[data] Données collectées en Europe ? (arrêt CJUE « Google » du 13 mai 2014)

droit à l'oubli

[mise à jour du 8 juin 2016] Le principe du droit à l’oubli imposé par cette jurisprudence est désormais gravé dans le marbre du Règlement UE 2016 / 679 du 27 avril 2016 dit « GDPR ». Et franchement, cela n’a rien d’étonnant. Où que soit situé le prestataire qui collecte des données, si les données collectées concernent des résidents de l’Union Européenne, il faut appliquer le droit européen. Il n’y a que Google et Facebook qui font semblant de ne pas le savoir…

Maintenant, si vous voulez du détail sur cet arrêt historique, c’est ci-dessous que ça se passe. Pour une étude détaillée de l’ensemble des « droits GDPR », cliquez ici.


Il n’est pas de professionnel qui touche de près ou de loin au monde du Cloud pour ignorer la législation européenne en matière de protection des « données à caractère personnel ».

La jurisprudence la plus intéressante vient aujourd’hui de la Cour de Justice de l’Union Européenne (CJUE Grande Chambre 13 mai 2014  Google Spain SL, Google Inc. / Agencia Española de Protección de Datos (AEPD), Mario Costeja G.).

Effacer les informations « désormais dépourvues de toute pertinence » ? 

M. Mario Costeja G. demandaient la suppression de pages web accessibles à partir d’une recherche sur son nom dans le moteur « google.com » pour que  « cessent d’apparaître dans les résultats de recherche » les informations relatives à une saisie dont il avait fait l’objet en 1998, ces informations étant, selon lui, « désormais dépourvues de toute pertinence ».

Google Espagne et Google Inc. s’y opposaient aux motifs que :

(i) l’activité des moteurs de recherche ne saurait être considérée comme un traitement des données qui apparaissent sur les pages web de tiers affichées dans la liste des résultats de la recherche, étant donné que ces moteurs traitent les informations accessibles sur Internet dans leur ensemble sans faire le tri entre les données à caractère personnel et les autres informations ;

et

(ii) à supposer même que cette activité doive être qualifiée de « traitement de données », l’exploitant d’un moteur de recherche ne saurait être considéré comme « responsable » de ce traitement, dès lors qu’il n’a pas connaissance desdites données et n’exerce pas de contrôle sur celles-ci.

M. Mario Costeja G., avec le soutien de l’Autorité espagnole de protection des données estimaient pour leur part (en sens radicalement inverse, bien sûr) que

(i) ladite activité implique de toute évidence un « traitement de données » au sens de la directive 95/46, … distinct du traitement de données par les éditeurs de sites web et poursuit d’autres objectifs que celui-ci

et que

(ii) l’exploitant d’un moteur de recherche serait « responsable » du traitement des données effectué par celui-ci dès lors que c’est lui qui détermine les finalités et les moyens de ce traitement.

La décision est suffisamment claire au regard du texte de la directive n°95/46 (« du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ») pour ne susciter qu’un rapide commentaire. Précisons tout de suite que cet arrêt de la CJUE est parfaitement transposable à la France, sur le territoire de laquelle Google France exploite le moteur de recherche de Google Inc..

Une décision parfaitement logique…

Oui, Google Espagne (comme Google France en France) exerce une « activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné » qui doit être qualifiée de « traitement de données à caractère personnel », au sens de l’article 2 de la Directive n°95/46 « lorsque ces informations contiennent des données à caractère personnel ».

Oui, manifestement, Google Espagne (comme Google France en France) « doit être considérée comme le « responsable » dudit traitement, au sens de cette même Directive ».

Oui, Google Espagne (comme Google France en France) explore «Internet de manière automatisée, constante et systématique à la recherche des informations qui y sont publiées », les « exploite », les « collecte » puisqu’elle les « extrait », les « enregistre » et les « organise » « dans le cadre de ses programmes d’indexation », les « conserve sur ses serveurs » et les « met à disposition de ses utilisateurs sous forme de listes des résultats de leurs recherches ».

Oui, Google Espagne (comme Google France en France) « détermine les finalités et les moyens de cette activité et ainsi du traitement de données à caractère personnel qu’(elle) effectue, et « doit, par conséquent, être considéré comme le responsable de ce traitement ».

Alors ? Comme dirait le Ministère public en panne d’inspiration pour ses réquisitions : « Application de la loi… ».

… doublée d’une audacieuse conclusion

Le reste du raisonnement de la CJUE, notamment les conséquences qu’elle tire de ses constatations,  est plus audacieux :

la personne concernée a un droit à ce que l’information … relative à sa personne ne soit plus… liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom.

la reconnaissance d’un véritable droit à l’oubli

C’est donc bien la reconnaissance d’un véritable droit à l’oubli qui s’impose à Google, dans tous les pays de l’Union Européenne, les informations à effacer (ou ne plus rendre accessibles) prévalant

en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt (du) public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne.

Ce droit à l’oubli doit donc prévaloir sur tout autre, avec une seule réserve, précise la Cour, lorsque les informations personnelles relèvent de « la vie publique » de la personne concernée et que « l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir … accès à l’information en question ».

Droit à l’oubli, certes, « même lorsque (la) publication (de ces informations) sur lesdites pages est licite », mais pas pour les informations relatives à la vie publique de la personne.

Le droit à l’oubli n’est donc pas absolu, loin de là. Affirmer le contraire revient à soutenir des intérets particuliers de manière fallacieuse.

Conséquence très concrète de cet arrêt pour M. Mario Costeja G., puisqu’apparemment, les informations dont il demandait l’effacement ne paraissaient pas relever de sa « vie publique », ni contredire « l’intérêt prépondérant dudit public à avoir … accès à l’information en question » :

Google est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés ».

Une solution légitime et raisonnable

La décision du juge européen est légitime et raisonnable, il faut le dire, même si Google et Reporter sans frontière ont – pour des raisons très différentes – chacune publiquement regretté la solution retenue.

Mais Google le sait bien puisque aujourd’hui, l’Autorité française de protection des données (CNIL) annonce publiquement des pourparlers avec Google au niveau de l’Europe en vue de la conclusion d’un « pacte de conformité » avec la Directive sur la protection des données personnelles.

A l’heure ou les Etats-Unis imposent un contrôle sur les données du Cloud des entreprises US, même lorsque les serveurs se situent hors du territoire des USA (en Irlande dans une affaire très récente), il était temps pour l’Europe de rappeler que la législation de l’Europe s’applique à Google lorsque Google opère en Europe.

Pas de prescription sur Internet ?

Le cerveau humain oublie les souvenirs les plus lointains.

La loi des hommes reconnait le droit à l’oubli (même au profit des pires criminels) : on appelle cela la prescription.

Mais demandez aux spécialistes de la matière : un contenu posté sur Internet ne disparait techniquement jamais vraiment. Souvenez-vous des aventures de Diana Z. qui avait diffusé ses ébats sur Internet et demandé à Google en 2012 de désindexer les liens devenus gênants (10 ans plus tard) alors qu’elle était devenue institutrice.

Prudence (donc) mais c’est surtout à nos enfants qu’il va falloir expliquer ça, eux qui sont si friands (frétillants ?) devant Instagram, Facebook, Twitter et leurs amis…