Noms de domaine et réforme de la protection des données

Noms de domaine – Alain Bensoussan est intervenu dans le cadre de la troisième édition du Centr, l’association de registres de noms de domaine européens, lors d’un atelier consacré à l’actualité juridique et réglementaire et à son impact sur la gestion des noms de domaine.

Cet événement, initié par l’Afnic (1), se déroulait les 2 et 4 juin derniers au Novotel Eiffel du 15e arrondissement de Paris.

C’est l’occasion pour nous de revenir, avec Maître Bensoussan, sur deux principes essentiels issus de la proposition de règlement européen sur la protection des données à caractère personnel, à savoir le principe de minima et le droit à l’oubli.

Le principe de minima. La capacité de stockage et de traitement des informations personnelles a été en constante augmentation ces dernières années et par voie de conséquence les menaces à la vie privée et la sécurité des données. Que prévoit la proposition de règlement à ce titre ?

La proposition de règlement prévoit comme principe essentiel « le principe de minima des données » ou de “subsidiarité” (art. 5 du projet de règlement). Ainsi, les données collectées et traitées doivent-elles être conservées ou encore utilisés de manière limitée au strict minimum, c’est-à-dire sans excéder ce qui est nécessaire pour atteindre l’objectif pour lequel elles ont été collectées.

Avant tout traitement de données personnelles, le responsable de traitement doit se demander : « Avons-nous besoin de cette donnée ? Pour quelle finalité ? Et pour combien de temps ? ». Ces questions se posent également en ce qui concerne les traitements relatifs au nommage dont sont responsables tous les gestionnaires de noms de domaine.

Ce principe peut être mis en perspective avec la récente décision de la Cour de justice des communautés européennes du 8 avril 2014 relative à la Directive 2006/24/CE, sur la conservation des données communément dite « data retention ». Pour mémoire, cette directive impose aux fournisseurs de services de télécommunications de conserver, pendant un délai de six à vingt-quatre mois, les données relatives au trafic et à la localisation des interlocuteurs, mais pas le contenu même des conversations. C’est notamment en raison de cette durée imprécise de conservation des données que les juges européens ont été amenés à invalider la directive « data retention ».

Le droit à l’oubli. Un autre grand principe prévu par la proposition de règlement est au cœur de l’actualité, celui du droit à l’oubli. C’est d’ailleurs sur ce fondement que la Cour de justice européenne dans une décision du 13 mai 2014 a reconnu à chaque internaute le droit de requérir auprès de l’exploitant du moteur de recherche Google, la suppression des liens vers des données personnelles le concernant. Pouvez-vous nous en dire plus ?

Le droit à l’oubli existe déjà de manière sous-jacente par le biais de la date de péremption des données prévue dans toutes les réglementations européennes relatives à la protection des données personnelles, avec des spécificités selon les pays, mais il sera expressément encadré avec la proposition de règlement général sur la protection des données publiée par la Commission européenne le 25 janvier 2012.

Par sa décision du 13 mai 2014, la Cour de justice des communautés européennes s’est prononcée pour la première fois en faveur du droit à l’oubli numérique en demandant à Google Inc. d’adopter les mesures nécessaires pour retirer de son index des données à caractère personnel concernant un internaute et d’empêcher l’accès à celles-ci à l’avenir (cf. post du 14-5-2014).

Si Google s’est immédiatement conformée à cette décision en créant un formulaire en ligne, la tâche pour Google, ou tout autre moteur de recherche, ne sera pas aisée, dans la mesure où un arbitrage subtil entre différents droits, à savoir le droit à la liberté d’expression, le devoir de mémoire et droit à l’oubli, devra être opéré.

Il appartiendra donc à l’internaute souhaitant voir supprimé des moteurs de recherche un résultat le concernant, de justifier aussi précisément que possible, sa demande auprès du moteur de recherche, de façon à démontrer qu’il y a matière à effacer des données le concernant.

Alain Bensoussan Avocats
Lexing Droit du numérique

(1) L’Afnic est l’office d’enregistrement désigné par l’Etat pour la gestion des noms de domaine sous l’extension « .fr ».  Le Centr (Council of european national top level domain registries) est une association de registres de noms de domaine européens composée de 52 membres homologues de l’Afnic.