Droit à l’oubli et données sensibles : back to the CJUE !


Cet article constitue le prolongement de notre toute première publication signée Aeon, il y a plus de deux ans (déjà !), intitulée « Le droit à l’oubli, de Monsieur Gonzales au GDPR », et dont le contenu doit aujourd’hui être complété des enseignements de la toute chaude décision C-136/17 de la Cour de justice de l’Union Européenne.

Un grand merci est adressé à l’excellent Marc Rees de Nextinpact.com pour l’obtention et la publication, en avant-première, de cette décision.

 


 

Il est de coutume, chez les juristes que nous sommes, pour se désennuyer un peu du flot continu des décisions, d’y chercher les contours de fameuses « sagas jurisprudentielles » ; en voici une dont les premières répliques sont bien connues, et qui vient de s’enrichir de deux nouveaux épisodes à consommer sans modération.

Revenons quelques années en arrière : le 13 mai 2014, la Cour de justice de l’Union Européenne introduisait, via l’incontournable arrêt Costeja c. Google Spain, la figure d’un droit au déréférencement bien vite (trop vite ?) rebaptisé « droit à l’oubli ». Plus exactement, la Cour y qualifiait l’éditeur d’un moteur de recherche (en l’occurrence la société Google) de responsable d’un traitement de données à caractère personnel au sens de feu la directive 95/46/CE, et en déduisait l’obligation, pour cet éditeur, de désindexer, sur demande des personnes concernées, les pages qui contiendraient des données à caractère personnel inexactes, obsolètes ou autrement illicites, ce sur le fondement du droit de rectification (article 12 dans la directive) et du droit d’opposition (article 14 dans la directive).

La solution fit grand bruit. Elle fut ensuite consacrée, en des termes proches mais non identiques (cela a son importance aujourd’hui), et surtout étendue à n’importe quel type de responsable de traitement, par l’article 17 du non moins célèbre règlement général sur la protection des données (GDPR).

L’importance politique, économique, sociale et philosophique de ce « droit à l’oubli » n’a d’égal, depuis lors, que ses difficultés d’application dans l’ordre juridique. En témoignent deux questions préjudicielles « retour de balle », posées par le Conseil d’Etat français et tranchées le même jour par la CJUE, concernant, respectivement, la portée territoriale de ce droit (affaire C-507-17) et ses modalités en présence de données soumises à un encadrement renforcé, à savoir les données dites « sensibles » et les données relatives aux infractions et aux condamnations pénales (données « pénales ») (affaire C-136/17).

Disclaimer, à ce stade : le présent article ne traitera que de la seconde question, bien suffisante en soi déjà pour nous occuper un petit moment, moi-même à la plume, vous à la lecture.

C’est que cette décision, rendue sous l’empire de la directive 95/46, mais qui prend la peine d’évoquer aussi le GDPR, opère en germe quelques petites révolutions, non seulement pour la pratique du déréférencement, mais aussi pour l’application plus générale du (plus si) nouveau règlement.

Le Conseil d’Etat, bien embêté face aux difficultés d’application de la décision Costeja

Moteurs de recherche : un régime de faveur (et de bon sens)

Prenons les choses dans l’ordre – celui des questions posées par le Conseil d’Etat. La première portait, à un niveau très fondamental, sur l’applicabilité même des régimes spécifiques des données « sensibles » et des données « pénales » dans le cas, supposé spécifique, des moteurs de recherche.

Pour mémoire, le premier régime (celui des données sensibles) correspond, aussi bien sous l’empire antérieur de la directive 95/46 (articles 8.1 et 8.2) que sous celui du GDPR (article 9), à un régime d’interdiction de principe, assorti d’exceptions limitées (et, forcément, d’interprétation stricte). Il s’agit là (ainsi que le relève l’ami Hugo Ruggieri) du seul régime d’interdiction stricte prévu par le GDPR, dont le paradigme d’accountability s’avère plus libéral quant au reste.

Le second régime (celui des données pénales) veut que tout traitement de données relatives à des infractions ou condamnations pénales soit en principe effectué « sous le contrôle de l’autorité publique », sauf le cas d’un traitement prévu ou autorisé par le droit de l’Union ou le droit d’un Etat membre, les dispositions légales ou réglementaires correspondantes devant dans ce cas prévoir des garanties appropriées et spécifiques pour les droits et libertés des personnes concernées (article 8.5 de la directive, article 10 du GDPR).

