À l'ère du numérique, la protection des données à caractère personnel occupe une place toujours plus importante dans les législations du monde entier. Longtemps attendu, le droit à l'oubli est un droit consacré depuis quelques années par l'Union européenne : il consent à un individu de demander la suppression d'informations sur son passé pouvant lui nuire dans l'avenir. Mais le droit à l'oubli connait aussi des limites non négligeables. Par ailleurs, si le droit à l'oubli concernait à l'origine les données numériques, il tend aujourd'hui à s'élargir à d'autres domaines pour une protection toujours plus stricte des données à caractère personnel.

 

1. La consécration d'un nouveau droit, symbole du XXIème siècle

 

• L'UE : mère fondatrice du droit à l'oubli numérique

 

        À partir de 1995, les institutions européennes s'intéressent, en raison du développement numérique rapide, à la protection des données personnelles. La directive 95/46/CE consacre ainsi la liberté de circulation des données à l'intérieur de l'Union européenne. Le transposition intervient à des période variées selon les Etats membres. Elle est transposée en droit italien par la loi 1996/675, mais considérée comme trop vague (29 articles), sept autres lois vont suivre, jusqu'au texte de référence actuel qui est le décret législatif n.196 de 2003, communément appelé Codice in materia di Protezione dei Dati Personali, composé cette fois de 186 articles. En France, la directive européenne est transposée, plus tardivement, par la loi du 6 août 2004 relative à la protection des personnes physiques concernant les traitements de données à caractère personnel. Cette loi transpose et apporte des modifications à la loi n°78-17 du 6 janvier 1978 dite loi Informatique et libertés, qui réglementait déjà le traitement des données personnelles.

 

La directive régule la protections des droits des personnes et la libre circulation des données, elle fixe des règles communes encadrant les modalités de collecte et traitement des données, tentant ainsi d'harmoniser les divergences entres les législations nationales. La directive pose plusieurs principes et définit des notions clés. Tout d'abord, les Etats doivent respecter le principe de finalité (art.6), selon lequel les données à caractère personnel doivent être « collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités ». Par ailleurs, la directive réaffirme le principe de nécessité du consentement de la personne et la protection particulière pour les données sensibles (appartenance religieuse, politique, syndicale, informations relative à la vie sexuelle ou à la santé), qui ne peuvent faire l'objet d'un traitement sauf exceptions (art.8). De même, les données ne doivent pas être soumises à un traitement automatisé si cela ne remplit pas des critères de proportionnalité, transparence et finalité légitime. La directive impose également aux Etats membres de se doter d'une autorité de contrôle « chargée de surveiller l'application, sur son territoire, des dispositions adoptées par les Etats membres en application de la présente directive » (art.28). En France cette autorité de contrôle est la CNIL (Commission Nationale de l'Information et des Libertés), mise en place par la loi Informatique et libertés. En assemblée plénière, CNIL est composée de 18 membres. La formation restreinte est composée de 5 membres et d'un Président. En Italie, l'autorité de contrôle est le Garante per la protezione dei dati personali, lequel est composé de 4 membres élus par le Parlement.

 

Cette protection les données personnelles s'inscrit dans la lignée de l'art.8 de la CEDH et de l'art.7 de la Charte des droits fondamentaux de l'Union européenne, qui consacrent le respect de la vie privée et familiale.

 

On peut considérer la France comme pionnière en matière de droit à l'oubli. En effet, outre la loi Informatique et libertés, une campagne a été menée dès 2009 par la secrétaire d'Etat chargée de la prospective et du développement de l'économique numérique, Nathalie Kosciusko-Morizet, pour promouvoir le droit à l'oubli numérique. Elle aboutit à la signature, fin 2010, de deux Chartes du droit à l'oubli numérique dans la publicité ciblée et dans les sites collaboratifs et moteurs de recherche. Les dix acteurs signataires s'engagent à améliorer la transparence dans l'exploitation des données publiées par les internautes et à faciliter la possibilité d'une personne de gérer ses données sur la internet.

