Droit à l’oubli : Quel rôle pour le DPO ?

Par Bruno RASLE • Expert RGPD - Formateur de DPO • Septembre 2013 •

Le droit à l’oubli n’existe pas, pourtant cette expression est fréquemment utilisée, avec plusieurs acceptions. Cela entretient une certaine confusion, notamment avec les droits d’opposition et de rectification alors que le projet de règlement européen appelé à remplacer la loi Informatique et Libertés comprend la création d’un « droit à l’oubli numérique ». Le présent texte se focalise sur le rôle que devrait jouer le facteur d’auto régulation qu’est le Correspondant Informatique et Libertés et le futur « Délégué à la protection des données personnelles » dans la bonne application de ce nouveau droit, s’il voit le jour.

Thème I : ASPECT PSYCHO SOCIAL

I.1. Il n’existe pas à proprement parler de « droit à l’oubli » dans la loi informatique et libertés¹

Il s’agit en fait d’une expression mais aussi d’une attente sociale, voire psychologique.

Pour les personnes qui l’emploient, l’idée qu’elle recouvre est l’obligation de prévoir une durée de conservation des données personnelles proportionnelle à la finalité du traitement. La CNIL vulgarise cette obligation sur son site Web par la mention « Les données personnelles ont une date de péremption. Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier ».

A titre d’exemple, les fournisseurs d'accès à Internet (FAI) ne doivent pas stocker plus d'un an les adresses IP de leurs clients.

Cette vulgarisation peut poser problème car elle peut être mal interprétée par des non spécialistes (par exemple les consommateurs). Il s’agit d’une demande psycho sociale et non de la réelle connaissance d’un droit.

Tout un chacun peut comprendre qu’il détient un droit qui lui permet d’exiger en toutes circonstances auprès de tout organisme d’effacer toute information le concernant (« Oubliez tout de moi ! »).

Utilisée sans précaution, cette expression peut donc être source de litiges et de frustrations, car ce droit (ou ce qui s’en approche) ne peut être absolu.

Thème II : LES TEXTES

Les textes existants sont-ils suffisants ? Doit-on mieux informer le public ou doit-on définir un nouveau droit ?

II.1. La durée de conservation : l’un des points fréquents de non-conformité

Contrairement aux idées reçues, il n’est pas possible de conserver des données à caractère personnelle sans limitation de durée : la loi Informatique et Libertés oblige le responsable de traitement à fixer une durée de conservation raisonnable en fonction de l’objectif poursuivie (la finalité)². Cette durée doit être mentionnée dans la déclaration ou portée sur le registre en cas de désignation d’un CIL³.

La CNIL a publié en 2005 une recommandation sur ce sujet⁴, en spécifiant trois « zones d’archives » et les caractéristiques qui les différencient.

A l’usage, cette recommandation est difficile d’application, principalement par défaut d’outils (progiciels) adaptés et par les coûts nécessaires à sa mise en œuvre. Historiquement, cette disposition de la loi est l’un des plus difficiles à faire appliquer, les directeurs des systèmes d’information les plus vertueux étant le plus souvent dans l’impossibilité de veiller à son respect.

Quand il est désigné le Correspondant Informatique et Libertés (CIL) incite les Directions métier à mener une réflexion afin de formaliser la durée de conservation en archives courantes (celle liée à la finalité du traitement de données à caractère personnel concerné). En cas de désaccord il conseille le responsable de traitement sur ce point.

On note que certains CIL porte à leur liste des traitements non pas une mais deux durées de conservation : celle en archives courantes et celles en archives intermédiaires (zone dans laquelle les informations sont conservées dans l’hypothèse d’un litige).

II.2. Pour éviter toute confusion, il convient de préciser le droit

On note une confusion possible avec les droits dits « de rectification » et « d’opposition ». Le droit de rectification permet de modifier les données et peut aller jusqu’à la suppression des données inexactes, périmées ou dont la collecte est interdite⁵.

De même qu’il n’existe pas réellement de « droit à l’oubli », il n’existe donc pas de « droit à la suppression », alors que ce terme est relevé sur de nombreuses mentions d’informations des sites Web. La CNIL propose ce type de formulation afin d’informer les personnes de leurs droits :

« Conformément à la loi informatique et libertés du 6 janvier 1978 modifiée en 2004, vous bénéficiez d’un droit d’accès et de rectification aux informations qui vous concernent, que vous pouvez exercer en vous adressant à …/…Vous pouvez également, pour des motifs légitimes, vous opposer au traitement des données vous concernant ».

Il vaudrait donc mieux utiliser la formulation complète « droit de suppression des données erronées ou périmées » pour être sûr d’être bien compris.

De son côté, le droit d’opposition permet à toute personne de s'opposer – pour des motifs légitimes⁶ – à figurer dans un fichier⁷. Il n'existe pas pour les collectes obligatoires (fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale, etc.).

Ce droit n’existe pas non plus dans le cadre d’un contrat qui lie, par exemple, une banque à son client. Le guide « La pub si je veux ! » de la CNIL comporte en sa cinquième page l’avertissement suivant :

« Attention. Si vous avez souscrit un contrat auprès d’une société pour une durée prévue dans ce contrat, vous ne pourrez pas le résilier quand vous le voulez ».

Le droit d'opposition peut s’exprimer par un refus de répondre lors d’une collecte non obligatoire de données⁸, par la possibilité de s'opposer à la cession ou la commercialisation d’informations⁹ ou par la faculté de demander la radiation des données contenues dans des fichiers commerciaux.

Dans son document la CNIL utilise également l’expression « le droit d’être radié d’un fichier » dans deux cas de figure : afin que ses coordonnées ne figurent plus dans les fichiers de prospection, afin qu’elles ne soient pas mises à disposition d’organismes extérieurs à des fins de prospection.

Ce même guide précise que s’il est possible de demander à une société dont on ne souhaite plus être le client dans le futur de lui demander de procéder à « la radiation des informations vous concernant figurant dans ses fichiers ». La CNIL précise que cet organisme devra toutefois conserver dans ses archives les informations comptables liées à l’exécution du contrat pendant dix ans, en application de l’article L.123-22 du code de commerce¹⁰.

On note deux limites au droit d’opposition :

• Pour qu’il puisse être exercé au moment de la collecte d’informations, la personne concernée doit en être informée et consciente de ses droits ;

• Pour qu’il puisse être exercé plus tard¹¹, en s’adressant au responsable du fichier, la personne concernée doit pouvoir identifier facilement celui-ci et être en mesure d’exercer réellement son droit d’accès.

Enfin le décret n°2007-451 du 25 mars 2007¹², précise dans son article 96 que « l'intéressé est mis en mesure d'exprimer son choix avant la validation définitive de ses réponses ».

II.3. Le « droit à l’oubli » est un élément d’une chaine. Il ne s’agit pas d’un droit isolé mais d’un « droit de suite »

Il constitue un complément du droit de suite, qui constitue lui-même un complément essentiel du droit d’accès, celui-ci ne pouvant être réellement opérationnel sans respect du devoir d’information des personnes.

Avec action de la personne concernée, la chaîne est ainsi constituée¹³ : Information, Droit d’accès, Modification ou mise à jour, Suppression des données erronées ou périmées.