Ces deux régimes posent donc des conditions a priori pour le traitement de ces catégories spécifiques de données, relevant ainsi de ce que j’ai nommé, dans un précédent article, les « mécanismes de contrôle objectifs » de la réglementation.

C’est là, précisément, que le bât blesse, pour un moteur de recherche en tous cas : son modèle économique et technique, fondé, pour le dire en un mot, sur l’agrégation massive et indiscriminée de données en vue de leur indexation, ne permet tout simplement pas (disons-le crûment) de caractériser, parmi ces données, celles qui relèvent de l’un ou l’autre des deux régimes susvisés – ni même, d’ailleurs, de caractériser celles qui relèvent, encore en amont, de la notion primitive de donnée à caractère personnel.

La question soulevée par le Conseil d’Etat présentait donc, de fait, une complexité accrue par rapport à celle antérieurement traitée dans l’arrêt Costeja, où il n’était question « que » d’un mécanisme de régulation subjectif, a posteriori – celui de l’exercice des droits des personnes concernées. Fallait-il exiger d’un moteur de recherche, par exemple, qu’il s’efforce au moins de mettre en place des filtres détecteurs de données sensibles et de données pénales ? On perçoit assez bien, en le lisant (et en l’écrivant), l’absurdité d’une telle proposition.

De ce point de vue, la solution choisie par la CJUE est de bon sens, tout en sauvant l’esprit de la réglementation : oui, un moteur de recherche est tenu au respect du régime « données sensibles » comme du régime « données pénales », de même qu’il est tenu du respect général de cette réglementation ; toutefois, « dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement », ce respect ne se joue qu’a posteriori, « à l’occasion d’une vérification opérée par [l’]exploitant [du moteur], sous le contrôle des autorités nationales compétentes, à la suite d’une demande opérée par la personne concernée ».

Selon la typologie déjà évoquée, l’encadrement des données sensibles et pénales passe ainsi, pour le moteur de recherche, d’un mécanisme de contrôle objectif (interdiction générale a priori) à un mécanisme de contrôle subjectif (traitement a posteriori de demandes individuelles émanant des personnes concernées).

La solution, une fois de plus, est de bon sens. Elle présente aussi l’intérêt d’une cohérence avec le régime de responsabilité limitée prévu, pour les hébergeurs de données, par la directive 2000/31/CE dite « Commerce électronique » ; on sait en effet que ce régime, qu’une jurisprudence à peu près majoritaire a choisi d’appliquer, au cours des dernières années, au cas des moteurs de recherche, permet à ces derniers de n’encourir aucune responsabilité tant qu’ils n’ont pas « effectivement connaissance de l’activité ou de l’information illicites », ou, « dès le moment où [ils ont] de telles connaissances, [qu’ils agissent] promptement pour retirer les informations ou rendre l’accès à celles-ci impossible ».

Pas de responsabilité sans mise en connaissance de cause préalable, en somme – la solution de la CJUE s’inspire très manifestement (c’est le cas de le dire) de ce régime général de responsabilité des intermédiaires techniques d’Internet. On ne peut cependant que s’étonner de l’absence totale de référence à la directive « Commerce électronique » dans la motivation de la CJUE, ou même à l’article 2.4 du GDPR, qui prévoit en des termes explicites (quoique laconiques) l’interaction de ces deux textes ; la décision souligne à tout le moins la nécessité (et la possibilité) de leur convergence, idée que nous défendions dans ces colonnes il y a quelques mois.

Vers la parfaite harmonisation du GDPR et de la directive e-Commerce ?

Cette solution « pragmatique » présente tout de même une limite théorique majeure – celle d’être, en un mot, contra legem.

Rien, en effet, que ce soit dans la directive 95/46 ou dans le GDPR, ne permet de justifier un tel régime dérogatoire pour la situation spécifique des moteurs de recherche – si ce n’est, à la rigueur, l’article 2.4 précité du règlement, mais l’on aurait dans ce cas bien aimé que la Cour l’élucidât davantage. L’indexation de pages contenant des données sensibles, dès lors qu’elle constitue un traitement de ces données aux yeux de la Cour elle-même, n’en est pas moins soumise au régime d’interdiction prévu par l’article 9.1 du GDPR, pour la seule raison que le moteur de recherche n’aurait pas encore été averti qu’il a capturé ces données ! Il n’existe au sein de la réglementation, pour le dire autrement, aucun critère de « connaissance de la nature des données stockées », ou encore « d’intentionnalité », qui viendrait conditionner le déclenchement des obligations qu’elle contient.

