Par un arrêt du 13 mai 2014, la Cour de Justice de l’Union Européenne (CJUE) a rendu une décision qui pour certain crée un nouveau droit, un « droit à l’oubli » qui met à mal le droit à l’information, alors qu’il s’agit ni plus ni moins de l’application d’un droit fondamental, à savoir le droit à la vie privée notamment lors du traitement des données à caractère personnel des personnes physiques.

La CJUE, comme l’aurait fait la Cour Européenne des droits de l’homme à Strasbourg, a fondé sa décision sur les droits fondamentaux et a su trouver un juste équilibre entre le droit à la vie privée et le droit à l’information. Dans cette décision inédite, sur de nombreux aspects, il n’y a aucun risque de porter atteinte au droit à l’information, puisqu’il est simplement limité. Il se trouve ici être limité par le « temps ». L’information n’étant plus d’actualité, n’étant plus pertinente, comme le dit la Cour, il n’y a plus lieu de la relater.

Le droit à l’information se trouve donc limité par le temps, pour faire place au droit à la vie privée que tout individu, qui n’est pas une personnalité publique, a droit de faire respecter.

 

Rappel de fait

En l’espèce, un ressortissant de nationalité espagnole a introduit auprès de l’agence espagnole pour la protection des données (l’équivalent de la CNIL), l’Agencia Española de Protección de Datos (AEPD) une demande en vue, d’une part, faire supprimer des articles de presse relatifs à une vente aux enchères et d’autre part, faire retirer le lien internet qui pointait vers ces articles de presse.

En effet, deux articles de presse publiés dans le quotidien de La Vanguardia datées de janvier et mars 1998 annonçaient une vente aux enchères immobilière organisée à la suite d’une saisie destinée à recouvrer les dettes de sécurité sociale dues par ce ressortissant espagnol.

Lorsque les internautes introduisaient le nom de cette personne sur le moteur de recherche Google, la liste des résultats affichait un lien vers ces articles.

L’intéressé a fait une demande afin que ce lien soit supprimé au motif légitime que l’information contenu dans l’article de presse n’est plus exacte, ayant recouvré toutes ces dettes dues à la sécurité sociale.

L’AEPD, rejette la première demande au motif que les données publiées par le quotidien ont été recueillies de manière licite, en revanche, elle accueille la demande concernant le lien internet dirigé vers les deux articles de presse et demande à Google Spain et Goolge Inc. de prendre les mesures techniques nécessaires pour faire retirer ces liens internet.

Google Spain et Goolge Inc. introduisent deux recours devant l’Audiencia Nacional (Audience nationale, Espagne) en vue de faire annuler la décision de l’AEPD. La juridiction espagnole sursoit à statuer et pose à la Cour de Justice de l’Union Européenne (CJUE) une série de question préjudicielle qui a donné lieu à l’arrêt du 13 mai 2014 tant commenté.


Questions préjudicielles

Il a notamment été demande à la CJUE de dire si les activités de Google Inc. relèvent de traitement de données à caractère personnel et si Google Inc et Google Spain doivent par conséquent être reconnu comme responsable de traitement.

Google pour sa défense invoquait le fait que son activité se limitait à traiter les informations sans pouvoir avoir de contrôle ni de connaissances de celles-ci. Il précisait que même si son activité doit être qualifiée de « traitement de donnée » il ne pouvait être responsable du contenu.

La CJUE énonce « que d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de de la directive 95/46 lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le «responsable» dudit traitement ».

En effet, elle se fonde sur la Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et relève que « le moteur de recherche «collecte» de telles données qu’il «extrait», «enregistre» et «organise» par la suite dans le cadre de ses programmes d’indexation, «conserve» sur ses serveurs et, le cas échéant, «communique à» et «met à disposition de» ses utilisateurs sous forme de listes des résultats de leurs recherches. Ces opérations étant visées de manière explicite et inconditionnelle à l’article 2, sous b), de la directive 95/46, elles doivent être qualifiées de «traitement» au sens de cette disposition, sans qu’il importe que l’exploitant du moteur de recherche applique les mêmes opérations également à d’autres types d’information et ne distingue pas entre celles-ci et les données à caractère personnel ».

Quand bien même les informations aient déjà été publiées dans différents médias, le simple fait de les collecter, de les diffuser ou de les indexer à nouveau consiste en un traitement de donnée et la personne physique ou morale qui les exploite est considérée comme le responsable de traitement. Cette position n’est pas nouvelle, il est de jurisprudence constante pour la CJUE de se positionner ainsi. A titre d’exemple nous pouvons citer l’arrêt « Satakunnan Markkinapörssi et Satamedia 16 décembre 2008 C-73-07_EUC2008-727.

En l’espèce, la société Markkinapörssi collectait depuis de nombreuses années auprès des autorités fiscales finlandaises des données publiques afin d’éditer chaque année des extraits de ces données dans les éditions régionales du journal Veropörssi.

Les informations contenues dans ces publications comprennent le nom et le prénom de quelque million de personnes physiques dont le revenu excède un certain seuil. Ces informations étaient communiquées sous la forme d’une liste alphabétique, classées par commune et par catégorie de revenus.

