Trouver un article
Thèmes populaires
Le droit à l’oubli, c’est très compliqué. C’est très compliqué parce que le droit à l’oubli n’est pas inscrit précisément dans une seule et unique loi, et parce que le numérique est rarement cantonné à un seul pays : lorsqu’un citoyen français demande à une entreprise américaine de supprimer des données qui le concernent, les conflits de droit apparaissent au grand jour. Nous le voyons régulièrement : la CNIL œuvre pour que le droit au déréférencement des citoyens français soit respecté, mais Google n’est pas toujours d’accord, estimant que la CNIL n’est pas légitime pour statuer sur Google.com.
Pour mieux cerner le droit à l’oubli, connaître les droits des citoyens français et savoir les démarches à effectuer pour faire valoir ses droits, nous avons eu le plaisir de rencontrer Gustav Malis à Rennes. Il fait partie du laboratoire Confiance & Identité Numérique de l’IRT b<>com à Rennes.
Pouvez-vous présenter votre parcours et votre rôle à l’IRT b<>com ?
Titulaire d’un Master en Droit des Affaires de Suède, qui inclut des études à l’étranger à l’Université de Rennes 1, j’ai toujours eu un intérêt spécifique pour les nouvelles technologies. Pendant mon année Erasmus j’ai fait la connaissance d’Annie Blandin, titulaire d’une Chaire Jean Monnet sur « l’Union Européenne et la Société d’Information ». Ces rencontres ont abouti à mon intégration au laboratoire Confiance & Identité numérique de l’Institut de Recherche Technologique b<>com en mars 2014, en tant que doctorant.
La première mission de ce laboratoire est de concevoir des outils capables de garantir le droit à l’effacement de données personnelles, d’authentifier des documents imprimés ou numériques ou encore de tracer les contrefaçons. Pour réaliser ces objectifs, le laboratoire b<>com se concentre sur 3 principaux axes de recherche : la cryptographie et le traitement du signal, le tatouage numérique et la théorie de l’information.
Dans mon travail au sein de b<>com, j’ai la possibilité de combiner la théorie et la pratique. D’une part je fais de la recherche pour ma thèse dont le sujet est « Le cadre juridique de l’effacement des données mises à disposition par les personnes elles-mêmes » et de l’autre, j’ai la possibilité de mettre en œuvre mes recherches, en assistant les équipes de l’IRT avec des conseils ou des éclairages juridiques.
Vous avez récemment mené une expérience sur le droit à l’oubli. Quel était le principe et quels ont été les résultats ?
Il s’agissait d’<x>perience, un espace d’échanges, lancé en septembre 2014, mis en place sur notre site Internet pendant 9 semaines. Nous fournissions du contenu interactif aux internautes, pour qu’ils réagissent sur le thème du droit à l’oubli et sur des questions concernant la confiance numérique (cela dans le contexte de l’arrêt de la Cour de Justice de l’Union Européenne, publié le 13 mai l’année passée, qui a été rendu suite à un litige entre M. Costeja (un citoyen espagnol) et Google Espagne, souvent appelé « l’arrêt Google Espagne »).
Nous avons eu des contributions de qualité et d’une grande variété et nous avons perçu un fort intérêt pour ces problématiques. Beaucoup de gens ont peur et manquent de confiance vis-à-vis du numérique : “on n’arrive pas à contrôler nos données”. La volonté de pouvoir le faire existe, mais ce n’est pas facile, voire “pas possible”.
Nous avons également recueilli des opinions hostiles au principe du droit l’oubli : “tout ce qui limite la liberté d’expression sur Internet est non-souhaité et il ne faut pas le faire car l’utopie de l’Internet doit prévaloir”. Nous avons donc vraiment eu des réponses très variées et très diverses. Cela montre les enjeux liés à la conciliation des droits fondamentaux et du modèle économique des géants de l’Internet qui exploitent les informations personnelles, ce qui débouche souvent sur une perte totale de contrôle de l’utilisateur final.
Au niveau législatif, comment ça se passe ?
D’abord, il faut préciser que le droit à l’oubli n’est pas consacré explicitement dans la législation et il n’existe donc pas en tant que droit autonome.
