Retour à la page contenant cette publicationActualités Juin 2016 : Droit à l’oubli et déréférencement (suite)
Google en réfère au Conseil d’Etat après sa condamnation par la CNIL à une amende de 100.000 euros
Dans notre précédente publication de Février 2016, nous avions exposé la proposition de compromis formulée par Google pour éviter les sanctions administratives qu’elle risquait depuis la mise en demeure de la CNIL, en juin 2015, la sommant de procéder au déréférencement sur toutes les extensions de son moteur de recherche des demandes émanant de ressortissants européens et considérées comme recevables.
Nous avions, à cet égard, émis de sérieux doutes sur la possibilité que la CNIL se satisfasse de cette proposition, consistant à étendre le droit au déréférencement aux extensions hors Europe (« .com » ou « .ca » par exemple) à condition que la recherche émane du pays européen dont était ressortissant le demandeur au déréférencement.
Ce « filtrage » à partir du pays de localisation du demandeur de recherche nous semblait alors difficilement admissible par la CNIL dont l’objectif affiché était clairement d’assurer « la pleine effectivité » du droit à l’oubli (et de son corollaire le droit au déréférencement) pour tout ressortissant européen, et ce quel(le) que soit l’extension du moteur de recherche concernée ou le pays d’où émanerait la demande d’information le visant.
C’est donc sans surprise que la CNIL a opposé, par l’adoption d’une délibération en formation restreinte, le 10 mars 2016, une fin de non-recevoir au compromis proposé par Google et lui a infligé une sanction pécuniaire de 100.000 euros[1] pour ne pas avoir supprimé, au plan mondial, les liens affichés à partir d’une recherche portant sur une personne physique.
Si la CNIL semble relever que la dernière proposition de Google « constitue une avancée » (ce qui pourrait justifier le prononcé d’une amende de « seulement » 100.000 euros), elle considère néanmoins que la restriction du déréférencement sur la base du critère de localisation de la personne effectuant la recherche ne permet pas d’assurer l’effectivité du droit à l’oubli, en ce qu’il est aisé pour un internaute de contourner cette restriction s’il réside en dehors du territoire européen, s’il se connecte à partir d’extensions non européennes, ou s’il a recours aux outils VPN qui court-circuitent la localisation de l’adresse IP.
L’intérêt de la sanction prononcée par la CNIL réside moins dans son montant (qui n’est que très symbolique, en particulier eu égard au chiffre d’affaires de Google) que dans ce qu’elle révèle de la conception radicalement opposée du droit au respect de la vie privée et à la protection des données à caractère personnel, notions autour desquelles se cristallise l’affrontement entre la CNIL et Google.
Pour la CNIL, l’impératif consistant à garantir l’effectivité du droit à l’oubli pour les ressortissants de l’Union européenne est tel que les limites au déréférencement mondial (« bras armé » du droit à l’oubli) doivent être interprétées de manière restrictive :
- à commencer par le champ d’application territorial du droit à l’oubli consacré par l’arrêt Google Spain[2]: à Google qui considère qu’en exigeant un déréférencement mondial des liens, la CNIL ferait une application extraterritoriale de la loi française aux « requêtes effectuées sur le moteur de recherche hors de France », la CNIL rétorque que la loi française est applicable dès lors « qu’il s’agit d’un traitement unique doté de multiples chemins d’accès techniques » géré par Google Inc. (en sa qualité de responsable du traitement) et que « la société Google France participe sur le territoire national à l’activité de l’exploitant du moteur de recherche installé aux Etats-Unis (…), si bien que la loi de 1978 s’applique à Google Inc ».
En outre, la nature répressive des sanctions administratives que peut prononcer la CNIL emprunte, par principe, au régime des sanctions pénales dont l’applicabilité repose généralement sur un critère de territorialité (lieu de commission de l’infraction) et/ou sur un critère personnel (tenant à l’identité de la personne à protéger). C’est, semble-t-il, en vertu de ce critère de territorialité que la CNIL a réaffirmé sa compétence pour statuer sur les modalités de déréférencement[3]. Cet alignement sur le régime des sanctions pénales pourrait également expliquer que le critère de localisation du destinataire de la recherche (qui n’est pas la personne à protéger) proposé par Google comme condition préalable au déréférencement sur l’ensemble des extensions n’ait pas donné satisfaction à la CNIL[4].
- les principes de droit international « de courtoisie » et de « souveraineté nationale » ainsi que la liberté d’expression et d’information ne sauraient faire obstacle à l’effectivité du droit à l’oubli, dès lors que le déréférencement est, d’une part, « attaché à la personne » et « doit être effectif sans restriction sur l’ensemble du traitement » et que, d’autre part, il obéit à un contrôle de proportionnalité au regard de l’objectif recherché : à cet égard, la CNIL estime que le déréférencement ne concerne que la suppression des liens et non du contenu, qui reste accessible à partir d’autres mots de recherche et que, par ailleurs, un test de proportionnalité est mis en œuvre, au cas par cas, pour préserver le droit d’information du public, notamment lorsque la personne concernée par la demande de déréférencement joue un rôle dans la vie publique.
A la suite de la décision du 10 mars, la Direction de Google s’était ainsi exprimée: « nous avons travaillé dur pour mettre en oeuvre la décision relative au droit à l'oubli de manière attentive et étendue en Europe et nous continuerons à le faire. Mais, par principe, nous sommes en désaccord avec l'allégation de la CNIL selon laquelle cette dernière aurait autorité pour contrôler le contenu auquel les personnes peuvent accéder en dehors de la France et nous projetons de faire appel de sa décision".