 

Le 25 janvier 2012, la vice présidente de la Commission européenne et Commissaire européenne à la justice, aux droits fondamentaux et à la citoyenneté, Viviane Reding, propose un règlement pour la protection des données (General Data Protection Regulation) où le droit à l'oubli est explicitement introduit. Le texte est voté le 12 mars 2014 par le Parlement européen. La protection des données personnelle devient un droit fondamental majeur pour les institutions européennes. Le règlement s'applique que le traitement de données ait lieu ou non dans l'Union (art.3). Il est également prévu que le consentement (dont la définition est donnée précisément) doit être donné explicitement (art.9). Les pouvoirs des autorités de contrôle sont par ailleurs renforcés.

 

La législation en matière de droit à l'oubli prend un nouveau tournant en 2014, lorsque l'Audiencia Nacionale espagnole sursoit à statuer et pose une série de questions préjudicielles à la CJUE. En l'espèce, un éditeur de journal refuse à un individu d'effacer des données le concernant. Il s'agissait de recherches associées à son nom dans Google, lesquelles renvoyaient vers des journaux où étaient mentionné un recouvrement de dettes de la sécurité sociale dont l'individu avait fait l'objet en 1998. L'individu introduit une demande auprès de l'Agence espagnole de protection des données (Agencia Espagnola de Proteccion de los Datos), laquelle fait droit à ses prétentions. Google Spain et Google Inc déposent deux recours devant l'Audiencia Nacional. Face à des incertitudes sur l'interprétation de la directive 95/46/CE et des art.7 et 8 de la Charte des droit fondamentaux, les juges choissisent de s'adresser à la CJUE. Le recours de Google est basé sur 4 arguments : tout d'abord, Google Inc ne serait pas soumis à la directive 95/46/CE en raison de sa localisation en Californie et Google Spain ne serait pas responsable des activités liées au moteur de recherche de Google Inc ; par ailleurs, l'activité d'un moteur de recherche ne comprendrait aucun traitement de données personnelles ; de plus, aucune entité de Google ne peut être considérée comme responsable du traitement des données tel que défini par la directive ; enfin, il n'existerait pas de droit de retrait ou d'effacement de données publiées légalement. La CJUE rend sa décision (Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González) le 13 mai 2014. Elle affirme d'abord qu'il n'est pas nécessaire que l'entreprise ou la succursale soit implantée en Europe, il suffit que le traitement de données se fasse « dans le cadre de son activité » pour que le texte de 1995 s'applique. La CJUE consent ainsi une extra-territorialisation du régime européen, le texte s'appliquant notamment aux entreprises situées aux Etats-Unis, où la législation leur est plus favorable en la matière. Par ailleurs, elle soutient qu'un traitement de données personnelles est effectué dès lors qu'un moteur de recherche indexe le nom d'un particulier, l'exploitant du moteur de recherche est alors responsable du traitement. Quant au droit à l'oubli, bien que l'expression n'apparaisse explicitement pas dans la décision, la Cour affirme que tout individu peut demander à l'exploitant du moteur de recherche à ce qu'une information relative à sa personne ne soit plus mise à la disposition du grand public. Ce principe prévaut sur l’intérêt économique de l'exploitant du moteur de recherche et sur l’intérêt du public à accéder à ladite information. Toutefois, la CJUE ouvre une brèche : « tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question. ». On cherche à concilier plusieurs droits fondamentaux, le droit de l'individu à voir une information le concernant désindexée et le droit du public à pouvoir avoir connaissance de cette information, mais également à concilier ces droits fondamentaux et les libertés économiques des moteurs de recherche, ces derniers générant chaque années des profits de plusieurs milliards d'euros grâce à la collecte d'informations personnelles.

