Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concernent.
Si le droit à l’oubli n’est pas nouveau, les frontières de cette notion ont continuellement été débattues et font toujours l’objet de nombreuses controverses. L’avènement du numérique, en démultipliant la quantité de données échangées et instantanément disponibles sur internet, n’a fait que renforcer l’intérêt porté à ce droit qui revêt désormais une importance cruciale.
I.Le principe du droit à l’oubli
A)La portée du droit à l’oubli
Le droit à l’oubli est initialement un concept européen. Les premiers jalons d’un droit à l’effacement ont été posés par la loi informatique et liberté de 1978, mais aussi par la directive européenne 95/46 (Directive 95/46/CE du 24/10/1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ) dont l’article 12 b) (désormais abrogé) dispose que toute personne a un droit d’obtenir d’un responsable de traitement, l’effacement des données personnelles qui la concernent lorsque celles-ci sont incomplètes ou erronées.
Toutefois, ce droit à l’effacement a rapidement montré ses limites, notamment en raison des facultés de stockage des données sur internet qui dépassent largement les capacités humaines.
En effet, les moteurs de recherche peuvent conserver les données relatives à un individu pour une période quasi illimitée, et ce, sans faire la distinction entre celles qui mériteraient d’être référencées et celles qui ne devraient plus l’être.
Face à ce constat, l’idée de créer un véritable « droit à l’oubli » a suscité de nombreux débats, notamment entre les régulateurs et les entreprises du net.
Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014.
Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.
Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement
Selon l’article 17 du RGPD qui s’applique en France à compter du 25 mai 2018, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.
Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.
Cette notion de droit à l’oubli peut être définie par sa finalité, en écartant les éventuels risques qu’un individu soit atteint de manière durable par l’utilisation des données qui le concerne à son insu, que celles-ci soient présentes en ligne par sa propre initiative, ou par celle d’une tierce personne.
En plus d’obtenir du responsable du traitement l’effacement des données ayant un caractère personnel, le droit à l’oubli numérique prévoit également d’effacer la diffusion de ces données personnelles, et en particulier quand la personne concernée n’accorde plus son consentement pour leur utilisation.
B)Les limites du droit à l’oubli
Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre :
- De l’exercice du droit à la liberté d’expression et d’information ;
- Du respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
- De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
- De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
- De la constatation, de l’exercice ou de la défense de droits en justice.
C)Ouverture sur un déréférencement mondial au cas par cas
Dans sa décision du 27 mars 2020, le Conseil d’État a précisé la portée géographique du droit au déréférencement. La CNIL prend acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.
En effet, lorsque le moteur de recherche répond à l’affirmative, il ne supprime toutefois que les résultats qui apparaissent sur le site de l’État de nationalité du requérant. Or, cette restriction territoriale suscite des controverses. Selon la CNIL, le refus de Google de déréférencer les liens sur toutes les extensions du nom de domaine du moteur de recherche représente une violation des droits d’opposition et d’effacement reconnus aux personnes faisant l’objet d’un traitement de données personnelles, dans la mesure où les liens demeurent « accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche ».
La CNIL a ainsi déjà mis en demeure Google d’effectuer les déréférencements sur toutes ses extensions dans un délai de quinze jours (CNIL, décis. N ° 2015-047, 21/05/2015). De son côté, Google considère que les pouvoirs de la CNIL se limitent à la France et que celle-ci ne saurait valablement se prononcer sur les extensions des autres pays, soutenant qu’un déréférencement mondial serait excessif et limiterait la liberté d’expression.
La CJUE a été saisie par le Conseil d’État le 24 février 2017 pour se prononcer sur des questions préjudicielles ayant trait à la portée du droit au déréférencement et ses conditions de mise en œuvre (CE, Assemblée, 24/02/2017, n° 391000).
Dans l’attente de la réponse de la Cour, l’avocat général de la CJUE a rendu un avis le 10 janvier 2019 aux termes duquel il donne partiellement l’avantage à Google en soutenant que « l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur ».
