INTERVENTION PJL RELATIF A LA PROTECTION DES DONNÉES – 4 MINUTES
Monsieur le Président,
Madame la ministre,
Mes chers collègues,
Ce projet de loi ne doit pas seulement être considéré comme la conséquence du règlement européen relatif à la protection et à la libre circulation des données. Par-delà, il est un texte très important, recelant de nombreux enjeux contemporains ayant trait au numérique : enjeux juridiques, avec la protection des données personnelles ; enjeux économiques, avec la stimulation et la diffusion de l’innovation ; enjeux scientifiques, avec la profusion de données rendues accessibles, ce qui ouvre de nouveaux champs d’exploration, notamment pour la recherche publique ; enjeux sécuritaires et géopolitiques, avec l’échange de données entre les Etats pour des motifs de maintien de l’ordre public ; enfin, enjeux philosophiques, culturels, car cette littérature nous conduit nécessairement à interroger notre rapport au numérique, aux données, dans un contexte où nombre de nos concitoyens ont des inquiétudes et parfois, ont l’impression de n’avoir aucune prise en la matière.
Puisque ce projet de loi modifie en profondeur la loi fondatrice de 1978, il est tout d’abord légitime de veiller à ce que les droits et libertés inscrits à l’article 1er de cette grande loi soient toujours effectifs. Le renversement de paradigme qui est opéré, avec le passage d’une logique de déclaration ou d’autorisation préalable à une logique de responsabilisation et de contrôle des acteurs mettant en œuvre des traitements, ne doit pas se traduire par un affaiblissement des libertés individuelles et publiques.
A ce sujet, le Sénat a toujours porté une vigilance aigüe au respect de la vie privée et à la protection des données à caractère personnel, droit fondamental désormais à part entière dans l’ordre juridique européen. Ce fut en particulier le cas lors du débat sur le projet de loi pour une République numérique.
Le groupe socialistes et républicains s’inscrit naturellement dans cette tradition ; et c’est pourquoi, nous proposerons plusieurs amendements (sur les algorithmes, les données sensibles par exemple) qui s’attachent à garantir la sauvegarde de ces droits fondamentaux.
Indépendamment du développement et de l’irrigation des nouvelles technologies ainsi que de l’intelligence artificielle au sein de notre société, il ne faut jamais perdre de vue que la loi de 1978 est intrinsèquement et premièrement une loi protectrice des libertés individuelles et publiques. C’est une loi-socle équilibrée, riche, reconnue et rassurante aussi bien pour les acteurs concernés que pour les citoyens. En tant que parlementaires, nous devons nous assurer qu’elle ne soit pas affadie, dépréciée.
Autre institution reconnue et rassurante, la CNIL est également fortement impactée par le règlement européen. En effet, son rôle est amené à évoluer vers deux directions : l’accompagnement des opérateurs, des entreprises, des collectivités territoriales en amont, et la consolidation du volet répressif en aval (plaintes, contrôles et sanctions). Cette mutation substantielle est directement induite par le changement de paradigme mentionné précédemment.
D’ailleurs, la CNIL a d’ores et déjà anticipé ces évolutions, en produisant des instruments de droit souple (packs de conformité, valorisation de démarches, codes de bonne conduite etc.) Néanmoins, il est évident que l’application du RGPD, combinée à la démultiplication de ses missions, représente un changement d’échelle pour l’autorité administrative indépendante.
Par conséquent, afin que la CNIL puisse mener à bien son action, et par cet intermédiaire continuer à maintenir un haut niveau de protection des données personnelles conformément aux dispositions européennes, il se révèle essentiel de renforcer les moyens dont elle dispose. A titre de comparaison, les effectifs de la CNIL grecque ont quasiment triplé entre 2017 et 2018 et ceux de la plupart des Etats membres ont augmenté entre 20 et 50%.
Car ce texte, et j’en finirai là mon propos, est d’une très grande importance, puisqu’il marque un profond changement de paradigme. Or, je pense qu’il nous tient tous à cœur de préserver la spécificité de la protection des données en France, avec une CNIL qui incarne, en quelque sorte, ce modèle français et européen.