Pour être valide, l’étude du « droit à l’oubli » doit donc se faire en tenant compte des interactions avec les étapes précédentes, car son effectivité en dépend en grande partie.

II.4. Pour les fichiers commerciaux, le droit d'opposition peut se traduire par des « désinscriptions »

Le droit d’opposition (article 38) peut s’exprimer par la faculté de demander la radiation des données contenues dans des fichiers commerciaux, à tout moment et sans justification (on note ici une grande différence avec le droit d’opposition de la Loi Informatique & Libertés qui peut se faire « pour des motifs légitimes »).

Il s’agit là de rendre du pouvoir à la personne (« Consumer Control »¹⁴) et d’instaurer la confiance : la collecte de données personnelles est plus aisée et de meilleure qualité si la personne concernée sait qu’elle peut, à tout moment et facilement, modifier ses données et même se désinscrire. On note ainsi que certains acteurs permettent à leurs prospects et clients de gérer eux-mêmes, en ligne, leurs propres données. En France, l’expérimentation MesInfos, menée par la Fing¹⁵ et à laquelle participe l’AFCDP¹⁶, en est une illustration.

Cette faculté se retrouve également, concernant la prospection directe par courrier électronique, dans l’article 22 de la Loi pour la Confiance dans l’Economie Numérique :

« Toutefois, la prospection directe par courrier électronique est autorisée si les coordonnées du destinataire ont été recueillies directement auprès de lui, dans le respect des dispositions de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, à l’occasion d’une vente ou d’une prestation de services, si la prospection directe concerne des produits ou services analogues fournis par la même personne physique ou morale, et si le destinataire se voit offrir, de manière expresse et dénuée d’ambiguïté, la possibilité de s’opposer, sans frais, hormis ceux liés à la transmission du refus, et de manière simple, à l’utilisation de ses coordonnées lorsque celles-ci sont recueillies et chaque fois qu’un courrier électronique de prospection lui est adressé. Dans tous les cas, il est interdit d'émettre, à des fins de prospection directe, des messages au moyen d'automates d'appel, télécopieurs et courriers électroniques, sans indiquer de coordonnées valables auxquelles le destinataire puisse utilement transmettre une demande tendant à obtenir que ces communications cessent sans frais autres que ceux liés à la transmission de celle-ci. Il est également interdit de dissimuler l'identité de la personne pour le compte de laquelle la communication est émise et de mentionner un objet sans rapport avec la prestation ou le service proposé. »

Le texte LCEN n’est pas précis en ce qui concerne la rapidité avec laquelle la désinscription doit être effective¹⁷.

Le code de déontologie de la FEVAD comporte à ce sujet la mention suivante :

« Le professionnel maître d'ouvrage responsable de la collecte des données prendra en compte, ou s'engage à faire prendre en compte par ses utilisateurs, dans un délai de deux mois… les demandes de radiation ou de non mise à disposition à des tiers qui lui auront été transmises ».

Le code de déontologie du SNCD, bien que plus précis concernant le traitement des désinscriptions, ne fait pas mention d’un délai souhaitable de prise en compte. Le GESTE (Groupement des Editeurs en Ligne) indique que :

« La demande [de l'internaute] doit être prise en compte dans les meilleurs délais et sa désinscription doit lui être notifiée dès qu'elle est effective ».

Avec cette disposition, l’internaute reprend du pouvoir. Le meilleur instrument à sa disposition réside dans sa capacité à se désinscrire. Tout repose donc sur l’efficacité des mécanismes de désinscription et de la confiance accordée par les internautes.

Sur le terrain, les choses ne semblent pas idéales : D’après les derniers tests effectués quant à la conformité de Google Latitude, service basé sur la géolocalisation, la firme californienne continue à localiser l’utilisateur même après que ce dernier se soit « délogué¹⁸»  et des sanctions prononcées par la CNIL montrent que ces désinscriptions ne sont pas toujours prises en compte de façon totalement opérationnelle¹⁹.

Thème III : L’EXERCICE DES DROITS EXISTANTS

L’organisation de l’exercice des droits existants est manifestement perfectible. Pour l’AFCDP, la désignation d’un CIL (Correspondant Informatique et Libertés) doté de réels moyens²⁰, accompagné d’une traçabilité des transferts de données à caractère personnel, doit s’imposer.

III.1. Le droit à l’information et le droit à l’accès aux données ne sont pas pleinement opérationnels

Malgré les efforts de la CNIL (qui propose sur son site un large choix de formulations), le devoir d’information, de la part du responsable du traitement, reste perfectible, dans le fond et la forme (cas des mentions difficilement trouvables sur un site Web).

La CNIL attache à raison une grande importance à ce droit initial, car il rend possibles les suivants (droit d’accès, de rectification, d’opposition).

Ainsi la CNIL a prononcé, le 26 février 2009, une sanction pécuniaire d’un montant de 40.000 euros à l’égard de la société DirectAnnonces pour « pratiques déloyales vis-à-vis des particuliers annonceurs, puisqu’ils n’étaient pas informés de la collecte et de la vente de leur annonce et, par conséquent, ils ne pouvaient pas s’y opposer ».

Le droit d’accès²¹ permet à toute personne d'interroger le responsable d’un fichier pour savoir s’il détient des informations sur elle et le cas échéant d’obtenir communication de l’intégralité des données la concernant. L'exercice du droit d’accès permet de contrôler l'exactitude des données et, au besoin, de les faire rectifier ou effacer les données erronées ou périmées.

Ce droit a également donné lieu à sanctions²².

Les travaux des participants au Mastère Spécialisé « Management et Protection des données à caractère personnel » de l’ISEP²³ montrent que seul un tiers environ des organismes sollicités répond à une demande de droit d’accès. Le pourcentage de réponses pleinement satisfaisantes est également décevant.

Il convient de noter que ce droit est encore très rarement utilisé par les personnes, par méconnaissance de leurs droits : en conséquence peu d’entités ont mis en place d’une procédure pour les traiter.

Le guide « La publicité si je veux ! » de la CNIL indique aussi que la personne peut demander « toute information quant à l’origine de leur collecte ». Il précise également qu’il est possible de demander à un organisme qui a réalisé l’action de prospection d’indiquer le nom de la société qui lui a fourni les coordonnées du prospect. Ceci sur le fondement de l’article 39.I.4 de la Loi Informatique et Libertés :

« Toute personne physique justifiant de son identité a le droit d’interroger le responsable d’un traitement de données à caractère personnel en vue d’obtenir…/… La communication, sous une forme accessible, des données à caractère personnel qui la concernent ainsi que de toute information disponible quant à l’origine de celles-ci. ».

On trouve de même dans le « Guide pratique du droit d’accès », publié par la Cnil en octobre 2006 le passage suivant :

« Vous avez aussi le droit de connaître l’origine des informations vous concernant, c'est-à-dire d’où proviennent les données que l’organisme détient sur vous (par exemple, les a-t-il obtenues auprès d’une autre société, d’une autre administration ?) ».