On voit mal, du reste, ce qui retiendrait d’appliquer la même logique à l’ensemble des exigences de la réglementation ; peut-on, en effet, attendre du moteur de recherche qu’il soit en mesure de contrôler à tout moment l’exactitude des données indexées, tel que le voudrait l’article 5.1.d) du GDPR, si l’on admet ainsi qu’il n’est pas en mesure d’évaluer le contenu de ces données antérieurement aux demandes des personnes concernées ? Le tempérament introduit par la CJUE à la fin de son arrêt, concernant les données pénales (exiger du moteur qu’il réorganise lui-même les résultats indexés, de manière à faire apparaître en priorité ceux qui témoignent de l’état le plus récent de la procédure pénale), témoigne du malaise et des maladresses que peut générer la solution retenue.

Plus encore : en acceptant de moduler la responsabilité d’un responsable de traitement, fût-il aussi particulier qu’un moteur de recherche, au regard de ses « compétences » et « possibilités » quant au traitement des données sensibles et pénales, la Cour introduit un biais important et imprévu dans l’application de la réglementation, dont, vu le peu de motivation de son arrêt, n’importe quelle catégorie d’acteurs un tant soit peu spécifique pourrait à terme venir se réclamer à son tour.

S’il existe bien, au sein du GDPR notamment (beaucoup plus que de la directive), un certain degré de scalabilité de cette réglementation, par exemple pour l’appréciation de l’obligation de sécurité des données, les principes les plus stricts tels que ceux relatifs aux données sensibles et pénales n’ont jamais été pensés, à notre connaissance, comme une telle obligation de « best efforts », et appréciés ainsi in concreto.

En consacrant un régime « de faveur », inspiré par l’état de la technique, pour les moteurs de recherche, la CJUE ouvre donc une petite brèche dans l’interprétation d’un texte dont (il faut bien l’avouer) on pouvait à bon droit se douter que son universalisme obérait par nature une application parfaitement uniforme. Retenons du moins que la difficulté théorique, au cas présent, peut être réglée par un appel au régime général de responsabilité des intermédiaires techniques prévu par la directive « Commerce électronique » – solution d’autant plus amusante que ce régime fait aujourd’hui l’objet de nombreux coups de boutoir législatifs visant à son éclatement.

Les « motifs d’intérêt public important », invités surprise et embarrassants

Si donc la protection des données sensibles et des données pénales par les moteurs de recherche relève tout entière de mécanismes a posteriori, à savoir les demandes d’exercice de droits des personnes concernées, encore faut-il voir de quel manière le moteur de recherche est tenu de traiter ces demandes – tel est l’objet des questions ultérieures du Conseil d’Etat, tranchées par la CJUE.

La rigueur du régime de protection prévu pour ces catégories de données spécifiques conduit à une première réponse de principe : sauf exception, le moteur de recherche est tenu de déréférencer les pages concernées sur notification de la personne concernée, dès lors que celle-ci exerce valablement son droit à l’effacement. La solution découle ici naturellement de la lettre de l’article 17.1.d) du GDPR : dès lors qu’aucune exception ne vient justifier le traitement des données, ce traitement est par hypothèse illicite (puisqu’interdit), et les données doivent donc être supprimées.

Tout le sel du raisonnement tient toutefois, bien sûr, à la portée et à l’application des dites exceptions. Celles-ci sont prévues par la réglementation elle-même :

  • Pour les données sensibles, les articles 8.2 à 8.4 de la directive et l’article 9.2 du GDPR prévoient une série d’exceptions spécifiques à l’interdiction de principe des traitements de ces données. Ces exceptions incluent en particulier une « méta-exception », consistant dans un renvoi à des normes issues du droit de l’Union ou du droit d’un Etat membre, qui matérialiseraient des « motifs d’intérêt public important» justifiant le traitement des données sensibles ; cette « méta-exception » fait l’objet de développements importants dans la décision de la CJUE, sur lesquels nous revenons ci-dessous.
  • Pour les données pénales, l’article 8.5 et l’article 10 du GDPR renvoient également au droit de l’Union et au droit des Etats membres pour prévoir les hypothèses où un traitement de ces données pourrait être opéré hors du « contrôle de l’autorité publique», sous réserve de « garanties appropriées et spécifiques ».
  • Enfin, la directive (article 9) comme le GDPR (article 85) prévoit la possibilité, pour les Etats membres, de déroger aux régimes spécifiques des données sensibles et des données pénales pour ce qui concerne les traitements réalisés « à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire», dans la mesure nécessaire à concilier la protection des données avec la liberté d’expression et le droit à l’information. Cette autre « méta-exception » générale faisait l’objet d’une question spécifiquement posée par le Conseil d’Etat.