 

Depuis les années 2000, les institutions européennes ne cessent de renforcer la législation en matière de protection des données personnelles : le règlement (CE) no 45/2001 sur le traitement des données, la directive 2002/58/CE sur la vie privée et les communications électroniques modifiée en 2009, la directive 2006/24/CE sur la conservation des données. Un groupe de travail appelé « Groupe 29 » (organe consultatif indépendant institué au titre de l'art.29 de la directive) a lui aussi contribué à la construction d'un cadre juridique adéquat de par ses avis et ses recommandations. Le texte le plus récent est règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016, plus adapté aux enjeux du XXIème siècle et aux nouvelles technologies il abroge la directive de 1995. Ce texte était aussi nécessaire dans la mesure où la directive, dont l'objectif, qui était l'harmonisation du droit en matière de protection de données à caractère personnel, n'avait pas tout à fait été atteint : des pays tels que le France et l'Italie l'avaient transposée de manière approfondie, y ajoutant même des garanties supplémentaires pour les individus, tandis que d'autres, à la culture plus anglo-saxonne, s'étaient contentés d'une transposition stricte. Cette fois, comme tout règlement européen, le texte ne nécessite pas de transposition et sera directement applicable dans les Etats membres dès le 25 mai 2018 (art.99). Ce règlement reprend et renforce nombres de principes énoncés dès 1995. Du côté du citoyen, le règlement prévoit la possibilité pour chacun de disposer d'informations complémentaires sur le traitement de ses données et de les obtenir dans une forme claire, accessible et compréhensible. Parallèlement au droit à l'oubli, un nouveau droit est crée : le droit à la portabilité. Il s'agit du droit pour une personne, à certaines conditions, de transmettre les données à caractère personnel la concernant, qu'elle aurait fourni à un responsable du traitement, de les transmettre à un autre responsable de traitement sans que le premier y fasse obstacle. Le législateur européen s'est également attaché à prévoir une protection particulière pour le mineur. Du coté des professionnels, le règlement simplifie les formalités administratives et les sanctions sont renforcées en cas de violation des droits.

 

Le 24 février dernier, le Conseil d'Etat français a posé une série de questions préjudicielles à la CJUE. Cette dernière aura à se prononcer sur le droit à l'effacement des données sensibles, notamment les informations illicites ou les condamnations pénales.

 

• Les différentes formes de droit à l'oubli

 

          Le droit à l'oubli prend plusieurs formes : le droit d'opposition, le droit à la rectification et à l'effacement, et le droit au déréférencement.

 

Le droit d'opposition est prévu à l'art.14 de la directive de 1995 et à l'art.21 du nouveau règlement de 2016. Ce droit est transposé en droit français à l'art.38 de la loi Informatique et libertés et en droit italien à l'art.7 al.3 du Codice in materia di protezione dei dati personali. Il permet à toute personne physique « de s'opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Autrement dit, c'est le fait de refuser que ces données soient collectées, enregistrées, diffusées, transmises ou conservées. En matière de prospection commerciale, le droit d'opposition peut s'exercer sans motif légitime et sans frais pour le demandeur. L'opposition s'exerce soit au moment de la collecte des données, soit plus tard en s'adressant au responsable du fichier dans lequel figure les données.

 

En ce qui concerne le droit à la rectification et le droit à l'effacement, ils étaient initialement prévus au sein d'un même article dans la directive e 1995, à savoir l'art.12. La directive opte pour plus de clarté en prévoyant deux articles distincts : l'art.16 prévoit le droit à la rectification et l'art.17 le droit à l'effacement. En France et en Italie, ces droits sont prévus par l'art.40 de la loi Informatique et libertés et l'art.7 du Codice in materia di protezione dei dati personali. Ces législations offrent la possibilité à chaque personne physique qui justifie de son identité d'exiger du responsable du traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite parce que illicite ou non consentie. Le responsable du traitement doit faire droit à la demande de l'intéressé dans un délai de 2 mois à compter de la demande (art.94 du décret du 20 octobre 2005 pris en application de la loi du 6 janvier 1978 modifiée). En Italie, le délai est de 15 ou 30 jours selon la complexité de la demande formulée par l'intéressée (art.146 du Code).