III.2. L’exercice du « droit à l’oubli » se heurte également au phénomène de la « dissémination »

Lorsque l'internaute parvient à faire effacer ses données, rien ne garantit qu'avant cette démarche, le fichier contesté n'a pas déjà commencé à essaimer sur Internet. Identifier l'ensemble des traitements ayant relayé les données personnelles relève souvent de la mission impossible.

Concernant le droit de rectification, la CNIL précise que « le responsable du traitement doit prouver qu’il a procédé aux rectifications demandées et les notifier aux tiers à qui auraient été transmises les données erronées ». Cette obligation vaut également pour le droit de rectification.

Le décret n°2007-451 du 25 mars 2007²⁴ précise ce point en son article 99 :

« Lorsque des données à caractère personnel ont été transmises à un tiers, le responsable du traitement qui a procédé à leur rectification en informe sans délai ce tiers. Celui-ci procède également sans délai à la rectification. », une logique qui se retrouve concernant le droit d’opposition, dans l’article 97 : « Le responsable du traitement auprès duquel le droit d'opposition a été exercé informe sans délai de cette opposition tout autre responsable de traitement qu'il a rendu destinataire des données à caractère personnel qui font l'objet de l'opposition. ».

Encore faut-il voir connaissance des « tiers » auxquels les données auraient été transmises.

Lors de la transposition de la directive qui a donné naissance à la Loi pour la Confiance dans l’Economie Numérique, l’auteur de ces lignes avait regretté que l’indication de l’origine de la source ne soit pas obligatoire lors de prospection directe par courrier électronique²⁵.

Dans une lettre signée de M. Alex Türk et publiée sur la Toile²⁶ on peut lire la précision suivante :

« A toutes fins utiles, je vous informe que l’internaute, dont les données sont transmises par la société A à la société B, doit être en mesure d’identifier l’ensemble des destinataires de ses données, pour que son consentement soit qualifiés d’éclairé. Ainsi, l’internaute doit se voir communiquer la liste nominative des partenaires et tiers de la société A à qui seront transmises ses données. Cette liste devra être mise à jour au moment du recueil du consentement de l’internaute et l’internaute devra, le cas échéant, être informé du caractère évolutif de cette liste sur le formulaire de collecte (ou sur la liste desdits partenaires en cas de renvoi via un lien hypertexte). ».

Il semble que cette pratique n’ait jamais été observée dans les faits²⁷.

Certains acteurs du secteur de la communication directe vont au-delà du texte actuel et ont pris l’initiative d’indiquer la source de collecte quand ils réalisent un emailing pour le compte d’un tiers. Cette mesure participe également de la transparence et est facteur de confiance.

Il convient de noter que la loi Allemande entrée en vigueur le 1er septembre 2009 autorise exceptionnellement l’utilisation des données personnelles à des fins publicitaires sans accord préalable du consommateur si l’entreprise l’informe de l’origine des données utilisées. Le consommateur peut plus aisément exercer ses droits (d’accès, de rectification, d’opposition) auprès de la source, c'est-à-dire l’entreprise détentrice du fichier.

III.3. Il peut être intéressant de dissocier les différents cas de figure, selon que les données sont accessibles librement en ligne ou pas

Pour étudier le « droit à l’oubli » il nous parait utile de distinguer :

• Les données personnelles traitées en interne par des entités soumises à la Loi Informatique & Libertés (par exemples des entreprises à des fins de prospection) ;

• Les données communiquées par l’intéressé et publiées sur des réseaux sociaux, des blogs, des newsgroups, des sites de partage de vidéo, etc.

Sans être nouveau, le débat sur les possibles effets négatifs pour l’individu des informations qu’il a lui-même diffusé en ligne est un sujet d’actualité avec l’essor phénoménal des services de réseaux sociaux²⁸. Dans ce deuxième cas, l’expression « droit au regret » illustre parfaitement les attentes des personnes qui ont eu la légèreté de communiquer leurs données personnelles, qui s’en repentent et cherchent une issue.

Ce débat fait apparaître plusieurs problèmes :

Les personnes ne sont pas forcément conscientes du périmètre d’applicabilité de la Loi Informatique & Libertés²⁹.

• Dans le domaine des réseaux sociaux et des moteurs de recherche, les grands opérateurs sont américains³⁰ : comment les contraindre à respecter la législation européenne ? Et quelle serait l’attitude du moteur de recherche chinois, Baidu ?

• Outre ses actions au sein du Groupe Article 29, la CNIL cherche à faire passer auprès des populations concernées l’idée d’un « capital vie privée » qui se dégrade d’une manière irréversible, à mesure que nous en disposons sans modération (analogies avec le capital santé ou avec une aquarelle qui doit être tenue à l’écart du soleil).

Les efforts de sensibilisation menée en ce domaine par la Commission sont à saluer, notamment pour éviter que des personnes révèlent des informations personnelles de tiers (photo d’une soirée trop arrosée mise en ligne sans l’accord des personnes y figurant).

Parmi les pistes de réflexion, on peut citer les démarches suivantes :

• Informer le public pour qu’il fasse de préférence usage de pseudonymes où qu’il utilise des services qui restreignent l’accès aux destinataires qu’il a autorisé ;

• Faire en sorte que les services tels que les réseaux sociaux, les sites de partage de vidéo proposent par défaut à l’utilisateur de fixer, au moment du dépôt, une durée de conservation au terme de laquelle le contenu sera détruit.

III.4. La conformité à la loi sur tous les points précédemment évoqués est complexe, difficile et coûteuse

Les avancées technologiques (courriers électroniques adressés à des destinataires multiples, sauvegardes et réplications, architectures techniques virtualisées, Cloud Computing, etc.) rendent difficiles et coûteuses la « purge » des données à caractère personnel au terme de la durée de conservation.

De même, très peu d’outils permettent de garder en mémoire ou de gérer facilement

• L’origine et le contexte de la collecte (lors d’un salon, d’un rendez-vous, d’un échange d’email, à la suite d’une campagne marketing, etc.) ;

• Les cessions ou mises à disposition des données à des tiers (par exemple à l’occasion d’opération d’emailing) ;

• Les exercices de droits des personnes (accès, rectification, etc.).

Quand bien même ses outils existeraient, les informations ne sont pas disponibles pour les données actuellement en bases.

Il convient donc de prêter attention à l’équation économique et à ne pas créer une distorsion de marché en infligeant aux acteurs français des contraintes que leurs concurrents n’ont pas.

De plus, qui va supporter le coût des outils et des procédures ? La question porte ici sur la proportion entre les moyens à mettre en œuvre et l’utilisation par les personnes de leurs droits.

On notera également les différences qui existent avec des pays comme les USA, qui disposent de « Record Manager » et d’outils de « Content Management » conçus pour gérer des informations/données considérées comme un patrimoine et qui permettent une gestion temporelle (durée de vie pour chaque donnée, alerte sur atteinte d’une durée de référence, etc.). Il parait donc pertinent de recueillir la position des documentalistes et des archivistes sur ces questions.

Thème IV : RÉFLEXION SUR L’EXISTENCE D’UN DROIT AU DÉRÉFÉRENCEMENT

IV.1. Le projet de règlement européen introduit un « Droit à l’oubli numérique »

Le projet de règlement européen du 25 janvier 2012 -ainsi que le rapport de M. Albrecht du 8 janvier 2013- mentionne clairement cette expression en son article 17 « Droit à l’oubli numérique et à l’effacement ».