Contrairement à la CNIL qui s’est largement positionnée en faveur de l’ « amnésie générale », le Conseil d’État proposait que le droit à l’oubli ne s’applique qu’en Europe, laissant ainsi la possibilité de consulter un contenu référencé en France depuis l’étranger.
Si sans surprise, dans sa décision du 27 mars 2020 le Conseil d’État confirme l’impossibilité d’un droit au déréférencement mondial et général, il ouvre cependant la porte à une application mondiale de ce droit, au cas par cas. Les deux parties peuvent ainsi trouver satisfaction dans cet arrêt : Google qui voit sa sanction annulée et le confinement du droit au déréférencement aux frontières de l’UE confirmé et la CNIL qui voit le Conseil d’État l’autoriser à permettre l’abolition des frontières, au cas par cas.
Par une décision du 10 mars 2016, la CNIL avait prononcé une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus d’appliquer le droit au déréférencement à l’ensemble des extensions de nom de domaine de son moteur de recherche. Saisi par le moteur de recherche, le Conseil d’État avait sursis à statuer, pour demander à la CJUE son interprétation du RGPD en matière de territorialité. La cour de Luxembourg avait rappelé que, si le RGPD n’impose pas un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Et c’est dans cette brèche que le Conseil d’État s’est glissé, approuvant ainsi le raisonnement de la CNIL.
La CJUE considère qu’il n’existe pas un droit au déréférencement mondial, sur la base du RGPD.
Néanmoins, elle rappelle que les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données et, d’autre part, le droit à la liberté d’information, et, qu’au terme de cette mise en balance, elle peut enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.
Faute pour la CNIL d’avoir effectué cette mise en balance dans le contentieux qui l’opposait à Google, elle a vu confirmer l’annulation de sa décision du 10 mars 2016.
II.Le droit à l’oubli en pratique
A)Identifier l’organisme à contacter
L’exercice du droit à l’effacement est une procédure relativement simple. Dans un premier temps, la personne concernée doit identifier l’organisme à contacter, c’est-à-dire l’entreprise qui assure le traitement des données.
Il faudra ensuite se rendre sur la page d’information consacrée à l’exercice des droits sur la plateforme de ladite entreprise, en cliquant entre autres sur « politique vie privée », « politique confidentialité » ou « mentions légales ».
B)Exercer le droit à l’effacement auprès de l’organisme
L’exercice du droit d’effacement peut être exercé par divers moyens : par voie électronique (formulaire de déréférencement, adresse mail, bouton de téléchargement, etc.) ou par courrier, par exemple.
A la suite de l’affaire Google Spain de 2014, Google a mis en place un formulaire de requête en ligne permettant aux internautes de faire une demande de déréférencement. Lorsque Google est saisi d’une requête en déréférencement, le moteur de recherche effectue une analyse au cas par cas pour déterminer si le lien litigieux donne accès à des informations qui s’avèrent « inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause ».
Depuis les mêmes formulaires de déréférencement existe pour les moteurs de recherche YAHOO, BING, QWANT notamment.
En outre, il est très important d’indiquer précisément quelles sont les données que vous souhaitez effacer.
En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme.
Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entraînera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.
Si et seulement si, l’organisme à des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité.
En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.
La conservation d’une copie des différentes démarches est toujours conseillée, notamment lorsque la personne concernée souhaite saisir la CNIL en cas d’absence de réponse ou de réponse non satisfaisante du responsable de traitement.
D)Que faire en cas de refus ou d’absence de réponse
Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande.
Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez également saisir la CNIL afin de procéder au dépôt d’une plainte en ligne.
En outre, le responsable du traitement qui décide de ne pas donner suite à une demande d’exercice du droit à l’effacement se voit dans l’obligation de justifier son refus auprès du propriétaire des données.
Suite à l’application des nouvelles dispositions du RGPD, les entreprises traitant les données personnelles doivent mettre en place les meilleurs mécanismes qui permettent de vérifier que les données collectées ne sont pas conservées au-delà du délai nécessaire, compte tenu des finalités annoncées au départ.
SOURCES :
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000697074&categorieLien=id
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131