Le nouveau règlement général sur la protection des données (GDPR), qui sera d’application directe à partir du 25 mai 2018, s’apprête à bouleverser les règles de la data pour un grand nombre d’entreprises et d’organismes publics, en Europe et même ailleurs.
Parmi les dispositions nouvelles les plus remarquées, l’article 17 instaure au profit des personnes dont les données sont traitées un « droit à l’oubli », qui ne peut manquer de faire écho à celui, déjà bien connu, consacré par la Cour de justice de l’Union Européenne (CJUE) le 13 mai 2014 dans son arrêt Costeja c. Google Spain.
Pour rappel, cette décision, dont les retentissements se poursuivent encore aujourd’hui, avait vu Monsieur Mario Costeja Gonzales, citoyen ibérique, obtenir la reconnaissance de son droit à la suppression de certains résultats de recherche Google affichés en réponse à une requête constituée de son nom propre, et évoquant de très anciennes procédures de saisie pour défaut de paiement de dettes de sécurité sociale.
On eut tôt fait alors de parler, déjà, de « droit à l’oubli » (« right to be forgotten ») : à l’heure où les moteurs de recherche constituent l’outil réflexe pour toute démarche d’information, Monsieur Gonzales ne venait-il pas en effet de gagner une certaine forme d’amnistie ? L’expression est depuis lors passée dans le langage quotidien, à mesure que se sont multipliées les actions similaires, avec plus ou moins de succès.
« Droit à l’oubli CJUE », donc, puis « droit à l’oubli GDPR » – dans les deux cas, cependant, l’expression paraît, si ce n’est vraiment impropre, du moins appeler quelques éclaircissements.
Champ d’application : demain tous concernés
L’actuel « droit à l’oubli » consacré par la Cour de justice est en réalité un droit au déréférencement par les moteurs de recherche, autrement dit le droit de voir omis certains résultats jugés préjudiciables à la personne concernée, dans le cadre d’une recherche portant sur les nom et prénom(s) de cette dernière – ni plus, ni moins.
Il constitue à ce titre une simple émanation, spécifique au cas de ces services en ligne un peu particuliers, des droits de rectification et d’opposition prévus, respectivement, par les articles 12 et 14 de la directive 95/46/CE (à laquelle le GDPR viendra demain se substituer).
Selon ces dispositions, la personne concernée peut en effet « obtenir du responsable du traitement […] selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données » (droit de rectification, article 12), ainsi que « s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement », étant précisé « [qu’]en cas d’opposition justifiée, le traitement mis en oeuvre par le responsable du traitement ne peut plus porter sur ces données » (droit d’opposition, article 14).
De ce point de vue, la suppression des résultats de recherche n’est en définitive que la conséquence logique, inévitable, des véritables innovations portées par l’arrêt Costeja : celles d’avoir qualifié de « traitement », au sens de la directive, l’affichage de données à caractère personnel sur les pages de résultats d’un moteur de recherche, et d’en avoir imputé la responsabilité au dit moteur de recherche.
Dès lors, en effet, que cette qualification est appliquée, les personnes concernées sont libres d’exercer les droits prévus par la directive auprès du responsable, autrement dit de lui demander la rectification des données traitées ou de s’opposer au traitement. Or pour un traitement qui consiste en somme dans l’affichage des données à caractère personnel parmi des résultats de recherche, cette rectification ou cette opposition ne peut aboutir qu’à une seule solution : le retrait des résultats litigieux – leur déréférencement.
Le « droit à l’oubli » du GDPR représente quant à lui un droit à l’effacement beaucoup plus général.
D’abord, loin d’être limité au seul cas des moteurs de recherche, il aura vocation à s’appliquer à tout responsable d’un traitement de données à caractère personnel – notions dont on sait désormais à quel point elles sont interprétées largement par les autorités de contrôle compétentes. Il pourra ainsi être exercé, entre autres nombreux exemples, par un employé à l’égard de son employeur, par un usager à l’égard d’un service public, ou encore par un client à l’égard d’une entreprise commerciale.
Ensuite, en choisissant d’en faire un droit autonome, distinct des droits de rectification et d’opposition (par ailleurs maintenus, dans le GDPR, aux articles 16 et 21), le législateur européen a prévu pour lui une série de conditions détaillée.
L’article 17 du GDPR définit ainsi une demi-douzaine d’hypothèses où l’effacement des données pourra être imposé par la personne concernée :
- Lorsque les données ne sont plus nécessaires au regard des finalités du traitement ;
- Lorsque cette personne retire son consentement au traitement, et que ce traitement ne peut continuer de façon licite sans ce consentement ;
- Lorsque cette personne s’est opposée à la poursuite d’un traitement qui ne nécessitait pas son consentement, en arguant d’un motif légitime ;
- Lorsque le traitement des données s’avère illicite au regard des dispositions concernées du GDPR ;
- Lorsque cette personne était âgée de moins de seize ans au moment de la collecte des données, réalisée au moyen d’un service en ligne (« service de la société de l’information ») ;
- Enfin, lorsque l’effacement s’impose au responsable du traitement pour respecter une obligation légale, d’origine européenne ou nationale, qui lui incomberait.
Compte tenu notamment de la quatrième hypothèse, le champ d’application de ce nouveau droit apparaît donc à la fois plus précis et considérablement plus large que celui de la Cour de justice.