Cet article vient en effet préciser le droit d’effacement prévu à l’article 12, point b) de la directive 95/46/CE et fixer les obligations liées au droit à l’oubli numérique³¹. Entre autres obligations, est à noter celle incombant au responsable du traitement ayant rendu les données à caractère personnel publiques d’informer les tiers qui les traitent que la personne concernée a demandé l’effacement de tout lien vers ces données, ou de toute copie ou reproduction³².

L’article 17 prévoit enfin le droit de limiter le traitement dans certains cas.

Voici les dispositions de l’article 17 de la proposition de règlement :

« I. La personne concernée a le droit d’obtenir du responsable de traitement l’effacement de données à caractère personnel la concernant et la cessation de la diffusion de ces données, en particulier en ce qui concerne les données à caractère personnel que la personne concernée avait rendues disponibles lorsqu’elle était enfant, ou pour l’un des motifs suivants :

a) les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe1, point a, ou lorsque le délai de conservation autorisé a expiré et qu’il n’existe pas d’autre motif légal au traitement de données ;

c) la personne concernée s’oppose au traitement des données à caractère personnel en vertu de l’article 19 ;

d) le traitement des données n’est pas conforme au projet de règlement pour d’autres motifs. »

Les débats autour de ce concept sont animés, car l’équilibre est délicat à trouver avec le devoir de mémoire, la liberté de la presse ou la liberté d’expression. Pour certains, ce droit serait « irréaliste et passéiste », tandis que pour des représentants des groupes de pression américains, ce projet représente « une grande menace pour la liberté de parole sur Internet ».

IV.2. Quelle est la position de la CNIL ?

Si la Commission Nationale Informatique et Libertés ne s’est pas encore positionnée officiellement sur le sujet, plusieurs Membres de la CNIL se sont exprimés à l’occasion d’interviews. On y décèle le souhait que soit institué, dans ce cadre du règlement européen, un droit au déréférencement qui ne serait pas absolu, c’est-à-dire que la demande de déréférencement formulée par le citoyen concernant (certaines de) ses données à caractère personnel serait soumise à conditions de recevabilité. Madame Isabelle Falque Pierrotin s’est exprimée sur le sujet³³ en indiquant son souhait d’un droit au déréférencement qui permettrait au citoyen que ses données personnelles n’apparaissent plus dans les résultats des moteurs de recherche lorsque le droit à l’effacement a été reconnu pour le citoyen.

Edouard Geffray, secrétaire général de la CNIL, défend également cette position³⁴ : « Aujourd’hui, il y a un droit à l’effacement pour motif légitime. Le terme de droit à l’oubli n’existe pas dans la loi. En revanche, l’expression apparaît dans le projet de règlement européen en négociation à Bruxelles.

Pour la CNIL, il apparaît souhaitable que dans ce cadre soit prévu un volet déréférencement. Après il ne s’agit pas d’ouvrir un droit au déréférencement absolu. Est-ce que ce sera à l’autorité de contrôle d’apprécier le motif qui aboutit ou non à l’effacement ou au refus d’effacement ? Honnêtement, les débats ne sont pas encore consolidés pour avoir une mise au clair. »

Le site internet de la CNIL indique : « Le droit au déréférencement n’est, pour la personne qui remplit les conditions pour demander l’effacement de ses données personnelles, que le corollaire du droit d’effacement : il s’agit de pouvoir demander au moteur de recherche d’effacer totalement de ses résultats la donnée dont l’effacement a été obtenu, ainsi que ses répliques ».

IV.3. Avant d’aborder le déréférencement, il nous faut définir la notion de référencement

Une page web est l’un des composants d’un site web. Wikipedia définit un site web comme « un ensemble de pages web hyperliées entre elles et accessibles à une adresse web (une URL) ». Il s’agit donc d’un ensemble de pages de textes, d’images ou vidéos, liées entre elles grâce à des hyperliens (ou liens hypertexte³⁵) permettant de passer d’une page du site à une autre page du même site par un simple clic.

Dès lors, le référencement (ou l’indexation) d’une page web est l’opération permettant à une page

Web d’apparaître dans les moteurs de recherche.

Le contenu est référencé dans les résultats d’un moteur de recherche suite aux passages réguliers et automatiques des robots (spiders, crawlers, agents) de ce moteur de recherche, qui identifient automatiquement chaque page atteinte et la répertorient dans une base de données afin de la rendre accessible aux internautes à partir de mots-clés.

Les robots d’indexation visitent les pages toutes les deux à trois semaines. Toutefois pour certains sites d’actualité, la mise à jour peut être quotidienne.

En janvier 2012, il aurait été recensé plus de 600 millions de sites web.

Attention : certaines notions ne doivent pas être confondues :

• Le crawl est l’opération par laquelle le robot piloté par un moteur de recherche trouve une page web. Le référencement (ou indexation) est l’opération consistant à répertorier certains sites web présents sur la Toile et à les faire apparaître dans les moteurs de recherche. En toute hypothèse un moteur de recherche peut décider de ne pas référencer une page Web que l’un de ses robots a pourtant « crawlée ».

• Le positionnement consiste à ce que pour une expression de recherche, une page d’un site internet soit placée en bonne position, voire en premier, par les différents moteurs de recherche par rapport à d’autres pages Web contenant des informations similaires.

• La suppression/purge des caches consiste en la suppression de l’information, du document, de la photo, de la vidéo sur le site Web d’origine, les réplications – dont les copies temporaires dans les proxy caches.

IV.4. Que cherche-t-on à obtenir via un droit au déréférencement ?

Le déréférencement absolu permettrait que des informations n’apparaissent plus du tout dans les moteurs de recherche en cas de requête.

Il existe également une notion de déréférencement relatif, dans laquelle l’information figure toujours dans les moteurs de recherche, mais est positionnée à un rang tellement lointain qu’elle n’est jamais (rarement ?) consultée. Nous n’avons malheureusement pas trouvé d’étude indiquant quel était le « rang » à partir duquel on peut estimer que l’information ne sera jamais consultée par un internaute.

Des débats autour du projet de création d’un droit à l’oubli (la version en langue anglaise du projet utilise les termes de « droit à être oublié et à l’effacement ») est apparue l’idée qui ferait du droit au déréférencement une sous partie du droit à l’oubli. En quelque sorte le Droit à l’oubli serait la somme de l’effacement pour motif légitime et du déréférencement.