Curieusement, la Cour ne semble pas avoir répondu à cette dernière question, et partant avoir laissé entièrement de côté la question de ces traitements journalistiques, universitaires, artistiques et littéraires. A la place, l’arrêt se concentre sur trois hypothèses spécifiques : le cas du consentement explicite (pour les données sensibles), bien vite évacué (et pour cause : le modèle des moteurs de recherche empêche de fait tout consentement préalable des personnes concernées) ; le cas des données sensibles « manifestement rendues publiques par la personne concernée » (qui intéresse directement les problématiques d’open data) ; enfin, le cas beaucoup plus problématique, dans l’arrêt, des « motifs d’intérêt public important ».

Disons-le tout net : il y a ici quelque chose de (très) difficilement explicable dans le raisonnement de la Cour, et la solution qui en résulte.

Et oui, c’est possible.

Celle-ci semble en effet considérer, contre l’évidence de la lettre du texte (de la directive comme du GDPR) que cette « méta-exception » trouve à s’appliquer aussi bien aux données sensibles qu’aux données pénales ; ainsi de la réponse de la Cour :

« Les dispositions de la directive 95/46 doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien vers une page web sur laquelle des données à caractère personnel relevant des catégories particulières visées à l’article 8, paragraphe 1 ou 5, de cette directive sont publiées, cet exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la charte des droits fondamentaux de l’Union européenne, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, paragraphe 4, de ladite directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de cette charte.»

Pour rappel, les données « visées à l’article 8, paragraphe 1 ou 5 » de la directive couvrent à la fois les données sensibles et les données pénales ; or, « l’article 8, paragraphe 4 de ladite directive », qui pose la « méta-exception » évoquée plus haut, ne s’applique, à la lettre, qu’aux données sensibles ! La même solution se retrouve dans l’organisation des articles 9 et 10 du GDPR.

Nouvelle réponse contra legem : la CJUE se serait-elle purement et simplement emmêlé les pinceaux ? Il est vrai que l’autre méta-exception, propre aux données pénales, est formulée en des termes analogues, en tant qu’elle renvoie au droit de l’Union et des Etats membres, et exige des « garanties appropriées et spécifiques » pour protéger les droits et libertés des personnes concernées – mais ces termes ne sont certes pas identiques, loin s’en faut : il n’est nulle part question, s’agissant des données pénales, que leur traitement soit permis sur le fondement de « motifs d’intérêt public important » !

La décision, sur ce point, laisse pour le moins perplexe. Le débat, du reste, n’a rien de purement théorique : il ouvre une ligne d’argument supplémentaire pour les moteurs de recherche, lorsque ces derniers sont confrontés à une demande de désindexation de pages relatives à des procédures pénales actuelles ou passées, pour justifier un éventuel refus. Vu le « rapport de transparence » publié par Google concernant son traitement des demandes de déréférencement,  la situation est loin d’être anecdotique – les demandes visant des pages faisant état de « crimes [ou] délits » représentant 6,2% du total des demandes depuis le 20 janvier 2016.

Cette ligne d’argument est d’autant plus souple qu’elle n’exige pas, à la différence, notamment, de l’article 10 du GDPR (à bon droit le seul applicable aux traitements de données pénales), que le traitement soit lui-même spécifiquement « autorisé » par le droit de l’Union ou d’un Etat membre : il faut et il suffit que ce traitement puisse être justifié par des motifs d’intérêt public important qui auraient, eux, leur siège dans une législation unioniste ou nationale, comme (en particulier) le droit à l’information du public – on comprend aisément l’importance d’un tel changement de fonction de la norme de référence dans l’application de ce critère.

Reste à voir ce que la pratique décisionnelle des autorités de contrôle, et à sa suite la jurisprudence des cours et tribunaux, feront de cette nouvelle hypothèse, si les plaideurs décident de s’en emparer (et ils y ont tout intérêt) ; on ne peut, pour l’heure, que s’en étonner.

Balances et cascades : une acrobatique renouvelée

Mis à part cette extension inattendue de l’exception (« méta-exception ») liée aux motifs d’intérêt public important, les enseignements de l’arrêt quant à l’application du « droit à l’oubli » aux données sensibles et pénales consistent, pour l’essentiel, à clarifier les exigences de mise en balance entre, d’une part, le droit à la protection des données à caractère personnel, et, d’autre part, les droits et libertés concurrents consacrés par la Charte des droits fondamentaux de l’Union Européenne, au premier rang desquels (évidemment) le droit à la liberté d’expression et le droit à l’information.

