A travers la réglementation et la protection des données à caractère personnel, c'est le droit au respect de la vie privée qui s'adapte à l'ère de l'Internet, du numérique, du piratage informatique, de la traçabilité et du marketing-comportemental.
En pratique, tous les technologies avancées et les sites internet collectent des données afin de les commercialiser, à des fins de ciblage publicitaires, de profilage ou marketing.
Les données à caractère personnel sont légalement définies comme «toute information relative à une personne physique identifiée, directement ou indirectement, par référence (…) à un ou plusieurs éléments qui lui sont propres.»
Les données à caractère personnel comprennent donc notamment les nom, prénom, âge, sexe, lieu de résidence, loisirs, photographie, pseudo, numéro de téléphone, adresse postale, email, vidéos, informations sur les habitudes de la vie quotidienne, les lieux de séjour, les déplacements, les activités exercées, les relations et milieux sociaux fréquentés, etc...
Sur le web, ces informations proviennent de la navigation de l’internaute ou lorsqu'il remplit un formulaire, publie du contenu sur internet tels que des photos, vidéos, messages, commentaires ou toute autre action en ligne.
Il existe plusieurs textes qui encadrent juridiquement au niveau national et européen la collecte et l'usage des données à caractère personnel.
Ainsi, sur le fondement de la loi dite « informatique et libertés », du 6 janvier 1978, tout citoyen dont les données sont collectées dispose sur ces données de :
- droit à l’information,
- droit d’opposition,
- droit d’accès,
- droit de rectification.
Une ordonnance du 24 août 2011 relative aux communications électroniques a modifié la loi de 1978 pour l’adapter au web participatif et communautaire.
Aux termes de cette ordonnance, la collecte de données personnelles est conditionnée au consentement ou à l'information préalable de l'internaute sur le traitement et l’exploitation commerciale de celles-ci.
La directive européenne 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données constitue le texte de référence, au niveau européen, en matière de protection des données à caractère personnel.
Cette directive européenne 95/46 a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données.
Elle met ainsi en place un cadre réglementaire visant à établir un équilibre entre un niveau élevé de protection de la vie privée des personnes et la libre circulation des données à caractère personnel au sein de l'Union européenne (UE).
Pour ce faire, la directive fixe des limites strictes à la collecte et à l'utilisation des données à caractère personnel, et demande la création, dans chaque État membre, d'un organisme national indépendant chargé de la protection de ces données, telle que la CNIL en France.
En outre, suite à l'annulation de la directive 2006/24, du 15 mars 2006, sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public, les députés européens viennent de soumettre un projet de nouvelles dispositions qui :
- donnent aux citoyens européens d'avantage de droit au contrôle de leurs données à caractère personnel.
- augmentent les amendes imposées aux entreprises (par exemple un moteur de recherche, un réseau social ou un fournisseur de services d'informatique en nuage) qui violent les règles, jusqu'à 100 millions d'euros ou 5% de leur chiffre d'affaires global annuel mondial, en fonction du montant le plus élevé.
- consacrent le droit à l'effacement des données à caractère personnel sur internet.
- obligent les entreprises et les sites internet à utiliser un langage clair et simple pour expliquer leurs politiques de respect du droit à la vie privée.
- obligent les moteurs de recherche, les réseaux sociaux ou les fournisseurs de services de Cloud qui souhaitent traiter des données à caractère personnel à obtenir le consentement libre, informé et explicite de la personne concernée.
- obligent les moteurs de recherche, les réseaux sociaux ou les fournisseurs de services de Cloud qui fond l'objet de demandes d'informations sur leurs clients de la part de l'administration de les en informer et de demander une autorisation préalable à une autorité nationale.
Un nouveau texte européen devrait donc en principe voir le jour dans le courant de l'année 2015.
Par ailleurs, le 13 mai 2014, la Cour de Justice de l'Union Européenne (CJUE) a jugé que Google est responsable de la suppression, de l’effacement et du déréférencement dans ses résultats de recherche des données des personnes et même si celles-ci sont licites et apparaissent sur des pages web publiées par des tiers (CJUE, 13 mai 2014, Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González, C-131/12)
Cet arrêt consacre le droit à l'effacement des données à caractère personnel dans les moteurs de recherche sur internet permettant aux internautes des 27 États membres de l'union européenne de contraindre lesdits moteurs à désindexer les pages web contenant des informations personnelles.
Pour mémoire, le moteur de recherche de Google indexe les sites web du monde entier par l’intermédiaire du site web «www.google.com».
Dans de nombreux pays, il existe des versions locales adaptées à la langue nationale.
L'adresse de la version en langue française de Google Search est «www.google.fr».
Selon la Cour de justice de l’Union Européenne, Google Search agit comme fournisseur et l’entreprise qui exploite Google Search est « responsable du traitement » des données à caractère personnel contenues dans les sites web qu’elle indexe.
Par conséquent, les personnes ont le droit d’ordonner directement à l’établissement local de Google qu’il procède au retrait de ses index d’informations publiées par des tiers, sans s’adresser préalablement ou simultanément au propriétaire du site web sur lequel figurent lesdites informations.
Autrement dit, chacun peut demander aux moteurs de recherche de faire obstacle à l’indexation des informations concernant sa personne, publiées sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers.
La Cour a ainsi consacré le droit d’obtenir l’effacement des données à caractère personnel sur internet et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement.
Bien que pour certains cette décision instaure un droit à l'oubli numérique, le terme de droit au déréférencement semble plus approprié.
Je suis à votre disposition pour toute action ou information (en cliquant ici).
PS : Pour une recherche facile et rapide des articles rédigés sur ces thèmes, vous pouvez taper vos "mots clés" dans la barre de recherche du blog en haut à droite, au dessus de la photographie.
Anthony Bem
Avocat à la Cour
27 bd Malesherbes - 75008 Paris
01 40 26 25 01
abem@cabinetbem.com
www.cabinetbem.com