Voici un cas où le déréférencement aurait été apprécié (Affaire Marie C. Swallow³⁶) :

A l’âge de 18 ans, une jeune femme avait participé à une vidéo pornographique, mise en ligne à son insu. Or, depuis, elle est devenue enseignante : Par sa décision du 28 octobre 2010, le TGI Montpellier (ord. réf.) Google a été condamné à désindexer toutes les pages diffusant la vidéo pornographique de la jeune femme, en application de l’article 38.1 de la loi Informatique et Libertés. Le tribunal a rejeté l’argument de l’impossibilité matérielle de la désindexation que présentait la société américaine. Etaient visées les requêtes « M. C. swallows », « M. C. » et « école de laetitia »

L’on notera que dans cette affaire, c’est le moteur de recherche de Google qui était concerné. Mais qu’en est-il des autres moteurs de recherche ? C’est une question importante, car si le déréférencement peut se définir donc comme l’action permettant à une page web de ne plus apparaître dans les résultats des moteurs de recherche, encore faut-il déterminer quels moteurs de recherche sont concernés…

Si Google est le moteur de recherche utilisés par la quasi-totalité des  internautes français, les parts de marché diffèrent fortement au niveau mondial : 65,2% pour Google, 8,2% pour Baidu, 4,9%, pour Yahoo!, 2,8% pour Yandex, 2,5% pour Bing et 16,3% pour les autres moteurs de recherche.

IV.5. Cas de l’Espagne vs Google

Voici un litige très intéressant, car il porte spécifiquement sur un éventuel droit au déréférencement. L’affaire remonte à 1998 : Un journal espagnol avait publié sur Internet l'annonce de la mise en vente d'une propriété immobilière, mise aux enchères suite à saisie pour défaut de payement des contributions de Sécurité sociale. Le texte comportait un lien sur le nom du débiteur. Celui-ci a argué que le délai de prescription était atteint pour ces faits.

La page était référencée par Google et positionnée dans les premiers résultats sur le nom de la personne.

Pour Google, le cas montre bien la difficulté à trouver un équilibre entre la liberté de la presse/d'expression et le droit à l'oubli.

Pour pouvoir se prononcer sur le cas Google Espagne v/ AEPD (la « CNIL » nationale), la Cour nationale d’Espagne a demandé des clarifications à la Cour de Justice de l’Union Européenne (CJUE).

L'Espagne a prié la CJUE de lui apporter des clarifications ;

• Sur la question de la territorialité (Californie ou Espagne ?) ;

• Sur la question de savoir si une indexation est un traitement de données à caractère personnel ;

• Si les droits des personnes concernées s'étendent au refus de l'indexation d'informations qui leur paraissent « négatives » les concernant, et ceci même si ces informations étaient/sont légitimes et exactes.

L’avocat général de la CJUE, Niilo Jääskinen, a publié un avis sur la question le 25 juin 2013³⁷ : « Une demande tendant à faire supprimer des informations légales et légitimes qui sont entrées dans la sphère publique serait constitutive d'une ingérence dans la liberté d'expression de l'éditeur de la page web ». Il estime que, dans le cadre de la Directive 95/46/CE, une autorité nationale en matière de protection des données ne saurait exiger d'un moteur de recherche sur internet qu'il retire des informations de son index, sauf dans des cas précis où des « codes d'exclusion » ont été inclus par l'éditeur, ce qui n'est pas le cas dans l'affaire en question.

L'avocat général souligne aussi que la directive européenne sur la protection des données n'établit pas de « droit à l'oubli » de portée générale, et qu'un tel droit ne saurait donc être invoqué à l'encontre des moteurs de recherche sur internet. Les magistrats ne devraient pas statuer avant la fin de l'année 2013. Suivront-ils l’avis de l’avocat général ?

IV.6. Comment éviter de se faire référencer ?

Nous avons identifié quatre approches pour éviter qu’un contenu publié sur Internet soit référencé :

• Ne pas respecter le standard utilisé par les robots : Cette approche est citée pour mémoire, sa mise en oeuvre technique exigeant un degré élevé de maîtrise technique (par exemple par l’utilisation du standard Web 2). Rien ne dit non plus que les moteurs de recherche ne modifieront pas leurs robots pour s’adapter à ces situations.

• Prendre l’exact contrepied des techniques pour être bien référencé : Sous forme de boutade, un expert du positionnement fait cette recommandation et incite à utiliser des mots-clés clonés de nombreuses fois en fin de page avec la même couleur que le fond, à ne pas remplir les balises titres ni les balises alt des images, à ajouter de nombreux liens réciproques avec des link farms, à ajouter des pages satellites en abusant de toutes les techniques de spam indexing, etc.

• Bloquer le crawl en indiquant la ou les URL des pages pour lesquelles vous souhaitez interdire l'accès. Pour cela, il faut publier ces directives dans le fichier robots.txt à la racine du site.

• Ne pas empêcher le crawl mais positionner dès la publication une commande spécifique demandant aux robots de crawl de ne pas tenir compte de la page.

IV.7. Comment se faire déréférencer ?

Comme indiqué précédemment, le déréférencement est l’action permettant à une page web de ne plus être présente dans les moteurs de recherche.

Dès lors, pour que la page web (ou le site web) n’apparaisse pas dans les résultats des moteurs de recherche, il faut permettre aux robots d’avoir accès à ces pages avec la consigne « ne pas indexer ».

Pour ce faire, plusieurs techniques peuvent être utilisées :

• Installer sur le site Web une balise meta robots noindex : Sa syntaxe est <meta name= « robots » content « noindex, nofollow, noarchive »/>. Si l’on souhaite indiquer les consignes à un seul moteur de recherche plutôt qu’à tous les moteurs de recherche, il suffit de remplacer le mot-clé « robots » par le nom du robot d’indexation du moteur visé (ex googlebot noindex).

• Pour un site hébergé sur serveur Apache, le webmaster peut insérer l’en-tête http-x-robots-tag : avec le mod_headers activé (il suffit de rajouter la ligne ci-dessous dans le fichier .htaccess : Header set XRobots-Tag « noindex, nofollow »).

Il ne faut pas oublier si besoin de « débloquer le crawl »… pour permettre aux robots de lire ces balises ! Paradoxalement, si l’on veut prévenir tout affichage d’une page web dans les résultats, il faut justement laisser les robots accéder à la page en question. C’est le seul moyen de pouvoir leur donner la consigne de ne pas l’indexer dans les serveurs du moteur de recherche.

Ces actions sont-elles efficaces et suivies à la lettre ? Selon certains, « Si les grands robots respectent à la lettre les directives, il faut savoir que d'autres ignorent les interdictions, ou pire encore utilisent ce fichier pour avoir connaissance des zones interdites qu'ils vont fouiller ». Donc comme on peut indiquer les pages à exclure, des robots (mal intentionnés) peuvent aussi les trouver et les fouiller avec quelques lignes de code.

Attention : Ces précautions ne valent que si action est prise rapidement, avant que des liens soient créés. En effet, il faut noter que même la présence d’un robots.txt empêchant l’indexation complète d’un site Web n’empêchera en rien l’apparition du site dans la page de résultat d’un moteur si un ou plusieurs liens pointent vers celui-ci. Pour être efficace, un éventuel texte d’application devrait donc aussi prévoir une obligation pour les responsables des sites Web ayant établi ces liens, de les retirer.

Les liens hypertexte en langage html permettent de faire la liaison entre des pages de sites différents ou du même site : en cliquant sur celui-ci, une nouvelle page du navigateur s’ouvre. Dès lors, si des liens sont créés d’un site vers un autre, ce dernier sera affiché dans les résultats d’un moteur de recherche malgré le travail d’un robot.txt, comme l’indique clairement ci-dessous le moteur de recherche Google :

On voit apparaître ici une notion très importante. Si les précautions n’ont pas été prises dès l’origine et que l’information a été repérée et que des liens pointent sur elles, ce sera beaucoup plus difficile…

Comment faire pour savoir si des liens html pointent sur la page qui doit être déréférencée ? Pour ce faire, il convient d’utiliser la syntaxe « link :url ».