En ce sens, le principe est constant : la décision ne fait que confirmer ce que l’arrêt Costeja avait déjà indiqué, et le GDPR fixé dans le texte – à savoir que la protection des données, comme la vie privée, ne sont jamais « que » l’objet de deux droits fondamentaux parmi d’autres, susceptibles à ce titre de conflits avec leurs homologues, à régler sur le mode bien connu de la mise en balance. S’agissant des moteurs de recherche et plus généralement d’Internet, il est heureux de voir la Cour insister ainsi sur l’importance de ces équilibres, qui ne sont pas sans rappeler sa jurisprudence en matière d’infractions de presse.

Il n’en reste pas moins que, chemin faisant, la refonte opérée par le GDPR a rendu nécessaire quelques petits ajustements quant à la manière de réaliser cette mise en balance, depuis l’arrêt fondateur précité.

Dans Costeja, l’articulation du droit à la protection des données et du droit à l’information du public était clairement l’affaire d’une mise en balance « classique » de deux droits fondamentaux, comme en témoignent les notions de « prévalence » et de « prépondérance » dans l’extrait cité (point 97) :

« La personne concernée pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander à ce que l’information en question ne soit plus mise à la disposition du grand public par son inclusion dans une telle liste de résultats, il y a lieu de considérer, ainsi qu’il ressort notamment du point 81 du présent arrêt, que ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à trouver ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question. »

L’occurrence de la même notion de « prépondérance » dans l’article 14 de la directive 95/46, alors applicable, relatif au droit d’opposition au traitement, ne doit pas tromper : la Cour procédait ici non pas tant à une application des termes de la directive qu’à une mise en balance de droits consacrés par la Charte, selon sa méthode la plus habituelle. La meilleure preuve en est que le « droit à l’oubli » consacré par Costeja trouve son fondement juridique aussi bien dans le droit d’opposition (article 14 précité) que dans le droit de rectification (article 12), dont l’application n’est conditionnée, au visa pur de la directive, par aucune mise en balance.

La « textualisation » de ces solutions dans le GDPR s’est jouée au prix de plusieurs modifications de régime, que la CJUE prend le temps de mentionner dans le présent arrêt.

Nous ne reviendrons pas sur le détail du comparatif « droit à l’oubli Costeja » contre « droit à l’oubli GDPR », auquel nous nous étions déjà essayé dans l’article cité en tête de la présente analyse. Il faut seulement relever, pour ce qui nous intéresse ici, les points suivants :

  • Le « droit à l’oubli » s’est autonomisé dans un droit à l’effacement dont les conditions, prévues à l’article 17 du règlement, excèdent de beaucoup celles des simples droits de rectification et d’opposition (fondements antérieurs dans l’arrêt Costeja).
  • La mise en balance exigée pour la mise en œuvre du droit d’opposition s’est considérablement étoffée, à l’article 21 du règlement : là où la directive ne permettait, à la lettre, d’y faire obstacle que sur la base d’une « disposition contraire du droit national», le responsable du traitement peut aujourd’hui opposer aux « raisons tenant à la situation particulière » de la personne concernée des « motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée », ou « la constatation, l’exercice ou la défense de droits en justice ».
  • A l’inverse, le droit à l’effacement prévu à l’article 17 n’est en lui-même assorti d’aucune exigence de mise en balance au sens strict. Les exceptions visées à l’article 17.3, dont notamment « l’exercice du droit à la liberté d’expression et d’information», reposent sur un simple test de nécessité, qui n’est (rappelons-le) que l’un des trois éléments de la méthode de mise en balance unioniste (adéquation, nécessité, proportionnalité). Pour le dire concrètement : le responsable du traitement n’est tenu, pour justifier son refus d’effacer les données visées par la demande, que de démontrer que leur conservation est nécessaire pour (par exemple) respecter le droit à l’information du public, et non pas que cette conservation constitue la mesure la moins intrusive possible nécessaire à respecter ce droit à l’information. La différence est, on le voit bien, significative : il n’est ici absolument pas question de peser l’importance relative de chacun des enjeux de la situation concrète.