Effacer sans se tromper : un droit autonome pour un droit plus clair
Mais quel est vraiment l’impact de ces nouvelles dispositions ? A bien y regarder, l’essentiel était déjà là. Le jeu de l’actuel droit de rectification de la directive, parce qu’il permet explicitement d’obtenir l’effacement des données, recoupe en effet la majorité des hypothèses prévues pour le nouveau « droit à l’oubli GDPR », dans la mesure où il peut être exercé dès lors que « le traitement n’est pas conforme à la […] directive ».
L’arrêt Costeja c. Google Spain indiquait d’ailleurs lui-même que cette absence de conformité peut résulter, entre autres, d’une durée de conservation excessive des données (première hypothèse du GDPR). Il y a lieu de croire qu’elle pourrait de même résulter d’un traitement mis en œuvre sans le consentement de la personne concernée, là où ce consentement était requis (deuxième hypothèse) ou encore d’un traitement poursuivi malgré l’opposition valable de cette personne (troisième hypothèse).
Sous ce rapport, les nouvelles dispositions ne feraient ainsi que déplacer, dans un article distinct, le régime du droit à l’effacement, là où la directive n’y voyait qu’une modalité du droit de rectification.
Le GDPR se limite-t-il donc à reformuler des solutions existantes ? L’affirmer serait ignorer quelques unes des subtilités du texte.
D’abord, sa nouvelle organisation a le mérite de préciser les contours de deux droits aux conséquences bien différentes. Parce qu’effacer n’est pas simplement rectifier, et peut entraîner la perte définitive d’informations éventuellement utiles et pertinentes, il importait à l’évidence de distinguer les conditions propres à chaque opération. En particulier, l’inexactitude ou le caractère incomplet des données enregistrées ne devraient plus suffire, sous le nouveau régime, à exiger leur effacement, mais seulement leur rectification.
D’autre part, le nouvel article 17 introduit également une série d’exceptions, dont le responsable du traitement pourra se prévaloir pour refuser de procéder à l’effacement des données. Le « droit à l’oubli GDPR » pourra ainsi être écarté dans pas moins de cinq hypothèses, lorsque le traitement des données sera nécessaire :
- A l’exercice du droit à la liberté d’expression et d’information ;
- Pour respecter une obligation légale ou pour exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement ;
- Pour des motifs d’intérêt public dans le domaine de la santé publique ;
- A des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
- A la constatation, à l’exercice ou à la défense de droits en justice.
Comparativement à l’actuel « droit à l’oubli CJUE », auquel le moteur de recherche ne peut s’opposer que pour des motifs liés au droit à l’information du public (quand, par exemple, la personne qui demande le déréférencement est une personnalité politique), c’est donc une prise en compte élargie des intérêts en balance que promeut le GDPR.
Deux régimes, c’est un de trop ?
Reste alors au moins une question : quel régime appliquer demain pour les débiteurs originels du « droit à l’oubli » – les moteurs de recherche ? Autrement formulé : le droit nouveau, général, prévu par le GDPR a-t-il vocation à supplanter le droit actuel, propre aux moteurs de recherche ? En particulier, ces derniers pourront-ils revendiquer le bénéfice des nouvelles exceptions, ou resteront-ils soumis aux seules conditions fixées par l’arrêt Costeja ?
De même, la jurisprudence consécutive à cet arrêt, rendue sous le régime de la directive actuelle, devra-t-elle également s’appliquer au nouveau droit du GDPR ?
Les enjeux sont réels. Pour n’en présenter qu’un, on rappellera qu’un débat important concerne aujourd’hui la portée territoriale du « droit à l’oubli CJUE » : les moteurs de recherche doivent-ils ou non étendre le déréférencement à l’ensemble de leurs sites, y compris extra-européens ?
Des décisions sont attendues avec impatience sur ce point, en France et au niveau de l’Union. Elles détermineront si, comme le souhaitent ouvertement les autorités de contrôle européennes, un citoyen français, belge ou espagnol peut obtenir la suppression de certains résultats de recherche le concernant pour la totalité des extensions de services d’ampleur mondiale tels que Google, Yahoo ou Bing, dont notamment les extensions nationales non européennes (.us, .cn, etc.) et internationales (.com).
Appliquée de la même manière à d’autres catégories de responsables de traitements visées par le « droit à l’oubli GDPR », la solution retenue pourrait ainsi, par exemple, obliger une entreprise transnationale à faire disparaître les données d’un client européen pour l’ensemble de ses filiales, y compris dans des pays où le traitement de ces données serait pourtant resté parfaitement licite.
Quelle que soit la réponse à ces questions, à moins de neuf mois de l’entrée en scène des nouvelles règles, les entreprises et organismes publics concernés ont en toute hypothèse tout intérêt à faire preuve d’anticipation : les chiffres avancés par Google démontrent en effet que les citoyens européens se sont pleinement saisis du concept de « droit à l’oubli », et ne manqueront probablement pas de l’exercer à l’égard de bien d’autres situations.
A l’heure où le big data, fondé notamment sur un principe d’accumulation massive de l’information, continue d’irriguer un nombre croissant de modèles économiques, le GDPR invite donc les responsables de traitement, sur ce point comme sur bien d’autres, à repenser leurs pratiques, d’une manière certes attentive, mais aussi prospective et inventive.