Si l’on a réussi à faire déréférencer la page en question, mais que l’information apparaît toujours sur Internet car elle figure encore dans des caches, il faut alors faire une demande de suppression des pages auprès de l’équipe du moteur de recherche. Google met à la disposition des webmestres de sites internet une procédure de désindexation volontaire pour demander la suppression du lien et du cache des pages supprimées³⁸. Cette procédure nécessite toutefois de disposer d'un compte Gmail… et implique donc une collecte de données personnelles.

S’agissant des moteurs de recherche Bing et Yahoo! Search, les outils pour les webmestres sont disponibles à l’adresse http://www.bing.com/toolbox/webmaster/?cc=fr.

IV.8. Quel lien avec l’effacement actuel ?

L’on peut concevoir aisément le droit au déréférencement comme la prolongation logique du droit à l’effacement pour motif légitime qui existe actuellement : une fois l’effacement accordé au citoyen, il semble en effet normal de modifier le contenu des moteurs de recherche et d’en supprimer la référence aux données effacées.

Notons que cette démarche d’effacement des données, si elle est plutôt simple lorsque la personne s’adresse au responsable du traitement desdites données, semble en revanche nettement plus complexe à mettre en œuvre en cas d’utilisation par un tiers de ces mêmes données…

En effet, la proposition de règlement prévoit en son article 17. 2 :

« Lorsque le responsable du traitement visé au paragraphe 1 a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables, y compris les mesures techniques, en ce qui concerne les données publiées sous sa responsabilité, en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. Lorsque le responsable du traitement a autorisé un tiers à publier des données à caractère personnel, il est réputé responsable de cette publication. »

L’on comprend aisément que l’obligation d’information des tiers pesant sur le responsable du traitement des données visées par la demande d’effacement n’est qu’une obligation de moyens, hors le cas où il a expressément autorisé les tiers. L’effacement des données, et par ricochet l’application du droit à l’oubli, seront donc techniquement difficiles à réaliser.

IV.9. Certains opérateurs interviennent déjà dans le domaine du droit à l’oubli

Ainsi Google a créé en avril 2013 un « gestionnaire de compte inactif » qui permet aux détenteurs de compte Google (Gmail, Drive, Google +, Google reader, YouTube, etc.) de décider de leur vie numérique post mortem. Ainsi, en cas d’inactivité du compte pendant une durée de 3, 6, 9 ou 12 mois et à défaut de réponse à un email d’alerte, les données de l’internaute seront, selon son choix exprimé préalablement, soit entièrement supprimées soit transmises à des proches.

IV.10. Une jurisprudence encore hésitante

Une décision récente a posé que Google Suggest n'est pas un traitement de données à caractère personnel : En effet, ainsi en a décidé le TGI de Paris par une décision du 12 juin 2013, estimant que les suggestions formulées par Google ne constituent pas un traitement de données personnelles au sens de l'article 2 de la loi Informatique et Libertés³⁹. En tapant son prénom et son nom, le plaignant se verra donc encore proposer les qualificatifs d'escroc, de « presse-citron » et de « mongolien ».

En juin 2013, la Cour de Cassation a jugé que Google n’est pas responsable des suggestions proposées par son moteur de recherche⁴⁰. Lorsque des internautes saisissaient le nom d’une société de garantie, celui-ci était systématiquement associé à l’adjectif « escroc ». La 1ère chambre civile de la Cour de cassation a jugé que « la fonctionnalité aboutissant au rapprochement critiqué est le fruit d’un processus purement automatique dans son fonctionnement et aléatoire dans ses résultats, de sorte que l’affichage des « mots clés » qui en résulte est exclusif de toute volonté de l’exploitant du moteur de recherche d’émettre les propos en cause ou de leur conférer une signification autonome au-delà de leur simple juxtaposition et de leur seule fonction d’aide à la recherche » Google ne peut donc pas être tenu responsable de cette publication.

Cet arrêt semble opposé à ce qu’a jugé la Cour fédérale allemande. Par un arrêt en date du 14 mai

2013, la Bundesgerichtshof (BGH)⁴¹  a statué en faveur du requérant et à l’encontre de Google : Le dirigeant d’une société reprochait à Google que la recherche de son nom soit associée aux termes « scientologie » et « fraude », et ce sans fondement. Considérant qu’il y avait là atteinte à ses droits de la personnalité, le demandeur a assigné le moteur de recherche aux fins de réparation à chaque association de ces termes à son nom. La BGH a estimé que si Google se retranchait jusqu’alors systématiquement derrière le rôle des utilisateurs de son moteur de recherche, il lui appartient dorénavant de faire preuve de vigilance en cas de signalement d’association erronée de la part d’un internaute.

Cette décision est à rapprocher d’un cas australien⁴² : En novembre 2012, Google avait été condamné à verser 200.000 $ de dommage et intérêts à un particulier qui avait initié les poursuites en 2009 après que Google a refusé de supprimer des liens renvoyant vers des sites proclamant, à tort, qu'il avait des liens avec le crime organisé de Melbourne. Le jury de la Cour suprême de Victoria a établi que Google n'était effectivement pas responsable du contenu publié sur les sites résultant de recherches opérées via son moteur, mais ce, uniquement jusqu'au moment où le plaignant a émis une requête de filtrage.

A l’inverse, une habitante du Wisconsin a été déboutée par la cour fédérale d'appel de Chicago en mars 2013, après avoir attaqué Google pour des retours jugés obscènes et dégradant associés à son nom et prénom dans le moteur de recherche⁴³.

IV.11. Déjà une obligation d’éviter le référencement ?

Sans attendre la promulgation du futur Règlement européen, certains responsables sont déjà contraints à prendre quelques précautions pour éviter le référencement d’informations spécifiques dans les moteurs de recherche.

Dans le cadre de la loi sur la sécurité du médicament et des produits de santé (loi Bertrand) du 29 décembre 2011, portant sur la transparence sur les liens entre professionnels de la santé et l’industrie pharmaceutique, le décret d’application (dit Sunshine) impose que

« L'autorité responsable du site internet public unique prend les mesures techniques nécessaires pour assurer l'intégrité du site sur lequel elle rend publiques les informations mentionnées à l'article R. 1453-3, leur sécurité et la protection des seules données directement identifiantes contre l'indexation par des moteurs de recherche. ».

En clair, les cadeaux des laboratoires seront diffusés sur Internet, mais interdits de référencement.

Thème V : L’APPORT DU CIL (ET DU FUTUR DPO)

V.1. Quelques pistes à explorer

Plusieurs pistes méritent d’être étudiées afin de donner une chance à un futur droit à l’oubli numérique d’être effectif.

V.1.1. Inciter à la prise de conscience

Piste de réflexion : Faire en sorte que les services tels que les réseaux sociaux, les sites de partage de vidéo propose par défaut à l’utilisateur de fixer, au moment du dépôt, une durée de conservation au terme de laquelle le contenu sera détruit.

