RGPD: Mode d'emploi pour le droit à l'oubli et le déréférencement

En France, le Conseil d’Etat a fixé les conditions dans lesquelles le droit à l’oubli sur internet prévu par le RGPD doit être respecté et comment les moteurs de recherche doivent respecter ce droit au déréférencement.

Depuis l’entrée en vigueur du RGPD au mois de mai 2018, les français sont de plus en plus sensibilisés sur les droits en matière de vie privée. L’un de ces droits s’agit du droit à l’effacement ou le droit à l’oubli.

Selon l’article 17 du RGPD, et sous réserve du respect de certaines conditions, les personnes physiques (les “personnes concernées”) ont le droit d'obtenir auprès du responsable du traitement l'effacement de données personnelles les concernant. Selon les dispositions du RGPD, le responsable du traitement a donc une obligation d'effacer ce données personnelles dans les meilleurs délais.

Dans le cadre d'un traitement analogue ou bien un traitement digital plus ou moins limité (par exemple, dans le cadre d’une relation de travail, une candidature ou bien à la suite d’un achat en ligne), il est relativement simple pour le responsable du traitement d’appliquer les règles et donc de determiner dans quelles conditions ce droit à l’oubli doit s’appliquer aux données concernées. Néanmoins, la situation devient plus complexe lorsqu’il s’agit d’un traitement numérique des données personnelles sur Internet effectué par les moteurs de recherches.

Le droit à l’oubli - une nouveauté ?

Le droit à l’oubli n’est pas un droit nouveau. Ce droit a été reconnu en Europe en 2014 dans l’affaire Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, M. Costeja González (“Google Spain”) devant la Cour de justice de l'Union européenne (“CJUE”) - donc bien avant l’entrée en vigueur du RGPD.

Cette affaire se fondait sur le fait que lorsqu’un internaute introduisait le nom d’une personne (M. Costeja González en l’espèce) dans le moteur de recherche de Google, l’internaute obtenait des liens vers des pages internet, sur lesquelles figurait des informations personnelles concernant cette personne.

M. Costeja González avait donc demandé la suppression ou la modification des pages internet concernées afin que ses données personnelles n’y apparaissent plus. Il avait également demandé à Google de supprimer ou d’effacer ses données personnelles afin qu’elles cessent d’apparaître dans les résultats de recherche.

C’est dans cette affaire impliquant Google Spain que la CJUE a donc précisé que l’exploitant d’un moteur de recherche (ex. Google) est le responsable du traitement, même s’il s’agit d’un traitement de données personnelles qui apparaissent sur des sites internet publiés par des tiers. Dans cette affaire, les juges européens ont créé ce “droit au déréférencement “ ou le “droit à l'oubli “ - c’est à dire, le droit pour les citoyens en Europe de demander au moteurs de recherche de supprimer dans leurs listes de résultats tout lien vers des pages comportant les données personnelles les concernant.

Le droit au déréférencement : un droit absolu ?

Par un arrêt de la CJEU rendu le 24 septembre 2019, la CJEU a encadré la mise en oeuvre de ce droit au déréférencement. Même si l’internet n’a pas de frontières, la Cour a néanmoins confirmé que l’exploitant d’un moteur de recherche n’est pas tenu de procéder à un déréférencement sur l’ensemble des versions de son moteur de recherche. Cela veut dire que les moteurs de recherche sont tenus uniquement d’effectuer le déréférencement sur les versions de son moteur de recherche correspondant qui existent dans les Etats membres de l’Union européenne (ex. google.fr / google.se). Néanmoins, ils doivent mettre en place des mesures pour décourager les internautes dans un Etat membre d’avoir accès aux liens disponibles sur les versions existant en dehors de l’UE. Pour le citoyen européen, depuis cette décision, il a désormais été confirmé que ce droit au déréférencement n’est pas un droit absolu lorsqu’il s’agit d’un lien existant dans une liste de résultats qui s’affiche dans une version non-européenne d’un moteur de recherche (ex. google.au).

Comment mettre en oeuvre le droit au déréférencement ?

Après avoir rendu les arrêts du 6 décembre 2019, le Conseil d’Etat était la première juridiction française à fournir un mode d’emploi du droit de l’oubli dans le cadre du RGPD. Ce mode d’emploi destiné à Google et à l’autorité de contrôle française, la Commission nationale de l’informatique et des libertés (“CNIL”) a repris plusieurs elements des arrêts précités de la CJEU.

Le Conseil d’Etat a donc confirmé qu’il existe 4 elements clés pour la mise en oeuvre du doit au déréférencement :

  1. Le juge doit se prononcer en tenant compte des circonstances et de la nature de la demande et du droit applicable ;

  2. Le déréférencement d’un lien associant au nom d’une personne physique à une page web contenant des données personnelles la concernant est un droit ;

  3. Le droit à l’oubli n’est pas absolu. Il faut donc trouver le juste équilibre entre le droit à la vie privée de la personne concernée et le droit à l’information ; et

  4. Afin de pouvoir trouver ce juste équilibre (cf. point 3), il faudra prendre en compte la nature des données personnelles en question.

Ensuite, le Conseil d’Etat a expliqué que le droit au déréférencement concerne trois catégories de données personnelles:

  • Les données sensibles (ex. les données portant sur la santé, la vie sexuelle, les opinions politiques, les convictions religieuses …);

  • Les données pénales (ex. relatives à des poursuites ou à une condamnation pénale); et

  • Les données touchant à la vie privée “sans être sensibles”.

Selon le Conseil d’Etat, le droit au déréférencement est plus élevé lorsqu’il s’agit d’une demande portant sur les données sensibles ou les données pénales. En effet, pour le Conseil d’Etat:

…Il ne peut être légalement refusé de faire droit à une demande de déréférencement que si l’accès aux données sensibles ou pénales à partir d’une recherche portant sur le nom du demandeur est strictement nécessaire à l’information du public.

Concernant les données touchant à la vie privée d’une manière général, le" “mode d’emploi” préconise qu’il suffit qu’il existe un intérêt prépondérant du public à accéder à l’information en cause.

Enfin, au-delà des caractéristiques des données personnelles en cause, il faudra également prendre en compte le statut de la personne concernée, sa notoriété, son rôle dans la vie publique et sa fonction dans la société ainsi que les conditions dans lesquelles les données personnelles ont été rendues publiques, et s'ils sont accessibles par d’autres moyens (par exemple, si la personne concernée lui-même aurait rendu ces informations publiques).

Même si ce mode d’emploi est surtout destiné à la CNIL et aux moteurs de recherche, il nous donne quand-même des indices sur le traitement d’une demande de déréférencement par les autorités et tribunaux. Pour nous, il s’agit de deux décisions relativement positives qui confient aux personnes concernées une sécurité juridique non-négligeable quant aux traitements numériques de leurs données personnelles par les géants américains.

Enfin, il s’agit surtout d’une affaire à suive mais si entre-temps vous avez des questions concernant vos droits en matière de déréférencement, votre droit à l’oubli ou bien pour toute autre question sur le RGPD et le respect de la vie privée, n’hésitez pas à nous contacter.

Article rédigé par l’équipe Gerrish Legal, décembre 2019

Previous
Previous

Start-ups : 5 Conseils pour bien réussir !

Next
Next

RGPD : Cyber-risques, prévenir et agir !