Nouvel épisode dans le long feuilleton qui oppose les autorités légales et judiciaires européennes à Google.
Souvenir des épisodes précédents
Ce feuilleton ne date pas d’hier.
Il a d’abord été alimenté par le respect des données à caractères personnel exploitées directement par Google, par exemple dans ses diverses applications – souvenons-nous que Google n’est pas qu’un moteur de recherche mais offre une multitude de produits et services (WebRankinfo, qui tient à jour l’Encyclopédie des produits et services Google en dénombre actuellement 221) – telles que les Alertes Google et surtout Google Street View.
Le contentieux du droit à l’oubli
Mais depuis le 13 mai 2014, le bras de fer est engagé délibérément entre les grands principes de protection des données privées et à caractère personnel à l’européenne (Union européenne, mais aussi la Suisse – notre actualité du 31 juillet 2014 sur notre site principal) et le référencement des grands moteurs de recherche multinationaux qui semblaient jusque-là au-dessus des lois.
Les grands jalons : du droit à l’oubli au droit au déréférencement
On est parti d’un concept présent dans les lois de protection des données personnelles, mais vite devenu un slogan lancé par la CJUE elle-même et relayé fidèlement par les médias : le droit à l’oubli. Concept si mal connu qu’on a pu lire que c’était la CJUE qui l’avait forgé alors qu’il existe depuis longtemps, par exemple dans l’article 6, 5° de notre actuelle loi Informatique, fichiers et libertés, dans sa rédaction de 2004.
Par la suite, on s’est vite aperçu que le terme était quelque peu abusif et nombreux furent les juristes à parler plus sobrement de droit à l’effacement. Finalement, la tendance semble se fixer sur le terme qui convienne le mieux techniquement : droit au déréférencement (notamment dans le communiqué du G29).
Le coup de tonnerre de l’arrêt de la CJUE
Le 13 mai 2014, donc, la Cour de justice de l’Union européenne rendait un arrêt dont nous ne cessons d’affirmer qu’on n’en a pas encore mesuré toutes les conséquences. Cette décision fut une sorte d’électrochoc pour le monde du Web et nous avons abondamment communiqué dessus depuis cette date (voir références ci-dessous).
Rappelons que ce qui est reconnu par la CJUE, c’est le droit pour tout ressortissant de l’Union européenne de demander l’effacement des liens pointant vers des pages web sur lesquelles son nom ou des informations le concernant sont présentes, sans pour autant que ces informations soient effacées du site source : il s’agit donc strictement de déréférencer ces données pour qu’elles ne remontent plus dans les résultats des moteurs de recherche, alors même que les données sont toujours en ligne. La nuance est importante.
Les lignes directrices du G29
Dans la foulée de l’arrêt de la Cour de justice, ce fut au tour du G29 d’annoncer sa prise de position. Ce groupe de travail, réunissant les autorisés de protection des données personnelles et 28 États membres de l’UE et le Correspondant européen à la protection des données (CEPD), institué par l’article 29 de la directive de 1995 sur la protection des données à caractère personnel, a en effet publié le 26 novembre 2014 ses « lignes directrices« , ainsi que son interprétation de l’arrêt du 13 mai. Les lignes directrices, comme le suggère leur nom, sont destinées à harmoniser le règlement des litiges opposant les particuliers désireux de voir déréférencer des données en ligne les concernant et les moteurs de recherche dans la mesure où ceux-ci refuseraient de la faire.
L’autorité habilitée à juger de tels litiges semblait donc être désignée en la personne de l’autorité de protection des données de chaque État de l’Union. C’était oublier que les autorités judiciaires ont vocation à connaître de tout litige.
L’ordonnance de référé du TGI de Paris
C’est ainsi que le 19 décembre dernier, le Tribunal de grande instance de Paris rendait une ordonnance de référé obligeant Google à déréférencer un article de presse relatant la condamnation d’une personne pour escroquerie en 2006. Google avait considéré qu’une telle information relevait de l’intérêt du public, soit une position aux antipodes de deux grands principes reconnus en Europe, et spécialement en France :
- Le « droit à l’oubli« , le vrai, qui consiste à obtenir l’oubli de faits qui appartiennent au passé d’une personne. C’est pourquoi la loi prévoit que le traitement de données à caractère personnel doit être nécessairement limité dans le temps. Les données doivent donc être purgées au bout d’un certain temps, notamment dans les fichiers nominatifs gérés par les entreprises ou les collectivités publiques (article 6, 5° loi du 6 janvier 1978 modifiée, précité). Mais ce n’était (presque) jamais le cas sur Internet…
Ce droit à l’oubli est pourtant un des fondements de notre civilisation judéo-chrétienne : tout être humain peut changer, s’amender et ainsi obtenir le pardon de ses fautes ou plus généralement l’oubli de ses actes. - L’anonymisation des décisions de justices, recommandée par la Cnil dès 2001 et suivie par tous les sites qui publient des décisions de justice sur le net, à commencer par Légifrance. La Cnil a ainsi entendu empêcher le phénomène de double peine : la personne condamnée paie sa dette à la société en purgeant sa peine, et continue malgré tout d’être flétrie à vie puisque la trace de sa condamnation demeure sur le net de manière permanente. Sur cette base nous avons toujours souligné l’incohérence qui existe ainsi sur Internet : la décision de justice est anonymisée, mais les articles de presse qui ont rendu compte du procès sur le moment, et désignant nommément les coupables demeurent en ligne…
Le droit d’opposition
Mais l’arsenal juridique offert par la loi Informatique, fichiers et libertés ne s’arrête pas au droit à l’oubli.
Deux principes fort sont également posés dans la loi :
- Un traitement de données à caractère personnel ne peut se faire sans le consentement de l’intéressé ou aux termes d’une obligation légale (article 7) : lorsque Google ou tout autre moteur de recherche brasse des données personnelles pour les indexer, elle le fait sans que les intéressés aient donné leur accord. Bien sûr, ce serait matériellement impossible de l’obtenir, mais c’est bien ce qui a fondé la décision de la CJUE, de reconnaître à toute personne le droit de refuser de continuer à être référencée dans Google, sauf lorsque l’intérêt de l’information du public prime.
- « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement » (article 38 al.1er). C’est sur ce fondement que l’ordonnance de référé s’appuie pour condamner Google à déréférencer les données concernant une condamnation de la requérante remontant à 2006.
En conclusion…
La justice française vient ainsi d’agir dans la droite ligne de l’arrêt de la CJUE et des lignes directrices du G29. On peut se féliciter que le juge civil prolonge ainsi la protection des personnes physiques à l’égard de traitement de données de plus en plus envahissants.
En savoir plus
Voir la Délibération n° 01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence sur le site de la Cnil.
Lire notre actualité d’hier 20 janvier sur notre site principal concernant la décision du TGI de Paris et accéder à l’ordonnance elle-même.
Voir notre communiqué de presse du 15 juillet 2014 et les actualités qui s’y rattachent autour de l’arrêt de la CJUE.
Voir notre communiqué du 16 décembre à la suite de la publication des lignes directrices du G29, ainsi que son annonce sur ce blog, le 1er décembre.
Voir aussi notre étude en plusieurs épisodes (en cours) « Qu’est-ce le Droit à l’oubli ? » sur ce même blog.