Avant de supprimer un document, le moindre PC nous demande « Vous êtes-sûr ? ». Ne peut-on inciter, de façon similaire, les Webmaster de sites sur lesquels il est possible de poster des images, des vidéo, des commentaires :

• d’ajouter systématiquement une étape de type « Vous êtes-sûr ? Vous êtes prêt à assumer la responsabilité du texte ou du contenu que vous êtes sur le point de déposer ? Ayez-conscience également – et même si vous regrettez par la suite- qu’il sera quasiment impossible de supprimer ce contenu de la toile à cause du phénomène de dissémination propre à Internet ».

• d’ajouter, pour le dépôt de photo et de vidéo, l’obligation de spécifier une durée de conservation (ou date de péremption), avec une valeur par défaut (dans certains cas, le webmaster peut imaginer un dispositif d’alerte de l’internaute à l’approche de cette échéance, la durée de conservation de l’adresse email vaudrait la durée de validité choisie par l’internaute).

• d’inviter à une période de réflexion (pas de mise en ligne immédiate, mais différée) ;

• de proposer de manière plus visible une fonction de type miroir (« Voici ce que le monde entier pourra savoir de toi ») ;

• de proposer une confirmation avec invite de prise de connaissance des moyens pour maîtriser son exposition.

Cette approche ne demande pas de modification des standards et permettrait aux internautes de prendre conscience de leurs responsabilités et du caractère quasiment définitif de leurs actions (même si cette initiative ne s’applique qu’à des sites soumis à la loi française, on peut espérer que la prise de conscience s’applique également quand l’internaute s’apprête à déposer un contenu sur un site étranger). Cette approche répondrait au concept de Privacy by Design.

V.1.2. Mieux maîtriser la mise en cache

Malgré la suppression de certaines données personnelles sur le site Web d’origine, les informations personnelles qui posent problème peuvent rester plusieurs semaines, voire plusieurs mois, accessibles sur la Toile car conservées par des caches intermédiaires⁴⁴.

Dans le protocole HTTP, les entêtes de type “Cache-Control” peuvent être utilisées pour spécifier des directives que tout système de cache doit appliquer. Parmi celle-ci figure le paramètre « Cache-Control:max-age=x » qui peut être utilisé pour spécifier le temps maximum pendant lequel un objet peut être conservé dans le cache⁴⁵.

Piste de réflexion : cette approche est utilisée principalement par les webmasters pour les images (C’est même une recommandation, cf. « High Performance Web Sites: Rule 3 - Add an Expires Header⁴⁶» ). Pourrait-elle être renforcée et étendue à d’autres contenus postés sur les sites Web ? Pourrait-on inciter à la création d’une métadonnée (associée à la donnée à caractère personnel) qui spécifierait une durée de vie (forcément renseignée et d’une valeur maximal en relation avec la durée de conservation définie selon la finalité du traitement) ?

Cette approche répondrait au concept de Privacy by Design. Toutefois il faut se souvenir que l’actuelle loi Informatique et Libertés ne s’applique pas aux caches (cf. Article 4). Le texte qui sera issu du projet de règlement comportera-t-il une exclusion similaire ?

V.2. Le CIL, facteur de relations apaisées

Au sein des entreprises et des collectivités, nulle autre fonction que le CIL (ou le futur DPO prévu dans le projet de règlement européen) est à même d’appréhender toutes les facettes de la conformité Informatique & Libertés.

En amont, il peut orienter un projet concernant des données personnelles (Privacy by Design). En aval, il peut en assurer l’analyse et proposer des optimisations (Privacy by re-Design).

Concernant les droits des personnes (information, accès, rectification, opposition) au titre de la Loi Informatique & Libertés, le CIL peut :

• proposer des formulations compréhensibles par les personnes concernées, mais conformes au droit et susceptibles d’assurer la sécurité juridique du responsable de traitement ;

• concevoir ou aider à la conception des procédures adéquates ;

• en surveiller la bonne application ;

• agir en support des services opérationnels ;

• tenir des statistiques ;

• procéder aux analyses et en tirer conséquences et conseils au responsable du traitement.

Il peut faire de même concernant les demandes de désinscription au titre de la LCEN. Lors d’opérations marketing mettant en œuvre des tiers (loueurs de fichiers, routeurs d’emails, etc.), il peut s’assurer du respect des contraintes et au respect de la prise en compte effective des droits des personnes⁴⁷.

Le CIL est indéniablement un facteur de « pacification » des relations entre une entité et ses clients/prospects/usages/patients.

Les organisations qui ont désigné un CIL et qui ont mis en place une procédure efficace de gestion des demandes de droits d’accès en témoignent.

Le CIL est donc l’acteur incontournable pour que les modalités concrètes de mise en œuvre d’un « droit à l’oubli » aient quelques chances d’être mises en place, notamment veiller à ce que les données personnelles soient purgées à l’issue de la durée de conservation et pour protéger les personnes contre le détournement de leurs données personnelles.

V.3. Droit à l’oubli numérique : Quel rôle pour le futur DPO ?

Si un « droit à l’oubli numérique et au déréférencement » prenait corps, quel serait le rôle du CIL (ou du futur DPO – Data Protection Officer) ?

Suite aux réflexions menées par l’AFCDP, association qui représente les CIL et les professionnels de la conformité à la loi Informatique et Libertés, voici quelques pistes qui peuvent être imaginées concernant le rôle du CIL dans l’application d’un éventuel droit au déréférencement :

• Formaliser une procédure avant toute publication comportant des données à caractère personnel sur un site Web, pour pouvoir décider de façon préalable de placer les robots de non-indexation ;

• Réfléchir à la formalisation d’une durée de vie pour les éléments postés ;

• Etudier la possibilité d’utiliser des métadonnées permettant la gestion des durées de vie et des purges ;

• Se former sur les techniques de désindexation ;

• Sensibiliser les Webmaitres/Webmaster ;

• Créer une procédure de gestion des demandes de désindexation ;

• Présenter le CIL comme point de contact pour les demandes de désindexation ou, a minima, le désigner comme garant de la bonne prise en compte des demandes et de leur gestion.

La désignation d’un CIL par tout organisme mettant en œuvre un ou des sites Internet/des réseaux sociaux devrait donc être fortement encouragée.

VI. Conclusion

Si un droit à l’oubli numérique était créé à l’occasion de la promulgation du règlement européen appelé à remplacer la loi Informatique et Libertés, il conviendrait que celui-ci soit clairement formulé, afin de permettre aux délégués à la protection des données personnelles de veiller à son respect de façon opérationnelle afin de protéger la vie privé des personnes concernées mais aussi de maîtriser les risques juridiques qui pèsent sur les responsables de traitement.

Il conviendrait aussi que le rôle du Délégué à la protection des données soit explicitement mentionné, afin de donner une chance à ce nouveau droit d’être effectif.

---

1. Aucune occurrence dans le texte de loi Informatique & Libertés. Il ne semble pas non plus que le terme d’oubli existe dans d’autres textes de loi français.

