Google spain droit à l'oubli right to be forgotten law spain
Non classé

Un « droit à l’oubli » en droit français et Européen

La modification des positions du public a déjà porté à sanctionner l’oubli comme droit, du moins en France.

Note interne écrite à l’origine en 2019

Le droit à l’oubli en ligne va nécessiter un changement de paradigme juridique en général. La modification des positions du public a déjà porté à sanctionner l’oubli comme droit.

Le droit à l’oubli a toujours existé en droit, dans la forme des règles liées à la prescription extinctive. Même chose concernant les lois d’amnistie : faire oublier des faits passés, et même au-delà, la révélation de ces faits fera l’objet de sanction. Il s’agissait cependant tout au plus de cas marginaux.

Comment s’exerce aujourd’hui ce droit à l’oubli pour la question du numérique ? Comment appliquer et invoquer ce droit à l’oubli dans le contexte numérique ?

Cette possibilité existe mais est difficile à mettre en œuvre : le droit à l’oubli a une naissance jurisprudentielle, sacralisée ensuite par la loi. Son application reste compliquée, car les intérêts privés qui se heurtent aux intérêts des GAFA. La première véritable apparition du droit à l’oubli numérique est donnée par un arrêt de la CJUE du 13 mai 2014 Google Spain[1] (A), ayant des répercussions en France (B), depuis repris par la Commission avec le règlement bien connu dénomme RGPD entré en vigueur le 25 mai dernier (C).

Google spain droit à l'oubli right to be forgotten law spain
The very well known CJUE decision « Google Spain » keeps being relevant today.

A. L’affaire Google Spain

L’objectif de la personne invoquant son droit à l’oubli est que les informations la concernant disparaissent. La situation est d’autant plus difficile à cerner que la personne concernée n’est pas toujours à l’origine du contenu en ligne : un tiers peut diffuser diffuse un contenu concernant le premier sujet du droit.  Publier une photo de soi, soi-même pose moins de problèmes : on donne un consentement à émettre une donnée et il parait donc normal que l’on puisse la retirer quand on le souhaite.

En bref, Monsieur Gonzales observe que lorsque l’on tape son nom sur Google, Google renvoie des résultats de presse de 1999 le faisant apparaitre des ventes aux enchères de ses biens contenant des dettes. Gonzales étant avocat, il intente une action pour éviter une mauvaise publicité, il saisit l’équivalent de la CNIL espagnol en demandant que soit ordonné au quotidien espagnol la suppression du contenu puis une autre demande à Google Spain demandant le déréférencement de l’article. L’agence espagnole va rejeter la demande uniquement sur la demande de suppression du contenu de la presse espagnole mais va accepter le dé-référencement. Cependant Google Spain va contester ce dé-référencement en justice, les juridictions espagnoles étant dépassées par la question juridique vont saisir la CJUE en question préjudicielle pour savoir quelle réaction juridique adopter.

Au point 93 de la décision, la CJUE admet qu’il est possible qu’un traitement de données ait été licite à l’origine. Néanmoins avec le temps ce traitement peut devenir illicite parce que le temps écoulé fait que leur raison d’être en ligne ne se justifie plus. La CJUE continue en mettant en balance les intérêts du citoyen espagnol et le droit à l’information du public.

Pour les faits d’espèce la CJUE considère que le citoyen espagnol est légitime à réclamer l’effacement de ces données personnelles anciennement traitées. Le droit à l’oubli n’est cependant pas inconditionnel et est donc encadré par la compensation de l’ensemble de ces intérêts. L’une des difficultés ayant pu se poser est l’application TERRITORIALE de la décision. Le concept de territorialité d’une décision de la CJUE est toujours un casse-tête, mais le cas particulier n’aidait pas à éclaircir la ligne, Google ayant reçu énormément de demandes de déréférencement… Pendant le seul été 2014 suivant la décision, Google reçu plus de 100k demandes.

B. Google et la CNIL française

Le droit à l’oubli est à distinguer :

  • Lorsqu’il s’exerce contre le site web diffusant le contenu, il s’agit d’une demande de suppression de données. L’arrêt Gonzales prévoyait en partie de cas de figure.
  • Lorsqu’il concerne une demande de déréférencement, qui n’est qu’une suppression de l’accès à la donnée (hors cache du moteur de recherche pour les puristes) .