 

Enfin, le droit au référencement permet à un internaute de demander à un moteur de recherche de supprimer certains résultats de recherches associés à son nom et prénom. Le contenu du site source reste inchangé, mais le lien n'apparaitra plus dans les résultats du moteur de recherche à la requête « nom/prénom ». Ce droit au déréférencement a été consacré par la décision de la CJUE Google Spain rendue le 13 mai 2014. En 2013 (décision n.16111 de 2013), la Cour de cassation italienne a rendu une décision relative au droit à l'oubli en matière de presse. Pour réitérer une information ancienne de manière légitime, il est nécessaire que cette information ait un lien avec l'actualité et que sa diffusion ait une utilité concrète. Le Tribunal de Rome le réaffirmera en 2015 (décision n.23771), il faut que l'information qui concerne l'intéressé soit ancienne et qu'il n'y ait pas de réel intérêt public à la remettre à l'ordre du jour pour faire jouer le droit à l'oubli. Le Garante della Privacy le rappelle fréquemment, il faut que les faits anciens diffusés soient pertinents.

 

 

2. Les limites et les extensions du droit à l'oubli

 

• Le droit à l'oubli face à ses limites

 

         Le droit d'opposition n'est pas un droit absolu. Tout d'abord, il ne peut être étendu aux données concernant des tiers, même si il s'agit de membres de sa famille. Les seules exceptions à la règle sont les cas des données concernant des mineurs ou des majeurs protégés. De même, le droit d'opposition est exclu lorsque le traitement de données se fait au profit de fichiers du secteur public tels que les services fiscaux, de police, de justice ou de sécurité sociale.

 

En ce qui concerne le déréférencement, la demande doit concerner uniquement les liens résultats de recherche qui apparaissent à la saisie du « nom/prénom » de l'intéressé dans le moteur de recherche. Ainsi, si des mots clés sont ajoutés à la suite, le déréférencement ne peut être demandé. La CNIL a précisé dans une de ses publications (Guide des critères communs utilisés pour l'examen des plaintes), que le droit au déréférencement pouvait également viser les informations issues d'une recherche basée sur un pseudonyme ou un surnom dès lors que l'intéressé pouvait établir que ceux-ci étaient clairement liés à son identité. Il convient de noter également que le déréférencement ne vaut que pour le moteur de recherche auprès duquel la demandé a été formulée. On peut se demander si il ne serait pas opportun de mettre en place un formulaire unique pour le déréférencement, qui vaudrait pour tous les moteurs de recherche. Dans tous les cas, le moteur de recherche n'est pas contraint de procéder au déréférencement : l'appréciation se fait au cas par cas et en cas de demande considérée comme abusive le déréférencement sera refusé. L'intéressé devra alors s'adresser une autorité de contrôle ou en alternative au juge civil, comme c'est prévu à l'art.145 du Code relatif à la protection des données.

 

Il faut noter que la législation sur la protection des données personnelles ne s'applique qu'aux personnes physiques. Les institutions européennes ne devraient-elles pas également s'intéresser au droit à l'oubli au bénéfice des personnes morales ? En effet, des informations inexactes, trompeuses, fausses voire calomnieuses peuvent tout autant nuire à une personne physique qu'à une personne morale, ce qui aurait pourrait sans aucun doute avoir un impact sur la vie de celle-ci.

 

Par ailleurs, le traitement de données personnelles est considéré comme licite lorsqu'il se fait dans le cadre d'une obligation légale (art.7 c) de la directive, devenu l'art.6 c) du règlement). Dans un arrêt récent (arrêt du 9 mars 2017 C-398-15), la CJUE a répondu à la question préjudicielle posée par la Cour de cassation italienne : le droit à l'oubli s'applique-t-il au système de publicité mis en place avec le registre des sociétés ? En l'espèce, un entrepreneur italien se voit attribuer un marché pour la construction d'un complexe touristique mais ses biens ne se vendent pas. Il attaque en justice la Chambre de commerce de Lecce : ses biens ne se vendraient pas au motif que le registre des sociétés national mentionne la mise en faillite en 1992 d'une société liquidée en 2005 dont il avait été administrateur unique. Entraient ici en conflit deux textes européens, à savoir l'art.3 de la directive 68/151/CEE, lequel impose aux Etats membres la tenue d'un registre des sociétés accessible à tous, et l'art.6 de la directive de 1995, qui prévoit que les données personnelles ne doivent pas être conservées pendant une durée excessive. La CJUE rappelle dans cet arrêt que la publicité répond à une obligation de sécurité juridique (notamment pour les tiers) et qu'il est impossible de prévoir un délai au-delà duquel la publicité ne serait plus nécessaire ; par conséquent, elle refuse de reconnaître le droit à l'effacement dans les registres des sociétés. Toutefois, cette prise de position est à atténuer. En effet, en se fondant sur l'art.14 de la directive de 1995, elle consent exceptionnellement à limiter la publicité « pour des raisons prépondérantes et légitimes tenant à leur situation particulière » selon une appréciation au cas par cas.