2. Cette contrainte n’existe pas outre Atlantique. Il est intéressant de noter que, malgré cela, la majorité des entreprises américaines prennent un grand soin à purger les données qui ne leur sont d’aucune utilité, par crainte d’être exposées à une forte charge en cas d’incident de sécurité (gestion des Data Breach). L’auteur de ces lignes fait le pari que les responsables de traitement européens seront plus attentifs au respect des durées de conservation dans l’hypothèse où le règlement appelé à remplacer la directive 95/46CE intègre une disposition de type Data Breach Notification.

3. On notera que cette information est peu fréquemment communiquée par la CNIL lors des demandes d’informations suite à l’exercice du droit de l’article 31.

4. « Archivage électronique dans les entreprises : recommandations de la CNIL »

5. Article 40 : « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».

6. Il s’agit là d’un point de débat en lui-même : qu’est-ce qu’un « motif légitime » ?

7. Article 38 : « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur ».

8. Certaines personnes utilisent une autre stratégie qui consiste à polluer les bases de données marketing en fournissant des réponses erronées.

9. Dans la réalité, il existe de nombreux exemples où cette faculté n’est pas réellement offerte aux personnes concernées, ou bien d’une façon qui de respecte pas l’esprit (exemple : Pour passer commande d’un bien ou d’un service, il faut obligatoirement donner son accord

10. On notera ici les distinctions entre les notions de « ne plus figurer dans les fichiers de prospection » et « ne plus figurer dans aucun fichier de l’entreprise ».

11. Ce que la CNIL vulgarise sur son site Web par « Sachez aussi que même si vous étiez d'accord au départ pour fournir des informations vous concernant, vous pouvez changer d'avis et demander à ne plus être fiché ».

12. Modifiant le décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004

13. Hors action de la personne concernée, les données doivent être purgées « naturellement » à la fin de la durée de conservation déclarée ou inscrite au registre (en cas de désignation d’un CIL).

14. Sur ce même sujet, le plan numérique pour 2012, présenté le 20 octobre 2008 par Eric Besson, alors secrétaire d'Etat chargé de la Prospective et du Développement de l'économie numérique, insistait sur l'importance de ce droit dans la protection de la vie privée : « l'internaute doit garder le contrôle de l'information diffusée », indique le point 45.

15. Fondation Internet Nouvelle génération fing.org

16. Association Française des Correspondants à la protection des Données à caractère Personnel www.afcdp.net

17. La réglementation fédérale américaine CANSPAM Act donne dix jours au professionnel pour prendre en compte les désinscriptions. On ne connaît que trop le ressenti de l’internaute qui continue à recevoir des messages plus d’un mois après sa demande. Le texte américain fait également obligation aux professionnels de conserver opérationnel le moyen de désabonnement un mois après l’envoi des messages.

18. Pourtant, d’après la CNIL, « L’utilisateur de Google Latitude peut désactiver ou suspendre le service à tout moment ». CNIL, Contrôler Latitude, http://www.cnil.fr/la-cnil/actu-cnil/article/article/91/controler-latitude/.

19. Début 2008, la CNIL a été saisie d’une douzaine de plaintes de personnes ayant rencontré des difficultés pour exercer leur droit d’opposition auprès de CDiscount. Quel que soit le moyen utilisé, lien de désinscription figurant sur le courriel, courrier postal ou appel téléphonique, les désinscriptions n’étaient jamais réalisées. La CNIL a donc mis en demeure la société de prendre en compte, de manière efficace, systématique et immédiate, le droit d’opposition à recevoir de la prospection commerciale.

20. L’AFCDP a apporté son soutien à une thèse professionnelle réalisée dans le cadre du Mastère Spécialisé « Informatique & Libertés » de l’ISEP et qui portait sur les moyens nécessaires au Correspondant Informatique et Libertés pour accomplir ses missions.

21. Nous nous limitons au droit d’accès direct.

22. La CNIL a, par exemple, prononcé une sanction pécuniaire à l’encontre de la société Neuf Cegetel sur ce fondement le 12 juin 2008.

23. Il est demandé aux étudiants d’exercer leur droit d’accès. Une promotion sollicite ainsi plus de 150 organismes.

24. Modifiant lui-même le décret n° 2005-1309 du 20 octobre 2005 pris pour l'application de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée par la loi n° 2004-801 du 6 août 2004.

25. « Mais où ont-ils obtenu mon adresse ? » C’est, en toute logique, la première question que se pose un internaute à la réception d’un message publicitaire électronique.

26. http://www.pcinpact.com/actu/news/53221-cnil-base-mutualisee-accord-collecte.htm

27. Par ailleurs nous n’en avons pas trouvé le fondement juridique. Cette recommandation fait elle officiellement partie de la doctrine de la CNIL ?

28. Le débat est apparu dès le début des années 2000 avec l’indexation des newsgroup et l’accès à ces newsgroup via les moteurs de recherche (Jeffrey Rosen « Unwanted Gaze – The Destruction of Privacy in America » 2000 – Arnaud Belleil « e-Privacy » 2001).

29. Il faut reconnaître que ce point est complexe, même pour les spécialistes.

30. L’approche américaine ne connaît pas le droit à l’oubli : aucune obligation de purger les données à l’issue d’une période de conservation légitime. Seule exception, très récente : en septembre 2013 le gouverneur de Californie a signé une loi qui contraint les acteurs de l'Internet à retirer des contenus en ligne à la demande de mineurs (ils peuvent conserver les informations en base). L'obligation rentrera en vigueur en 2015.

31. Cf. Explication détaillée de la Proposition de Règlement du Parlement européen du 25/01/2012 – page 10 de la Proposition

32. Considérant n° 54 de la proposition de règlement du Parlement européen du 25/01/2012 – page 29 de la Proposition

33. France Info, Droit d’oubli sur Internet, Le droit d’Info, 12 avril 2012

34.  Edouard Geffray, Secrétaire Général de la CNIL, PC Impact

35. Cf. Infra l’explication des liens hypertexte html

36. Marie C. / Google France et Inc http://www.legalis.net/spip.php?page=jurisprudence-decision&id_article=3121

37. http://curia.europa.eu/jcms/upload/docs/application/pdf/2013-06/cp130077fr.pdf

38. http://support.google.com/webmasters/bin/answer.py?hl=fr&answer=164734

39. http://juriscom.net/wp-content/uploads/2013/06/tgiparis20130612.pdf

40. Civ 1, 19/06/2013, pourvoi n°12-17.591

41. BGH, 14.05.2013 – VI ZR 269/12

42. http://tempsreel.nouvelobs.com/medias/20121112.OBS8964/google-condamne-pour-ses-resultats-de-recherche-enaustralie.html

43. http://www.generation-nt.com/google-juge-non-responsable-resultats-son-moteur-recherche-actualite-1704272.html

44. Ces moyens techniques ne semblent pas tomber dans le périmètre de la Loi Informatique & Libertés (cf. son article 4).

45. Un paramètre similaire est utilisé pour définir la durée de vie des cookies.

46. http://developer.yahoo.net/blog/archives/2007/05/high_performanc_2.html

47. Il peut arriver que des demandes de désinscriptions adressées au routeur d’email ne soient pas transmises au donneur d’ordre ou au maitre du fichier concerné, ou que celui-ci n’en tienne pas compte.