En revanche, la loi informatique et libertés prévoit un droit à l’effacement, à la rectification et d’opposition d’un traitement des données personnelles. Ce droit à l’effacement s’applique en cas de traitement des données personnelles non conforme avec les exigences de la loi. Désormais, la proposition du règlement européen qui vient réformer le droit de la protection des données personnelles, consacre un article spécifique au droit à l’effacement. Ce droit à l’effacement est renforcé par rapport au droit à l’effacement actuel.
L’article 9 du Code Civil prévoit aussi la protection de la vie privée.
Il y a également la loi pour la Confiance dans l’Économie Numérique qui contient, par exemple, des dispositions concernant la responsabilité des hébergeurs pour les contenus qu’ils stockent.
Dans tout cas, concernant le droit à l’oubli : ce n’est donc pas un droit mais plutôt un principe qui irrigue plusieurs régimes juridiques. Nous pouvons dire que le droit à l’oubli consiste en l’idée de permettre à la personne de se faire « oublier », de ne pas être réduite à son passé, de pouvoir se refaire et évoluer.
On parle ici du cadre législatif français : comment cela fonctionne lorsqu’une personne souhaite supprimer des données hébergées dans un autre pays, sur des serveurs qui appartiennent à une entreprise domiciliée dans un autre pays etc. ?
Cela est une des grandes questions concernant « la conquête de l’espace numérique par le juridique ». Dans la vie quotidienne, c’est en général plutôt simple : le droit français est applicable sur le territoire français ; le droit américain sur le territoire américain, et ainsi de suite. Par contre, l’espace numérique renvoie à quel territoire ? C’est un territoire unique, sans frontières. La question de la souveraineté étatique est un débat crucial de l’ère numérique. Comment peut-on concilier les systèmes juridiques des différents pays dans l’espace numérique ? Aujourd’hui, nous observons des prises de position très différentes : une Cour américaine a considéré que dès que cela concerne des entreprises américaines, c’est le droit américain qui s’applique. En retour, la France pourrait répliquer : si vous réalisez des activités sur le territoire français, c’est le droit français qui s’applique. Ce sont donc des questions compliquées et pour le moment il n’existe pas de réponses faciles.
Au titre d’exemple, nous assistons actuellement à un conflit entre la CNIL et Google concernant la mise en œuvre de l’arrêt Google Espagne au sujet du droit au déréférencement (la possibilité d’obtenir l’effacement des liens dans une liste de résultats d’un moteur de recherche). Google souhaite limiter l’application du déréférencement aux extensions européennes de son moteur de recherche (donc google.fr, .de, .be etc) bien que la CNIL demande le déréférencement mondial (incluant google.com).
Est-ce qu’il manque une CNIL mondiale ?
Il n’existe pour le moment aucun organisme qui pourrait réguler Internet au niveau mondial afin de trancher des affaires internationales concernant la protection des données personnelles.
De plus, la mise en place d’une telle autorité serait difficile. Il existe des différences plutôt fortes entre les systèmes juridiques des différent pays, qui peuvent facilement entrer en conflit. Si on permet à un système juridique de se positionner au-dessus des autres, nous devons aussi permettre aux autres systèmes de s’interposer à leur tour. Il peut alors y avoir des conséquences non souhaitables comme des conflits de droit concernant l’interprétation des droits fondamentaux.
D’un point de vue procédural, En France, en cas de litige, la personne peut saisir la justice française ; puis faire appel ; puis tenter de se pourvoir en cassation ; puis, si un recours est possible, monter à l’échelle européenne. Mais il n’y a pas de juridiction au-dessus de l’Europe. Dans ce contexte, la mise en place d’une CNIL mondiale parait donc d’aujourd’hui comme une impossibilité.
Un internaute veut supprimer des données sur Internet. Que doit-il faire ?
Concrètement : si une personne souhaite supprimer des contenus présents sur Internet, elle peut cibler l’effacement du contenu ou la limitation de l’accès au contenu. Si elle cible l’effacement du contenu (à la source, la publication originale), elle peut le faire par le biais de la Loi Informatique & Libertés : elle dispose d’un droit à l’effacement, à la rectification et d’opposition. Elle peut contacter l’éditeur du site concerné directement, en justifiant sa demande (il faut expliquer comment le traitement est non-conforme avec les exigences de la loi). Si l’éditeur de site refuse, elle peut porter plainte devant la CNIL pour faire valoir ses droits.
Au niveau des juridictions, la CNIL est le premier recours. C’est l’autorité administrative compétente pour juger les affaires liées aux données personnelles. Il faut noter que l’on peut faire appel d’une décision de la CNIL.
