Par Danielle Elkrief, avocat associé, et Clément Walckenaer, avocat. Elkrief Avocat
Google et droit à l’oubli numérique
Google vient d’être condamnée en tant que responsable de traitement de données personnelles à désindexer des contenus pourtant édités par un tiers et au surplus jugés comme licites sur le site de leur éditeur. Cette décision de la Cour de justice de l’Union européenne du 13 mai 2014 (1) reflète de nouveau le délicat statut juridique de Google.
Il est difficilement contestable, si ce n’est par Google, que cette dernière relève des législations européennes relatives aux traitements de données personnelles en ce qui concerne les données recueillies pour ses propres services auprès des internautes… Elle fait d’ailleurs preuve à ce titre de sérieuses carences à lire la dernière condamnation prononcée par la Cnil la condamnant par décision publiée à «?150 000?euros d’amende pour manquements aux règles de protection des données personnelles consacrées par la loi informatique et liberté?» (2). Mais cette qualité était beaucoup plus discutable en ce qui concerne son activité de fournisseur de moteur de recherche.
La décision du 13?mai 2014
M. Costeja Gonzalez, de nationalité espagnole, s’est ému de ce qu’un vieil article du journal espagnol La Vanguardia, publié initialement en 1998 et relatant une adjudication sur saisie immobilière le concernant pour recouvrement de dette, soit disponible sur Internet. Non seulement ledit article était reproduit sur le site du journal, mais au surplus une recherche portant sur son nom et prénom sur le moteur de recherche Google proposait un lien vers cet article. Saisi d’une plainte au motif que ces publications de données personnelles porteraient atteinte à sa vie privée, l’équivalent de la Cnil espagnole (3) a considéré que si la mise en ligne de l’article sur le site internet du journal était licite, il appartenait à Google Inc. d’adopter les mesures nécessaires pour retirer ces données, c’est-à-dire à désindexer les références de l’article en cas de recherches portant sur le plaignant. La CJUE saisie par la justice espagnole a retenu une interprétation particulièrement défavorable au moteur de recherche en considérant, outre l’application territoriale de la directive 95/46/CE à la société Google Inc. en ce qu’elle promeut et vend des services dans un pays Membre, que :
• les exploitants de moteurs de recherche dont l’activité consiste à indexer automatiquement des informations publiées sur Internet et à les mettre à disposition des internautes selon un ordre de préférence donné sont des responsables de traitement au sens de la directive 95/46/CE sur la protection des données personnelles ;
• une personne peut s’adresser directement à un moteur de recherche pour obtenir la suppression des liens vers des pages Web contenant des informations portant atteinte à sa vie privée, sans avoir à s’adresser au préalable à l’éditeur du site Internet et alors même que la publication des informations sur les sites concernés serait, en elle-même, licite.
Google ou encore Yahoo, en tant que moteurs de recherche, peuvent par conséquent en pratique être contraints, sans décision judiciaire préalable, d’avoir à retirer des liens renvoyant vers des contenus licites et édités par des tiers, à charge pour eux d’apprécier au préalable si l’atteinte est caractérisée.
Sur la qualité de responsable de traitement de données personnelles
Cette qualité appliquée à Google en tant que fournisseur de moteur de recherches ne faisait pas l’unanimité. L’Avocat général de la CJUE avait d’ailleurs considéré que si Google procède en cette qualité à un traitement de données à caractère personnel, elle n’est pas pour autant un «?responsable du traitement?» de ces données au sens de la Directive dès lors qu’elle «?n’exerce pas de contrôle sur les données à caractère personnel figurant sur les pages Web de tiers?» (4) et n’en tire pas une finalité particulière du fait qu’il s’agit de données personnelles. Cette préconisation a été écartée, la Cour retenant que Google procédait à un traitement distinct s’ajoutant à celui effectué par celui des éditeurs de sites Web, les résultats affichés sur le moteur de recherche proposant une compilation organisée d’informations, susceptible en elle-même de porter atteinte au droit au respect de la vie privée. Cette décision devrait naturellement impacter sur la jurisprudence nationale, sachant que le tribunal de commerce de Paris venait justement par un récent jugement d’appliquer la loi informatique et libertés à Google, dès lors que celle-ci a bien élaboré l’algorithme procédant au traitement des données ainsi qu’à sa finalité (5).
