférencement.

  • D’abord, la Cour rappelle que les données sensibles (opinion politique, conviction religieuse, orientation sexuelle, origine raciale ou ethnique, etc.) méritent une protection spécifique, car elles comportent des risques importants pour les libertés et droits fondamentaux de la personne concernée. Cela s’explique par le fait que ces données touchent à l’intimité de la vie privée;
  • La Cour explique par la suite qu’en cas de demande de déréférencement portant sur des données sensibles, l’exploitant du moteur de recherche saisi est obligé, en principe, d’effectuer le déréférencement, à moins que le référencement du lien dans la liste des résultats apparaisse « strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche ». C’est l’exploitant du moteur de recherche ou, en cas de litige, la CNIL qui apprécie cette éventuelle stricte nécessité.
    Toutefois, la CJUE souligne que la protection des données (sensibles) n’est pas la même lorsque les données ont été « manifestement rendues publiques » par l’intéressé lui-même.

En quelques mots

Le droit à l’oubli numérique, aussi appelé droit à l’effacement, protège le respect de la vie privée et les données personnelles. Pourtant, le responsable du traitement, c’est-à-dire l’exploitant du moteur de recherche ou l’organisme du site internet, n’est pas systématiquement obligé de procéder à l’effacement. L’article 17 RGPD précise sous quelles conditions et dans quelles limites une telle obligation existe. Il est donc nécessaire de procéder à une analyse juridique précise avant de demander à faire effacer des contenus en ligne.

Françoise Berton, avocat en droit allemand

Tous droits de propriété intellectuelle réservés

Photo: Metamorworks

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

* Mentions obligatoires

Vous avez une question sur ce point juridique et avez besoin d’un avocat ?