S’il s’agit d’un contenu illicite, la personne peut aussi introduire un recours contre l’hébergeur des données, au titre de la loi pour la Confiance dans l’Économie Numérique. Selon cette loi, l’hébergeur n’est normalement pas responsable des contenus hébergés, mais il est dans l’obligation d’effacer un contenu s’il est informé (par la voie d’une notification) du fait que le contenu qu’il stocke est illicite, au risque sinon d’engager sa responsabilité.
La personne pourra aussi introduire un recours devant les tribunaux selon l’article 9 de code civil, pour infraction de la vie privée.
Enfin, la personne peut aussi cibler la limitation de l’accès au contenu. Nous sommes dans ce cas dans la logique du l’arrêt Google Espagne, qui établit le fameux “Droit au déréférencement”. La Cour a établi un droit, pour la personne physique, de demander à un moteur de recherche d’effacer des liens qui se trouvent dans une liste de résultats, dans le cadre de la recherche à partir du nom de la personne demandeuse. Une personne physique peut donc désormais demander à Google, Bing ou d’autres moteurs de recherche de déréférencer des liens afin de limiter l’accès du grand public aux contenus auxquels la personne ne souhaite plus être associée. Il faut préciser qu’il s’agit uniquement des liens dans une requête correspondant au nom de la personne, et on pourra accéder à ces contenus à partir d’autres requêtes, différentes du nom de la personne. Le déréférencement ne concerne pas non plus l’origine du contenu mais seulement l’accès au contenu à travers les moteurs de recherche.
On distingue donc le support original et tous les sites qui relayent cette information ?
Oui, c’est quelque chose que la Cour a bel et bien dit dans l’arrêt Google Espagne. L’action de publier une information et l’action de fournir l’accès à l’information sont des actions bien distinctes qui doivent être traitées de manière autonome, au moins dans le contexte de la protection des données personnelles et de la vie privée.
Prenons l’exemple de l’arrêt Google Espagne qui illustre bien cette distinction. M. Costeja, citoyen espagnol, avait, 20 ans plus tôt, eu des problèmes de dettes sociales et il avait été menacé d’expropriation. Il a réglé ses problèmes avant que sa maison ne soit vendue, mais l’annonce de la vente aux enchères a été publiée dans un journal sur Internet – en application d’une obligation légale. Tout a donc été résolu, mais 20 ans après, le premier résultat d’une recherche sur son nom était toujours la publication de cette vente aux enchères. Une circonstance plutôt gênante pour Monsieur Costeja car il est avocat. Une recherche sur son nom permettait donc de savoir qu’il avait eu des problèmes de dettes sociales, ce qui était préjudiciable pour son travail. Ici, la publication de la vente aux enchères était une obligation légale, donc on ne peut pas s’y opposer. Cependant, la Cour a constaté que ce que fait Google est différent : il agrège des informations sur une personne et la Cour a considéré que cela constituait une atteinte aux droits fondamentaux, indépendamment de la publication originale. Cela veut dire qu’il est possible de demander le déréférencement, même si on n’a pas tenté ou réussi à effacer la source originale, car la source originale peut être justifiée pour une raison ou une autre : obligation légale, exception pour le but journalistique, historique, statistique…
Y-a-t-il un risque d’effet Streisand ?
Pour rappel, l’effet Streisand renvoie au cas où la volonté d’empêcher la divulgation d’une information peut avoir l’effet inverse. La victime, par ses actions, finir par encourager la diffusion en attirant l’attention sur les informations concernées.
L’an dernier, Google a réalisé une « tournée sur le droit à l’oubli », dans 7 capitales européennes, pour parler des effets du jugement Google Espagne et pour discuter de la manière de mettre en œuvre ce jugement. À l’origine, Google souhaitait mettre en place un message indiquant que certains résultats avaient été effacés, uniquement lorsqu’un déréférencement avait eu lieu. Cela a suscité des critiques, notamment parce que cette décision n’a été appliquée que sur les extensions de domaine européennes (.fr, .uk, .de…) et non sur la version « .com » du moteur de recherche. En voyant ce message, on pouvait donc théoriquement se rendre sur Google.com pour accéder à tous les résultats de recherche qui avait été effacés. En réponse aux critiques sur cette manière d’appliquer le jugement, Google a changé de tactique et montre désormais ce message pour chaque requête correspondant à l’identité d’une personne (un nom) : “des résultats ont peut-être été effacés”. Grâce à cette mesure, les risques d’effet Streisand sont probablement plus limités, mais l’effet Streisand est toujours un risque dans certains cas, notamment pour les gens très connus.