La société Markkinapörssi céda, sous la forme de disques CD-ROM, à un opérateur de télécom, la société Satamedia, les données à caractère personnel publiées dans le quotidien Veropörssi, en vue de leur diffusion par un système de SMS.

À la suite de nombreuses plaintes de particuliers invoquant la violation de leur vie privée auprès des autorités finlandaises chargées de la protection des données, un recours est formé devant le Helsingin hallinto-oikeus (tribunal administratif de Helsinki).

Le tribunal sursoit à statuer et de pose à la CJUE les questions préjudicielles suivantes :

Peut-on considérer comme un « traitement de données à caractère personnel » au sens de l’article 3 de la directive 97/46, une activité qui consiste :

a)      à collecter dans les documents publics de l’administration fiscale des données relatives aux revenus des personnes physiques et à les traiter en vue de leur publication,

b)      à les publier par classe de revenus, sous la forme de listes détaillées établies commune par commune,

c)      à les céder sous la forme de disques CD-ROM, pour qu’elles soient utilisées à des fins commerciales,

d)      à les traiter dans un service de SMS qui permet aux utilisateurs de téléphones mobiles, en envoyant le nom et la commune de résidence d’une personne, de recevoir des informations concernant les revenus du travail et du capital ainsi que le patrimoine de cette personne?

La CJUE répond par l’affirmative et énonce «  qu’il y a lieu de relever qu’une dérogation générale à l’application de la directive en faveur d’informations déjà publiées viderait cette dernière largement de son sens ».

Pour la Cour, il serait trop simple de publier des informations de manière licite, notamment des informations publiées par des organes de l’état, des bulletins d’annonce légales ou des quotidiens, pour ensuite soutenir que puisqu’elles sont déjà connues du public, elles peuvent être relayées par d’autre personne et sur tout support sans que les personnes concernées puissent s’y opposer.

Le droit à l’oubli, un droit positif

La notion de droit à l’oubli n’est pas une notion récente en France, la loi puis la jurisprudence en ont soulevé les principes, sans pour autant le consacrer vraiment, étant pour le moment, rattaché au droit à la vie privée.

En France, la loi relative à l’informatique, aux fichiers et aux libertés communément appelée « loi Informatique et libertés » date de 1978. Dès lors, cette loi encadre l’usage des données à caractère personnel et son article 1er dispose que « L’informatique doit être au service de chaque citoyen. [..] Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Et prévoit un « droit à l’oubli » pour toute personne, en prévoyant que tout traitement doit être limité dans le temps.

Le droit à l’oubli est reconnu par la jurisprudence par un arrêt du Tribunal de grande instance de Paris 10 avril 1983 « Filipicchi c/ Cogedipresse (JCP. 1983.II.20434).

Le TGI consacre pour la première fois le droit à l’oubli sur le plan de la responsabilité civile en énonçant ainsi « Attendu que toute personne qui a été mêlée à des évènements publics peut, le temps passant, revendiquer le droit à l’oubli ; que le rappel de ces évènements et du rôle qu’elle a pu y jouer est illégitime s’il n’est pas fondé sur les nécessités de l’histoire ou s’il peut être de nature à blesser sa sensibilité […] Attendu que ce droit à l’oubli qui s’impose à tous, y compris aux journalistes, doit également profiter à tous, y compris aux condamnés qui ont payé leur dette à la société et tentent de s’y réinsérer ».

Alors bien sûr, le droit à l’oubli n’est pas vraiment consacré puisqu’il permet uniquement de limiter dans le temps la conservation des données à caractère personnel.

Mais l’on se rapproche de ce qu’énonce la CJUE dans sa décision, « un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec les dispositions de la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé ».

A mon sens, le droit à l’oubli prendra sa place naturellement et ira de pair avec les nouveaux comportements de chaque individu dans notre société et avec l’évolution et le développement du numérique et des technologies. Est-il nécessaire d’y consacrer une loi ?

En effet, tout comme le droit d’auteur, l’usage que l’on fait d’une œuvre est encadré par le droit. La diffusion de données personnelles par les individus eux même doit également être limité et encadré par le droit. L’usage que « les commerçants du numérique » peuvent avoir sur ces données, ces informations personnelles ne peut être exclusif sous prétexte qu’une personne les ait communiqué ou même au nom du droit à l’information.

Un auteur a la maitrise sur son œuvre, l’individu doit également avoir une maitrise sur sa vie privée au travers de ses données personnelles qu’elles aient été divulguées avec ou contre son gré.

Reste désormais à faire appliquer cette décision, en effet, pour Google et pour tous les moteurs de recherche mais également toutes les entreprises qui développent une activité sur internet de plus en plus centrée sur les informations personnelles des internautes, sur ce qu’ils aiment voir, manger, où ils vont en vacances, afin de cibler au plus près les produits et services qu’elles vont pouvoir proposer. Elles collectent des données personnelles qui ont une grande valeur économique, destinées à être commercialisées.

Ces acteurs vont devoir concilier entre, d’une part, la rentabilité de cet actif économique obtenu gratuitement et souvent sans autorisation et d’autre part, la volonté des individus concernés par ces données de maitriser leur diffusion, de faire valoir un droit de suite sur leur information.

Par Koumba KONE, Juriste droit des nouvelles technologies

CJUE_C-131/12

Laisser un commentaire