Du droit à l’oubli numérique en découlant
Au regard de la responsabilité découlant de la qualification retenue, la CJUE a considéré que Google pouvait être contrainte, le cas échéant judiciairement, de retirer des données personnelles. Elle a ainsi en quelque sorte retenu un droit à l’oubli numérique, droit qui n’est pour l’instant pas expressément consacré, les utilisateurs ne disposant que d’un droit d’effacement «?des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données?» (6). Une consécration textuelle est d’ailleurs en discussion autour du projet de règlement qui doit remplacer la directive 95/46/CE. Cette décision interpelle toutefois, dès lors que «?les responsables principaux?» c’est-à-dire «?les fournisseurs d’informations?» (7), soit dans ladite espèce le journal espagnol, pouvaient licitement diffuser des données que Google n’a fait que reproduire par le biais de son algorithme.
Naturellement, la Cnil n’a pas tardé d’en tirer les conséquences en proclamant que «?les internautes peuvent donc saisir l’exploitant d’un moteur de recherche d’une demande de déréférencement d’une page Web qui porte atteinte à leur vie privée. L’exploitant examinera alors le bien-fondé de la demande, au regard des conditions fixées par la CJUE. En cas de non réponse ou de réponse insatisfaisante, le plaignant pourra saisir la Cnil ou la justice afin qu’elles vérifient et ordonnent les mesures nécessaires.?» Ce contrôle, notamment par Google, est loin d’être évident dès lors que la suppression de telles données doit être appréciée au cas par cas, en fonction de la nature de l’information, de sa sensibilité pour la vie privée de la personne concernée et de l’intérêt pour le public à la recevoir, en raison notamment du rôle joué dans la vie publique par cette personne. Cette décision aura en tout cas coûté particulièrement cher au principal intéressé, M.?Costeja Gonzalez, dont le nom restera associé avec la décision dont objet, au retentissement international et assurément médiatique, laquelle relate précisément les faits dont il souhaitait obtenir l’oubli.
1 CJUE, 13 mai 2014, C-131/12
2 Délibération Cnil n°2013-420 du 3 janvier 2014
3 Agencia Española de Protección de Datos
4 Conclusions du 25.06.2013 §84
5 T. Com. Paris 28 janvier 2014 (décision disponible sur Legalis)
6 Article 12.b Directive 95/46/CE
7 Groupe de travail « Article 29 » avis 1/2008
Il est difficilement contestable, si ce n’est par Google, que cette dernière relève des législations européennes relatives aux traitements de données personnelles en ce qui concerne les données recueillies pour ses propres services auprès des internautes… Elle fait d’ailleurs preuve à ce titre de sérieuses carences à lire la dernière condamnation prononcée par la Cnil la condamnant par décision publiée à «?150 000?euros d’amende pour manquements aux règles de protection des données personnelles consacrées par la loi informatique et liberté?» (2). Mais cette qualité était beaucoup plus discutable en ce qui concerne son activité de fournisseur de moteur de recherche.
La décision du 13?mai 2014
M. Costeja Gonzalez, de nationalité espagnole, s’est ému de ce qu’un vieil article du journal espagnol La Vanguardia, publié initialement en 1998 et relatant une adjudication sur saisie immobilière le concernant pour recouvrement de dette, soit disponible sur Internet. Non seulement ledit article était reproduit sur le site du journal, mais au surplus une recherche portant sur son nom et prénom sur le moteur de recherche Google proposait un lien vers cet article. Saisi d’une plainte au motif que ces publications de données personnelles porteraient atteinte à sa vie privée, l’équivalent de la Cnil espagnole (3) a considéré que si la mise en ligne de l’article sur le site internet du journal était licite, il appartenait à Google Inc. d’adopter les mesures nécessaires pour retirer ces données, c’est-à-dire à désindexer les références de l’article en cas de recherches portant sur le plaignant. La CJUE saisie par la justice espagnole a retenu une interprétation particulièrement défavorable au moteur de recherche en considérant, outre l’application territoriale de la directive 95/46/CE à la société Google Inc. en ce qu’elle promeut et vend des services dans un pays Membre, que :
• les exploitants de moteurs de recherche dont l’activité consiste à indexer automatiquement des informations publiées sur Internet et à les mettre à disposition des internautes selon un ordre de préférence donné sont des responsables de traitement au sens de la directive 95/46/CE sur la protection des données personnelles ;
• une personne peut s’adresser directement à un moteur de recherche pour obtenir la suppression des liens vers des pages Web contenant des informations portant atteinte à sa vie privée, sans avoir à s’adresser au préalable à l’éditeur du site Internet et alors même que la publication des informations sur les sites concernés serait, en elle-même, licite.