Sur cette base, que nous dit donc la CJUE quant à la manière de traiter une demande de déréférencement qui viserait des pages contenant des données sensibles ou pénales ? Il s’agit, en somme, de procéder en plusieurs étapes, qui sont autant de questions pour le responsable du traitement :

  1. L’indexation des pages peut-elle être justifiée par l’une des (nombreuses) exceptions prévues, selon le cas, pour les données sensibles et/ou pénales ? A défaut, le principe d’interdiction veut que la page soit déréférencée : le traitement est en effet illicite, hypothèse de l’article 17.1.d) du GDPR ; passez tout de même à l’étape 3. Si, à l’inverse, une exception s’applique, passez à l’étape 2. On relèvera ici qu’une première mise en balance peut être nécessaire, si l’exception applicable est celle des « motifs d’intérêt public important», l’article 9.2.g) du GDPR (aujourd’hui seul applicable) prévoyant explicitement un test de proportionnalité.
  2. L’auteur de la demande peut-il valablement s’opposer au référencement des pages sur le fondement de l’article 21 du GDPR? Au-delà de la question des données sensibles, la base légale du traitement d’indexation ne peut en effet tenir, à première vue, que dans l’intérêt légitime de l’éditeur du moteur de recherche ou du public, comme prévu à l’article 6.1.f) du GDPR ; cette base légale ouvre donc droit à une opposition fondée sur l’article 21 précité. Curieusement, la Cour ne semble envisager cette hypothèse d’une opposition que dans le cas où l’indexation de pages contenant des données sensibles aurait pour justification l’exception prévue à l’article 9.2.e) (données manifestement rendues publiques par la personne concernée) ; on voit mal, à vrai dire, le sens de cette limitation : le droit d’opposition peut aussi bien être invoqué en présence d’une autre exception, dès lors qu’il ne dépend que de la base légale du traitement (article 6) et non de la justification du traitement des données sensibles (article 9). L’examen de ce droit d’opposition suppose, pour le responsable du traitement, une nouvelle mise en balance, comme indiqué précédemment – mise en balance entre les « raisons tenant à la situation particulière » de la personne concernée et les « motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée », ou « la constatation, l’exercice ou la défense de droits en justice ».
  3. Dans tous les cas : le maintien des pages dans l’index des résultats de recherche est-il nécessaire à l’exercice du droit à la liberté d’expression et d’information (ou à d’autres exceptions au droit à l’effacement, prévues à l’article 17.3)? Aussi rigoureux que soit le principe d’interdiction des traitements de données sensibles et pénales, le GDPR prévoit en effet que l’effacement des données (même en présence d’un traitement illicite de ces données !) n’est pas obligatoire dans certains cas, ce que la CJUE interprète expressément comme le résultat d’une mise en balance opérée par le législateur lui-même, entre le droit à la protection des données et d’autres enjeux d’égale importance (point 57 de l’arrêt étudié). Le responsable du traitement n’est tenu ici, quant à lui, que d’un test de nécessité, comme expliqué ci-avant – la mise en balance ayant été opérée en quelque sorte en amont, par le législateur lui-même.

En pratique, cette cascade de tests et mises en balance peut sembler fastidieuse, et surtout redondante ; intellectuellement, il est toutefois crucial de bien décomposer ce raisonnement, tant il s’y joue en creux, à chaque étape, la possibilité de faire valoir des équilibres politiques et sociétaux décisifs, qui expliquent à l’évidence l’engouement « médiatique » autour du droit à l’oubli – intérêts individuels contre intérêts collectifs, sphère privée contre vie publique, etc. Nul doute que responsables du traitement et autorités de contrôle sauront disséquer chacune de ces conditions, toutes subtilement différentes, dans le cadre des litiges à venir.

Où la nature n’est au fond que mise en balance.

Au bout du compte, la CJUE signe donc ici une décision des plus alambiquées, témoignant de toute la difficulté qu’il y aurait à appliquer le GDPR terme à terme à ces acteurs « du troisième type » que sont les moteurs de recherche – responsables de traitements qui ne savent pas ce qu’ils collectent, et n’ont décidément pas vocation à le savoir.

La Cour ne semble tout simplement pas vouloir remettre en cause le modèle technique et économique de ces acteurs, il est vrai trop incontournables dans l’économie numérique que l’Union Européenne se fait fort de promouvoir ; la logique n’est pas sans rappeler, une fois encore, celle qui a présidé à l’adoption du régime de responsabilité limitée des intermédiaires techniques, à l’aube des années 2000.

« L’acte II » du GDPR sera-t-il celui des premiers compromis ?

Laisser un commentaire

Votre adresse mail ne sera pas publiée. Tous les champs sont obligatoires.