Le droit au déréférencement et a l’oubli sur internet
Article
- Définitions
- Le droit au déréférencement
- Le droit à l’effacement de données à caractère personnel sur un site internet
Les élus ou les agents des collectivités ont parfois la surprise de trouver des informations personnelles sur internet. Ils ont alors la faculté de faire valoir leur droit au déréférencement ou leur droit à « l’oubli » numérique.
Cette Fiche Technique fait le point sur la réglementation relative à ces droits.
Définitions
Il convient de distinguer le droit au déréférencement et le droit à « l’oubli » numérique.
Le premier concerne la suppression, par l'exploitant d'un moteur de recherche mettant en œuvre son traitement en France, de la liste de résultats affichée à la suite d'une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant. Cette suppression ne signifie pas l’effacement de l’information sur le site internet source. Le contenu original reste ainsi inchangé et est toujours accessible via les moteurs de recherche en utilisant d’autres mots clés de recherche ou en allant directement sur le site à l’origine de la diffusion.
Le second permet à toute personne physique justifiant de son identité d’exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant (article 40 de la loi du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés).
Le droit au déréférencement
Selon la Cour de Justice de l’Union Européenne (CJUE)[1] les moteurs de recherche sont responsables du traitement de données à caractère personnel sur internet, au sens de la Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Par données à caractère personnel, on entend : « toute information concernant une personne physique identifiée ou identifiable (personne concernée). Est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale » (Article 2, a de la Directive)[2] ; et constitue un «traitement de données à caractère personnel»: « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction » (Article 2, b de la Directive).
En tant que responsables du traitement de données à caractère personnel, les exploitants de moteurs de recherche ont la responsabilité de procéder au déréférencement des informations en lien avec l’identité des personnes physiques lorsque celles-ci leur en font la demande.
Dans sa décision précitée, la CJUE a néanmoins précisé qu’une demande de déréférencement doit en principe être satisfaite dès lors qu’elle repose sur un motif légitime, mais le fait de constater des commentaires négatifs ou diffamants ne peut suffire à motiver une demande de déréférencement. En outre, le droit à l’information du public peut faire obstacle au déréférencement, notamment si la personne joue un rôle dans la vie publique.
Les demandes font donc l’objet d’une analyse au cas par cas par les moteurs de recherche afin de garantir un juste équilibre entre protection de la vie privée et droit à l’information.
En cas de refus de la part de l'exploitant d’un moteur de recherche, la personne qui a demandé le déréférencement peut saisir la commission Nationale de l'Informatique et des Libertés (CNIL). Cette dernière peut mettre en demeure l'exploitant de faire droit à la demande de déréférencement. Cette faculté s’exerce sous le contrôle du juge de l’excès de pouvoir, en l’espèce le Conseil d’Etat.
Le droit à l’effacement de données à caractère personnel sur un site internet
Le déréférencement n’aboutit pas à la suppression des informations à caractère personnel sur un site internet, seule une demande d’effacement de ces informations sur le site aboutit à ce résultat.
Cette possibilité s’exerce auprès du responsable du site d’origine (article 40, al. 1er de la loi du 6 janvier 1978, dont les dispositions transposent en droit national les dispositions de l'article 12, b de la directive du 24 octobre 1995).
Ainsi, la personne qui souhaite réclamer une suppression de données à caractère personnel sur un site internet doit adresser une demande écrite signée et accompagnée d'un titre d'identité au responsable du traitement[3], ou présenter une demande auprès du responsable du traitement. Dans ce cas, il peut se faire assister d'un conseil de son choix ou présenter sa demande par une personne spécialement mandatée à cet effet. Lorsque la demande ne peut être satisfaite immédiatement, il est délivré à son auteur un avis de réception, daté et signé[4].
Le responsable du traitement dispose de deux mois pour répondre à la demande suivant sa réception, sauf si la demande est imprécise ou ne comporte pas tous les éléments permettant au responsable du traitement de procéder aux opérations qui lui sont demandées, auquel cas ce dernier invite le demandeur à les lui fournir avant l'expiration du délai précité. Dans ce cas, ce délai est suspendu. Une réponse négative du responsable du traitement doit en principe être motivée et doit mentionner les voies et délais de recours ouverts pour la contester. Néanmoins, Le silence gardé pendant plus de deux mois par le responsable du traitement sur une demande vaut décision de refus[5].
En cas d’absence de réponse ou de réponse insatisfaisante, le demandeur peut adresser une plainte à la CNIL, par courrier ou en ligne. Il peut également saisir la justice afin qu’elle ordonne les mesures nécessaires.
Il est toutefois important de préciser que ce droit à l’effacement n’est pas absolu et doit être concilié avec d'autres intérêts. Ainsi, il ne peut s'appliquer, notamment, lorsque le traitement de données est nécessaire à l'exercice du droit à la liberté d'expression et d'information (Réponse Ministérielle QE n° 61516, JO Assemblée nationale du 23 août 2016).
------------------------------------------------------
[1] CJUE,13 mai 2014, Google Spain SL, Google Inc. contre Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez, C-131/12.
[2] La loi du 6 janvier 1978 définit quant à elle les « données à caractère personnel » comme « toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres » (L. n° 78-17, 6 janvier 1978, article 2, al. 2).
[3] Article 92 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
[4] Article 93 du décret précité.
[5] Article 94 du même décret.
Nous vous rappelons que HGI-ATD ne répond qu'aux sollicitations de ses adhérents. Toute demande de documentation, conseil ou assistance ne respectant pas cette condition ne pourra aboutir.