C’est désormais chose faite dans la mesure où Google a décidé, le 19 mai, de déposer une requête sommaire devant le Conseil d’Etat pour contester la décision rendue par la CNIL qu’elle juge disproportionnée. Google continue de considérer que la proposition de localisation par l’adresse IP rend effectif le droit à l’oubli, d’autant qu’elle soutient que 100% des utilisateurs européens n’ont accès qu’aux résultats locaux de son moteur de recherche.
La partie s’avère néanmoins difficile pour Google tant la consécration du droit à l’oubli, comme un droit fondamental attaché à la personne, semble désormais générale. Le Règlement Général sur la Protection des Données Personnelles (RGPD) adopté le 14 avril dernier y consacre notamment ses considérants 53 et 54 et son article 17. A l’article 32 du projet de loi pour une République numérique modifié par le Sénat en première lecture, le 3 mai dernier, est institué un droit à l’oubli spécifique pour les mineurs (qui peuvent solliciter l’effacement, dans le délai d’un mois à peine d’une amende de 10.000 euros, des données à caractère personnel qui ont été collectées dans le cadre d’une offre de services de la société lorsque la personne concernée était mineure).
Il conviendra de noter que, alors que dans le projet de loi adopté par l’Assemblée nationale en janvier 2016, les sanctions pouvant être prononcées par la CNIL étaient considérablement alourdies (passant de 300.000 euros à une sanction pouvant atteindre 20 millions d’euros ou, dans le cas d’une entreprise, à 4% du chiffre d’affaires total mondial), le Sénat a ramené le plafond des sanctions à 1,5 million d’euros. Le dernier mot reviendra donc à la commission mixte paritaire ; étant précisé que le projet adopté par l’Assemblée nationale s’alignait sur les préconisations de sanctions administratives de l’article 79 du RGDP.
Restent des zones d’ombre sur la mise en œuvre du déréférencement sur toutes les extensions du moteur de recherche – si toutefois le Conseil d’Etat devait confirmer la décision de la CNIL et même, en tout état de cause.
Comment le demandeur au déréférencement devra-t-il formuler sa demande ? Faudra-il qu’il rédige plusieurs demandes, selon le moteur de recherche concerné (au risque de voir plusieurs décisions contradictoires rendues sur sa demande) ou peut-on attendre la mise en œuvre d’un formulaire « à guichet unique » produisant un effet simultané sur tous les moteurs de recherche ?
Si une demande de déréférencement est rejetée par le moteur de recherche après le test de proportionnalité, sera-t-il possible d’obtenir en toute transparence les motifs du rejet ? pour l’instant, les critères selon lesquels Google juge ou non une demande de déréférencement acceptable, restent empreints d’une opacité certaine….
Tant de questions qui restent encore sans solution pratique.
Le moins que l’on puisse dire est que la problématique du droit à l’oubli et les questions sur les droits fondamentaux de la personne qui en découlent, dépasse largement les frontières européennes, n’en déplaise à Google.
Les Etats-Unis ont accueilli très froidement la décision de la CNIL reprochant à l’autorité administrative indépendante - et à travers elle, à la France – « d’exporter sa censure » et de vouloir « imposer unilatéralement des règles au monde entier ». De quoi (ré)alimenter le « French bashing », qui n’est jamais très loin ?
Le Canada s’interroge actuellement sur la mise en œuvre du droit à l’oubli et rencontre une opposition virulente de la part des chantres de la liberté d’expression. Il est vrai que, si une demande de déréférencement est légitime de la part de la personne physique concernée, il semblerait, en effet, nécessaire de veiller à ce que la condition première de l’admissibilité d’une demande de déréférencement soit qu’elle émane exclusivement de l’individu directement concerné (et non pas d’un Etat qui pourrait avoir intérêt à censurer du contenu)…
Toutefois, une juridiction chinoise aurait, en mai dernier, refusé une demande de déréférencement et jugé que les citoyens chinois ne bénéficient pas d’un droit à l’oubli sur Internet. La Cour Suprême de New Delhi en Inde devrait également se prononcer, le 19 septembre 2016, sur la question du droit à l’oubli, ce qui n’est pas dénué d’ironie, à l’aulne des déclarations récentes de l’avocat général indien, Mukul Rohatgi, selon lesquelles « Violation of privacy doesn’t mean anything because privacy is not a guaranteed right ».
Prochaine étape française de ce feuilleton haletant : l’arrêt du Conseil d’Etat qui devrait être rendu dans un ou deux ans.
par Sarah Temple-Boyer, Avocat
[1] Délibération de la Commission Nationale de l’Informatique et des Libertés n°2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l’encontre de la société Google Inc, rendue publique le 24 mars 2016
[2] CJUE C-131/12 du 13 mai 2014 Google Spain SL et Google Inc. V. Agencia Espanola de Proteccion de Datos (AEPD) et Mario Costeja Gonzales
[3] Extrait de la délibération n°2016-054 du 10 mars 2016 : « Par ailleurs, il entre dans les pouvoirs de la Commission de déterminer les modalités de déréférencement dès lors que le traitement en cause est mis en œuvre, au sens de l’article 48 de la loi Informatique et Libertés, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de la Communauté européenne ».
[4] Extrait de la délibération n°2016-054 du 10 mars 2016 : « La protection d’un droit fondamental ne peut varier en fonction du destinataire de la donnée. Le droit européen, comme le droit national, prévoit que la personne concernée peut exercer son droit à l’égard d’un traitement de données, sans que les éventuelles différences de destinataires n’aient d’incidence ».