 

En outre, dans sa décision du 13 mai 2014, le juge du Luxembourg dissocie les personnes publiques des autres personnes, écartant pour les premières l'activation du droit à l'oubli lorsque les informations les concernent. Dans sa première décision relative au droit à l'oubli (décision du 3 décembre 2015 n°23771), le juge italien du Tribunal de Rome a indiqué ce qu'il entendait par personne publique : il s'agit non seulement des politiques, mais aussi « des hauts fonctionnaires publics, des hommes d'affaires et des personnes inscrites dans des ordres professionnels ».

 

Enfin, si l'information est relative à une infraction pénale, il convient de se pencher sur les critères (notamment la gravité et la date à laquelle l'infraction a été commise), qui varient selon l'infraction pénale, pour voir si le droit à l'oubli, et notamment le déréférencement, peut s'appliquer. Après une appréciation au cas par cas, la CNIL peut demander le déréférencement, tout comme le Garante della Privacy en Italie. Dans un communiqué en date de décembre 2016, ce dernier a fait savoir qu'il n'était pas possible d'invoquer le droit à l'oubli pour des affaires judiciaires particulièrement graves. Ainsi, la demande d'un ancien conseiller municipal impliqué dans une enquête pour corruption et escroquerie a été rejetée. Le Garante a précisé que bien que le temps soit un critère essentiel en matière de droit à l'oubli, il connait une limite lorsque les informations dont le déréférencement est demandé sont référées à des faits graves et qui ont eu un retentissement dans la vie publique. L'autorité italienne a ainsi fait prévaloir le droit à l'information, consacré constitutionnellement, sur le droit à l'oubli. De la même façon, un ancien terroriste des années de Plomb italiennes, qui a fini de purger sa peine en 2009, s'est vu refusé, par Google et ensuite par le Garante, la suppression des données web le concernant. Ces derniers ont estimé que ces informations portaient sur des événements cruciaux qui avaient marqué l'histoire de l’Italie et qu'en conséquence elles relevaient de l’intérêt public.

 

• Les nouvelles facettes du droit à l'oubli

 

          La notion de droit à l'oubli tend aujourd'hui à s'élargir au profit d'autres domaines, renforçant toujours un peu plus la protection des données personnelles et les droits fondamentaux des personnes.

 

En matière d'assurance, le droit à l'oubli a été consacré par la loi du 26 janvier 2016 de modernisation de notre système de santé. Il permet aux personnes ayant été atteintes d'une maladie grave et candidates à une assurance de ne pas déclarer, lors d'une demande de prêt, une ancienne pathologie cancéreuse aux termes de délais prévus par la loi. Le délai est fixé à dix ans après la fin du protocole thérapeutique ; il est rapporté à cinq ans lorsqu'il s'agit de cancers mineurs. Grâce à cette loi, les conditions d'accès à l'emprunt sont également facilitées pour les personnes atteintes du VIH. Ce droit à l'oubli concerne essentiellement les assurances des prêts au logements et professionnels, la convention Belorgey de 2001 prévoyant déjà ce droit en matière de prêts à la consommation. Cette législation en faveur des personnes ayant été atteintes de maladies graves met fin aux surprimes et à l'exclusion infligée à ces personnes lors de demandes d'assurances. Cette ouverture du droit à l'oubli a été saluée par de nombreux médias, intellectuels, politiciens et associations de l'autre côté des Alpes, où aucune législation semblable n'existe ni n'est prévue dans un avenir proche.