Google ou encore Yahoo, en tant que moteurs de recherche, peuvent par conséquent en pratique être contraints, sans décision judiciaire préalable, d’avoir à retirer des liens renvoyant vers des contenus licites et édités par des tiers, à charge pour eux d’apprécier au préalable si l’atteinte est caractérisée.
Sur la qualité de responsable de traitement de données personnelles
Cette qualité appliquée à Google en tant que fournisseur de moteur de recherches ne faisait pas l’unanimité. L’Avocat général de la CJUE avait d’ailleurs considéré que si Google procède en cette qualité à un traitement de données à caractère personnel, elle n’est pas pour autant un «?responsable du traitement?» de ces données au sens de la Directive dès lors qu’elle «?n’exerce pas de contrôle sur les données à caractère personnel figurant sur les pages Web de tiers?» (4) et n’en tire pas une finalité particulière du fait qu’il s’agit de données personnelles. Cette préconisation a été écartée, la Cour retenant que Google procédait à un traitement distinct s’ajoutant à celui effectué par celui des éditeurs de sites Web, les résultats affichés sur le moteur de recherche proposant une compilation organisée d’informations, susceptible en elle-même de porter atteinte au droit au respect de la vie privée. Cette décision devrait naturellement impacter sur la jurisprudence nationale, sachant que le tribunal de commerce de Paris venait justement par un récent jugement d’appliquer la loi informatique et libertés à Google, dès lors que celle-ci a bien élaboré l’algorithme procédant au traitement des données ainsi qu’à sa finalité (5).
Du droit à l’oubli numérique en découlant
Au regard de la responsabilité découlant de la qualification retenue, la CJUE a considéré que Google pouvait être contrainte, le cas échéant judiciairement, de retirer des données personnelles. Elle a ainsi en quelque sorte retenu un droit à l’oubli numérique, droit qui n’est pour l’instant pas expressément consacré, les utilisateurs ne disposant que d’un droit d’effacement «?des données dont le traitement n'est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données?» (6). Une consécration textuelle est d’ailleurs en discussion autour du projet de règlement qui doit remplacer la directive 95/46/CE. Cette décision interpelle toutefois, dès lors que «?les responsables principaux?» c’est-à-dire «?les fournisseurs d’informations?» (7), soit dans ladite espèce le journal espagnol, pouvaient licitement diffuser des données que Google n’a fait que reproduire par le biais de son algorithme.
Naturellement, la Cnil n’a pas tardé d’en tirer les conséquences en proclamant que «?les internautes peuvent donc saisir l’exploitant d’un moteur de recherche d’une demande de déréférencement d’une page Web qui porte atteinte à leur vie privée. L’exploitant examinera alors le bien-fondé de la demande, au regard des conditions fixées par la CJUE. En cas de non réponse ou de réponse insatisfaisante, le plaignant pourra saisir la Cnil ou la justice afin qu’elles vérifient et ordonnent les mesures nécessaires.?» Ce contrôle, notamment par Google, est loin d’être évident dès lors que la suppression de telles données doit être appréciée au cas par cas, en fonction de la nature de l’information, de sa sensibilité pour la vie privée de la personne concernée et de l’intérêt pour le public à la recevoir, en raison notamment du rôle joué dans la vie publique par cette personne. Cette décision aura en tout cas coûté particulièrement cher au principal intéressé, M.?Costeja Gonzalez, dont le nom restera associé avec la décision dont objet, au retentissement international et assurément médiatique, laquelle relate précisément les faits dont il souhaitait obtenir l’oubli.
1 CJUE, 13 mai 2014, C-131/12
2 Délibération Cnil n°2013-420 du 3 janvier 2014
3 Agencia Española de Protección de Datos
4 Conclusions du 25.06.2013 §84
5 T. Com. Paris 28 janvier 2014 (décision disponible sur Legalis)
6 Article 12.b Directive 95/46/CE
7 Groupe de travail « Article 29 » avis 1/2008