Prenons l’exemple de l’affaire Max Mosley. Ce dernier réalisait des mises en scènes sexuelles, à connotation nazie, et ces vidéos ont fuité sur la toile. Il a fait plusieurs recours dans plusieurs pays européens pour obtenir l’effacement de ces vidéos. Il a réussi à obtenir des jugements favorables mais des copies ont été réalisées et partagées en nombre et ses actions en justice ont probablement attiré plus l’attention sur son cas. Un recours peut donc parfois être préjudiciable.
Dans ce contexte, on peut penser qu’il n’y a pas de risque pour “Monsieur Tout le monde”. Mais il y a plus de risque pour les personnes publiques.
La véracité de l’information est-elle importante ?
Ce qui est important, c’est notamment l’intérêt légitime du demandeur. Le droit à l’effacement au titre de la loi informatique et libertés n’est applicable qu’en cas d’un traitement non conforme avec les exigences de la loi. Ces exigences sont par exemple que les données doivent être collectées pour des finalités déterminées et que les données doivent être adéquates, pertinentes et non-excessives ainsi que exactes, complètes et si nécessaire mises à jour. Le droit à l’effacement prévaut donc si le traitement des données personnelles ne respecte pas ces exigences.
La véracité des informations peut dans ce contexte avoir une importance compte tenu du facteur de temps, parce qu’un traitement de données personnelles, bien que tout à fait justifié initialement, peut devenir moins pertinent au fil du temps. Exemple : une photo d’une soirée arrosée, il y a 20 ans, n’a pas de pertinence et peut même être préjudiciable pour la recherche d’emploi d’une personne aujourd’hui.
Cela est particulièrement bien illustré dans l’arrêt Google Espagne, car le droit au déréférencement s’applique aux informations véridiques, si le traitement de ces informations est inadéquat, pas ou plus pertinent ou excessif vis-à-vis de ses finalités. Si le traitement, au fils de temps, n’est plus pertinent il y aura donc matière à un déréférencement.
La véracité d’information a aussi une importance pour le recours contre l’hébergeur au titre de la loi sur la Confiance dans l’Économie Numérique, qui cible les contenus illicites. S’il s’agit d’un contenu légal, le recours ne sera pas possible.
Quand on parle du droit à l’oubli, est-ce qu’on parle uniquement des données accessibles à tous, ou est-ce que ça concerne aussi les données accessibles qu’à une entreprise par exemple ou un groupe limité de personnes ?
Les principes de base sont les mêmes et il n’y a donc pas de différence s’agissant des dispositions juridiques. Néanmoins, dans les faits, on peut dire qu’un préjudice, ou une atteinte à la vie privée, deviennent plus importantes si l’information est diffusée sur l’ensemble de l’Internet. Il faut toujours tenir compte du contexte, car il peut potentiellement avoir un effet sur le droit d’obtenir ou non « un oubli » ou un effacement. Ce qui compte, c’est l’intérêt légitime du demandeur. Nous avons vu des exemples qui indiquent que les paramètres d’un compte Facebook peuvent jouer, concernant l’importance d’un préjudice dans le cadre d’un abus de la liberté d’expression. Si je tiens, par exemple, des propos diffamatoire dans un cercle très limité, on peut considérer que cela porte moins préjudice que si je l’avais fait publiquement sur Internet. La réponse courte est donc : les principes ne changent pas, mais l’interprétation peut être différente en raison du contexte.
Certaines personnes considèrent que le droit à l’oubli va à l’encontre de l’esprit du web, à l’encontre de la liberté d’expression et à l’encontre de la liberté d’accéder à des contenus. Qu’en pensez-vous ?