 

Le droit à l'oubli pourrait être amené à connaître une nouvelle extension, cette fois en matière fiscale. Le numérique tendant aujourd'hui à être présent à chaque instant de notre vie, y compris en matière fiscale, il semble aujourd'hui nécessaire de poser des gardes-fous afin de protéger les droits des individus. En effet, on retrouve le numérique lors de la déclaration d'impôts sur internet avec des déclarations parfois pré-remplies, lors du calcul de la dette fiscale ou encore à l'occasion de demandes de renseignement auprès de l'administration des impôts. De même, à compter du 1er janvier 2018, le prélèvement à la source de l'impôt remplacera le recouvrement sur avis d'imposition. Il reviendra à l'employeur de prélever mensuellement l'impôt sur le salaire de ses employés. Mais cela n'implique-t-il pas un problème de confidentialité ? En effet, l'employeur devra collecter des informations sur les foyers fiscaux de ses employés (situation familiale, conjugale, fiscale, etc.), et ce sans leur consentement puisqu'il s'agit d'une obligation légale. Ne serait-ce pas un énième moyen de pression sur les employés offert aux employeurs ? L'extension du droit à l'oubli, bien qu'a priori difficile à mettre en place en l'espèce, serait peut-être une solution pour apaiser les tensions autour de cette réforme polémique.

 

 

 

             Pour conclure, d'un coté on peut se demander si le droit à l'oubli n'est pas une entrave à la liberté d'expression. En effet, la presse crie à la censure lorsque des pages renvoyant vers des journaux sont déréférencées. En protestation, le Huffington Post a d'ailleurs publié une page dédiée à tous les liens renvoyant vers son site qui ont été déréférencés. Comme l'a dit la professeur Roseline Latteron (RDP mars 1996), « si une norme juridique peut imposer le silence, elle ne peut en aucun cas imposer l'oubli ». De l'autre coté, on ne peut négliger le fait que le déréférencement, et le droit à l'oubli de manière générale, répond à une véritable demande et préoccupation des internautes. Le lancement fin mai 2014 du formulaire Google pour le déréférencement a eu un succès fulgurant avec 12 000 requêtes dès le premier jour. Aujourd'hui, Google prétend avoir examiné plus de 2 millions d'URL suite aux 717 000 demandes de suppression, dont 228 000 provenant de personnes en lien avec la France et 45 000 provenant de personnes en lien avec l'Italie. Mais laisser la possibilité aux exploitants des moteurs de recherche de refuser le déréférencement n'est-ce pas une lourde responsabilité ? N'est-ce pas le travail du juge de trouver un équilibre et discerner lequel, du droit au respect de la vie privée et du droit à l'information, prévaut ? Le débat sur la question n'est peut-être pas tout à fait clos.

 

 

Bibliographie :

 

Site du CNIL : https://www.cnil.fr

Site du Garante della Privacy : http://www.garanteprivacy.it

 

Décision CJUE Google Spain: http://curia.europa.eu/juris/liste.jsf?num=C-131/12&language=FR

 

Sites officiels:

• http://eduscol.education.fr/internet-responsable/ressources/legamedia.html

• http://www.vie-publique.fr/actualite/alaune/donnees-personnelles-revision-directive-europeenne.html

 

Revues :

• La Revue des droits de l'Homme – La CJUE, magicienne européenne du « droit à l’oubli » numérique – juin 2014

• Revue française de finances publiques - 01/05/2016 - n° 134 - page 97 – Le numérique, le contribuable et le droit à l'oubli

• Revue du droit public - 01/11/2016 - n° 6 - page 1841 – L'Union européenne et le droit à l'oubli sur internet

• Revue de droit sanitaire et social – 2017 - page 132 – Assurance et « droit à l'oubli » en matière de santé

 

Altalex :

• http://www.altalex.com/documents/news/2016/12/19/diritto-a-oblio-no-per-casi-giudiziari-gravi

• http://www.altalex.com/documents/news/2016/01/12/google-e-diritto-oblio-prima-sentenza-tribunali-italiani

 

Autres sources :

• https://www.informatica-libera.net/content/la-protezione-dei-dati-la-normativa-comunitaria-e-nazionale