Droit à l’oubli : le bilan de l’audit lancé par le G29

Le G29 lance un audit des pratiques des autorités de protection des données sur le déréférencement.

La Cour de justice de l’Union européenne (CJUE) a imposé, dans un arrêt du 13 mai 2014, aux moteurs de recherche de mettre en place un droit à l’oubli.

C’est à la suite de cet arrêt que Google Inc. a permis aux internautes, via un formulaire en ligne et sous certaines conditions, de demander le déréférencement de liens apparaissant dans les résultats de recherche effectués sur la base de leurs noms. La mise ne place de ce système marquait la reconnaissance pour Google d’un droit à l’oubli pour les personnes physiques.

Les internautes peuvent toutefois se heurter au refus de suppression de la part du moteur de recherche. Dans l’hypothèse où le moteur de recherche refuserait de donner suite à la demande, ces derniers, peuvent alors déposer une plainte auprès de l’autorité compétente pour assurer la protection des données. En France, cette mission incombe à la Commission nationale de l’informatique et des libertés (Cnil).

Les internautes doivent alors démontrer que le refus du moteur de recherche fait obstacle aux principes énoncés par la CUJE, tels qu’ils ressortent de la décision du 13 mai 2014. En effet, selon la CJUE, toute décision doit prendre en compte l’équilibre à respecter entre le droit à la protection de la vie privé, d’une part, et l’intérêt du public à avoir accès à l’information, d’autre part.

Dans le prolongement de cet arrêt, qui réunit les autorités européennes compétentes en matière de protection des données (G29), avait souhaité assurer une cohérence des décisions prises par les « Cnil européennes » à l’échelle des différents pays européens s’agissant du droit à l’oubli.

Pour cela, le G29, avait dressé, fin novembre 2014, une liste de 13 critères destinés à évaluer le bien-fondé des plaintes déposées par les internautes en matière de droit à l’oubli. Ces critères doivent permettre de déterminer si le déréférencement est justifié. Ils sont ci-dessous brièvement résumés :

• Les critères sont-ils relatifs à une personne physique ? Le résultat apparaît-il à la suite d’une recherche effectuée sur la base du nom de la personne concernée ?
•  S’agit-il d’une personne publique?
• La personne concernée est-elle mineure ?
• Les données publiées sont-elles exactes ?
• Les données sont-elles pertinentes ou excessives (données relatives à la vie professionnelle, information constitutive d’un délit de presse) ?
• Les informations sont-elles des données sensibles au sens de l’article 8 de la Directive du 24 octobre 1995 (1) ?
• L’information est-elle à jour ? L’information a-t-elle été rendue disponible plus longtemps que nécessaire pour le traitement ?
• Le traitement de données cause-t-il un préjudice à la personne concernée ? Les données ont-elles un impact négatif disproportionné sur la vie privée du plaignant ?
• Dans quelle contexte l’information a-t-elle été publiée (le contenu a-t-il été volontairement rendu public par le plaignant) ?
• Le contenu a-t-il été rendu public à des fins journalistiques ?
• La publication répond-elle à une obligation légale ?
• L’information est-elle relative à une infraction pénale ?

Les autorités de protection des données de chaque Etat européen doivent tenir compte de ces critères pour prendre leur décision.

Un an après l’annonce de ces critères, le G29 a lancé un audit afin de mesurer l’efficacité du système mis en place et évaluer les pratiques des autorités de protection des données en matière de droit au déréférencement.

Le G29 décompte plus de 2 000 plaintes reçues en matière de droit à l’oubli, souligne la pertinence des critères sélectionnés et l’efficacité du système mis en place.

En France on compte 250 plaintes déposées auprès de la Cnil et 90 plaintes transmises à Google pour solliciter le déréférencement.

La Cnil souhaite se diriger vers un déréférencement européen, en offrant la possibilité aux internautes de supprimer des moteurs de recherche les résultats accessibles dans chaque pays européen ainsi que toutes les extensions du moteur de recherche. Cependant, Google Inc. a mentionné qu’elle ne partageait pas la position de la Cnil, l’extension « .com » excédant, selon elle, la compétence des juridictions européennes.

Il ressort de cet audit du G29 que certains critères mériteraient d’être précisés. Il serait notamment judicieux de déterminer à partir de quel moment une donnée a été rendue disponible plus longtemps que nécessaire pour le traitement ou de définir la notion de « personne publique ».

Virginie Bensoussan-Brulé
Caroline Gilles
Lexing Droit Vie privée et Presse numérique

(1) Directive 95/46/CE du 24-10-1995.