Google eut une lecture particulière de cet arrêt : il ne devait pas être appliqué aux Etats-Unis, où le droit a une vision moins protectrice des données personnelles avec un renforcement du droit de l’information public et de la liberté d’expression. Le moteur de recherche va alors jouer sur les extensions (google.fr, google.us…) pour ne pas faire appliquer dans le monde entier la décision. La CJUE avait cependant appelé Google à appliquer le déréférencement dans l’ENSEMBLE des extensions du monde entier. [2] La CNIL en 2014, à la suite de l’avis préjudiciel de la CJUE, fit une mise en demeure publique du géant américain afin d’alerter les citoyens du monde entier sur ce refus pour Google de respecter les droits de leurs utilisateurs.

Google va former un recours gracieux en septembre 2015, recours immédiatement être rejeté par la CNIL, confirmant donc que le droit à l’oubli est absolu et doit avoir une portée mondiale. Le contenir aux extensions uniquement européennes serait privé d’effectivité l’exercice de ce droit.  Une audience disciplinaire est formée au 28 janvier 2015 sous la supervision du CNIL, Google tentant d’y échapper pour des raisons de communication (mauvaise publicité d’un procès). Sa proposition est simple, le système de restriction des résultats déréférencés ne concerne plus les extensions européennes, mais les IP européennes. La CNIL refuse en insistant sur un déréférencement total : le droit à l’oubli doit être total.

Décision rendue le 10 mars 2016[3], Google est condamné à 100 000€ de sanctions par la CNIL. Sur 2014 le CA de Google est de 66 milliards de dollars, on comprend alors les limites de la sanction pécuniaire : la mauvaise pub a dû influencer plus le géant américain.

rgpd, gdpr, réglement général protection des données,

C. Le RGPD

L’Article 17 du RGPD (règlement général sur la protection des données n°2016/679) consacre  le « droit à l’effacement », à la place du « droit à l’oubli » prévu prétoriennement . Cette formulation inhabituelle dans les textes s’explique par le iter lesgislatif et les combats d’intérêt à Bruxelles :

  • Une première école considérait qu’il ne fallait reconnaitre qu’un droit à l’oubli objectif : ne pourrait être invoqué un effacement (soit de la donnée ou de la facilité d’accès) que pour un objectif licite: traitement illicite, informations inexactes… Cela revenait à réduire drastiquement ce droit à l’oubli.
  • Autre école, celle de l’arrêt Google Spain : la licéité du traitement était indifférente, le non -consentement de l’utilisateur suffisait à rendre la diffusion de données illicite.

Le RGPD consacre 4 cas précis d’exercice du droit à l’oubli :

  1. Article 17 : si le traitement est illicite (par exemple la finalité du traitement disparait et donc frappe d’illicéité la diffusion de donnée),
  2. 2ème hypothèse le retrait du consentement de la donnée.
  3. 3ème motif : dès le départ la raison du traitement était de base illicite.
  4. 4ème hypothèse : la donnée doit être effacée à cause d’une norme à caractère législatif.

Notons cependant que le retrait du consentement n’est pas forcément subjectif !

Il y a cependant des exceptions à noter comme le droit à l’information au regard des faits et de la notoriété, le motif de santé, d’archives… Il faut donc nuancer le caractère absolu de ce droit. Par exemple un pédophile nommé sur le net ne pourra pas être effacé s’il a bien été jugé définitivement : cela pose également des problèmes pour les mêmes porteurs du même nom se retrouvant victimes par ricochet.

En matière de sanctions, elles sont désormais indexées sur le chiffre d’affaire : le montant maximum sera de 4% , ou forfaitairement 20 millions d’euros. Cette sanction est colossale et nuira forcément à la société coupable d’irrespect du RGPD. Le levier financier est désormais efficace, on l’espère car il se veut dissuasif. C’est la raison pour laquelle tout le monde a vu fleurir les mails de mise à jour de règlement, si les sanctions avaient été moindres il y aurait eu peu de chances qu’il y ait eu un tel impact.