D’abord, il faut dire que le droit à l’oubli n’est en aucun cas absolu. Il est dépendant de la justification du demandeur, dépendant de l’intérêt légitime du demandeur. De plus, ce droit a vocation à être concilié avec la panoplie des droits existants. Je ne suis pas d’accord avec le fait d’opposer le droit à l’information et la liberté d’expression au droit à l’oubli ou à la protection des données personnelles et de la vie privée. Ces principes sont mutuellement dépendants. Sans une protection de la vie privée, sans la possibilité de pouvoir élaborer ses pensées et ses propos dans un environnement tranquille, voire anonyme, il n’y aura pas de liberté d’expression. Nous ne sommes pas ici dans une logique d’opposition des droits fondamentaux mais d’une conciliation. Cette conciliation est bien sur très compliquée et il faut trouver un équilibre entre ces droits fondamentaux, mais il existe déjà une jurisprudence plutôt abondante (notamment via la CJUE et la CEDH), concernant la conciliation des droits fondamentaux, par exemple concernant la conciliation du droit à l’information et du droit à la protection de la vie privée. Cette question de la conciliation des droits fondamentaux se pose simplement aujourd’hui dans un nouveau contexte sur Internet impliquant les moteurs de recherche, mais cette problématique elle-même n’est pas nouvelle.
Est-ce que le droit à l’oubli s’applique aux personnes morales ?
La protection des données personnelles s’applique uniquement aux personnes physiques et la protection de la vie privée concerne aussi uniquement les personnes physiques. Les personnes morales n’ont pas un droit à l’effacement ou au déréférencement. Elles peuvent toutes fois tenter de contrôler leur image ou les propos les concernant qui circulent sur Internet. Les entreprises peuvent utiliser les recours qui existent dans le domaine de la propriété intellectuelle (tel que le droit d’auteur ou le droit des marques) et elles ont aussi accès aux recours concernant l’abus de la liberté d’expression : dénigrement, diffamation, injure etc.
Malgré ces options, les personnes morales sont donc plus limitées dans leurs possibilités de contrôler leur image et d’invoquer un « droit à oubli ». Souvent, elles sont limitées à l’action préventive à travers des agences spécialisées dans l’e-réputation ou à des « community managers ».
Donc les États ne sont pas non plus concernés ?
Non, les États ne bénéficient pas d’un droit à l’oubli, cela serait considéré comme de la censure par l’État, ce qui est interdit. La possibilité de pouvoir critiquer l’État ou en parler librement fait partie des droits fondamentaux. L’État Français peut interdire, voire bloquer l’accès à certains sites Internet, mais toujours pour des raisons de protection de valeurs objectives et non afin de gérer sa propre réputation ou pour protéger son identité.
Ainsi la France exerce, par exemple, le blocage d’accès aux sites de contenus pédopornographiques ou de sites incitant à la haine raciale, mais il ne s’agit pas d’un exercice d’un droit à l’oubli.
Quelles vont être les nouvelles problématiques liées aux objets connectés et à l’évolution des nouvelles technologies ?
D’abord, toutes les problématiques qui existent aujourd’hui, vis-à-vis la vie privée et la protection des données personnelles, vont continuer à exister, mais l’explosion des objets connectés va probablement aggraver la situation. Par exemple, une montre connectée va collecter vos données médicales et les envoyer directement au serveur cloud du producteur de montres, de manière automatique et parfois même à l’insu de l’utilisateur. Il s’agit de données qui sont très sensibles, très intimes et qui vont être collectées et stockées par un tiers commercial. L’usage des données de biométrie, par exemple pour déverrouiller son téléphone, va probablement se développer aussi. Assurer la protection des données personnelles et le respect de la vie privée dans l’usage de ces objets connectés sera un défi de grande envergure.
Autre problématique : la sécurité des systèmes. Nous avons rencontré récemment un 1er cas d’une voiture connecté piratée. Si on peut pirater une voiture connectée et contrôler sa vitesse, les freins… cela suscite légitiment des inquiétudes. La confidentialité et la sécurité de communication sera donc un enjeu majeur de « l’internet des objets ».
Pour conclure, les objets connectés posent clairement de nouveaux défis. Et c’est notamment sur ces nouveaux défis que les équipes de chercheurs b<>com travaillent ; pour apporter des solutions efficaces, pratiques et dans le respect des droits de l’utilisateur.
Votre adresse email ne sera pas publiée.
En cliquant sur “S’inscrire”, vous acceptez les CGU ainsi que notre politique de confidentialité décrivant la finalité des traitements de vos données personnelles.
Une formation pratique et intensive pour maîtriser les réseaux informatiques
Pour acquérir les compétences nécessaires aux métiers de la data
Une formation flexible sur la data science et l’intelligence artificielle
En cliquant sur “S’inscrire”, vous acceptez les CGU ainsi que notre politique de confidentialité décrivant la finalité des traitements de vos données personnelles.
D