Le 20 juin 2018 entre en jeu le duo de directives « données personnelles » avec la transposition du RGPD. Cette transposition est contestée par la doctrine car parcellaire et complexifie déjà un droit suffisamment complexe. A noter, l’article 32 permettant au gouvernement de ré intervenir dans le futur par ordonnance : au vu des lacunes du texte, une intervention est à attendre surement.
Les juristes ont également peur d’une application directe et explicite du RGPD marquant un soucis de contrôle prétextant la souveraineté – à défaut de la maitrise de ce droit technique – par le législateur français.

Dans toutes ces hypothèses en réalité l’exercice du droit à l’effacement ou droit à l’oubli n’est pas autre chose qu’une action en cessation de l’illicite. La jurisprudence est cependante très fournie, et la CJUE refuse cette réduction des droits individuels.

Une exception au droit général existe pour les mineurs : ce droit à l’oubli spécial des mineurs est une protection accru par rapport au droit à l’oubli standard (D) mais reste des contours flous (E) quant à l’exercice de ce droit.

D. Une protection accrue des mineurs

Le but initial de ce droit est de mettre fin aux « erreurs de jeunesse » surtout marqué par la nouvelle génération très rapidement présente sur les réseaux sociaux, postant n’importe quel contenu sans se rendre compte du caractère éternel des données. Preuve en sont les nombreux cas de « Revenge Porn » consacrés par l’article 67 de la loi du 7 mars 2016 pour une République numérique (dite Loi Lemaire). Le législateur essaie donc de pallier à ces nouveaux dangers par ce droit à l’oubli des mineurs.

La première tentative de protection spécifique des mineurs est apparue dans la la loi californienne de 2015 dite « erase-law ». Cette loi américaine avait pour but le faciliter la réclamation pour obtenir l’effacement de contenu visant des mineurs auprès d’un site web. Cette loi, depuis largement étendue, constitue une des portes vers le nettoyage de la présence internet des mineurs. Notons qu’elle ne permettait pas le déréférencement, ce que permet désormais à la fois le RGPD, mais aussi le droit interne français dans sus-citée la loi pour une république numérique du 7 octobre 2016. Le législateur a pris soin d’anticiper l’application du RGPD en mettant en place une protection des mineurs avant la transposition du règlement européen par modification de l’article 40, II de la loi du 6 janvier 1978 de la loi informatique et libertés.

Notons néanmoins que ce droit spécial ne concerne que les mineurs pour les données collectées dans le cadre de service en ligne, remplissant son objectif d’urgence de protection des mineurs. Le RGPD prendra le relais mais malheureusement complexifiera ce droit désormais à double source, à double base légale.

B. le champ d’exercice flou de l’exercice du droit spécial de l’oubli des mineurs

La mise en place de ce système protecteur est-il effectif ? Tout d’abord il faut relever que le dispositif californien n’est pas convainquant : en effet le contenu doit être publié par le mineur lui-même pour permettre l’exercice du droit à l’oubli. Le droit californien est donc très limité et cela retire une part très importante de l’intérêt de la publication. De plus ce droit ne vaut que lors de la minorité, une fois majeur ce droit n’est plus applicable à la personne, cela va donc contre le but poursuivi initialement d’effacer les « erreur de jeunesse ». Il s’agit d’une vision très stricte du droit à l’oubli des mineurs, qui est très à l’image de la vision américaine de la protection des données.

Dans notre droit interne et dans le RGPD ce droit à l’oubli des mineurs est valable même pour le contenu publié par les tiers et ne connait pas la limite de l’âge : il n’importe seulement que la collecte des données n’ait eu lieu qu’à la minorité de la personne pour ce ce droit puisse être invoqué.

De nombreux professionnels de l’éducation contestent ce droit à l’oubli des mineurs car pour eux il est nécessaire d’éduquer et de donner des leçons alors que le droit actuel va les surprotéger, le droit actuel dit en quelque sorte « internet est dangereux mais vous ne risquez rien » ce qui est en pratique une politique assez anti-pédagogique menant à trop de dé-responsabilisation  pour les mineurs et par extension la société en général. Ce phénomène s’est illustré récemment pour des cas d’injures, de diffamation et d’harcèlement causés par des mineurs sur le net. On se soutient tous par exemple de la profanation de cadavres6) filmée en direct par des mineurs ou encore plus récemment l’appel à commettre des violences pour Halloween lancé par un mineur au moment des faits7).

  1. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131
  2. https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679
  3. https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000032291946
You May Also Like