Pour ce faire et être à la hauteur de cet enjeu, la CNIL a et aura besoin d’être renforcée ; c’est affaire de crédibilité aux yeux de nos concitoyens et c’est affaire de légitimité afin de porter ce modèle au dehors des frontières de l’hexagone.
Je vous remercie.
Protection des données (RGPD) : les 3 modifications de la loi au Sénat
22 mars 2018 Leo Guittet Aider/&/Entreprendre La voix des entreprises
Le projet de loi relatif à la protection des données visant à sur adapter le droit français au RGPD reçoit petit-à-petit de nouvelles briques au fil des discussions au Parlement.
Comme nous vous l’annoncions, les débats au Sénat ont repris le 20 mars et les sénateurs ont, dès la première journée, déjà apporté quelques modifications intéressantes à souligner.
Les objets connectés intégrés dans la loi « RGPD »
Le groupe Union Centriste, par la voix de Catherine Morin-Desailly, a ajouté un alinéa non négligeable à l’article 1 du projet de loi. Cet alinéa précise que la CNIL peut décider de certifier des objets connectés, qui font l’objet d’une commercialisation directe auprès des consommateurs, afin de reconnaître officiellement qu’ils sont conformes au RGPD, mais pas seulement. La certification portera également sur la possibilité pour les utilisateurs de désactiver la collecte des données ainsi que sur la mise en oeuvre d’une sécurité répondant à des exigences élevées.
Un décret devra définir les modalités de certification par la CNIL.
Par effet domino, nous nous doutons bien que les entreprises commercialisant des objets connectés et qui n’obtiennent pas une telle certification RGPD risqueront d’être fortement pénalisées dans leur activité. Il n’y a qu’à espérer que la procédure de certification RGPD ne sera pas un parcours du combattant favorisant les grandes entreprises au détriment des petites qui n’auront pas les moyens de constituer les dossiers requis.
La CNIL listera les traitements nécessitant une consultation préalable
Le groupe socialiste et républicain, par la voie de Sylvie Robert, a fait adopter un amendement important pour transformer une possibilité en obligation. En effet, jusqu’à maintenant l’alinéa 17 de l’article 1 du projet de loi disposait que la CNIL « peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4.
Avec l’amendement le « peut établir » se transforme en « établit ». C’est-à-dire que la CNIL va dresser la liste de tous les types de traitements de données personnelles dites sensibles qui devront obligatoirement faire l’objet d’une consultation auprès d’elle.
Cet amendement durcit le projet de loi car, à la lecture du RGPD, la consultation préalable de la CNIL n’est obligatoire que si l’analyse d’impact réalisée par le responsable du traitement décèle un risque élevé. Or, l’amendement adopté va plus loin que le RGPD et prévoit qu’une liste arbitraire obligera tous les responsables des traitements de données personnelles présents dans cette liste à consulter la CNIL, quel que soit le résultat de l’analyse d’impact.
En réalité, tout dépendra de la manière dont la CNIL rédigera sa liste et décrira les traitements, l’amendement reste tout de même un joli tour de passe-passe pour les connaisseurs du RGPD…
Le Sénat rend obligatoire le chiffrement des données personnelles
Par un amendement insérant un article additionnel relatif aux obligations du responsable du traitement, les sénateurs, portés par Marie-Thérèse Bruguière, ont créé l’obligation, quasi-systématique, de chiffrer les données personnelles traitées. Comment ? C’est simple, l’amendement adopté fait suite à l’article 34 de la loi informatique et libertés du 6 janvier 1978 disposant que « Le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès« .
L’amendement précise que les précautions utiles prises par le responsable du traitement l’obligent « chaque fois que cela est possible, [que] les données soient chiffrées de sorte à n’être accessibles qu’au moyen d’une clef mise à la seule disposition des personnes autorisées à accéder à ces données ».
Cet amendement est très aléatoire et pourrait faire s’arracher les cheveux à plus d’un responsable de traitement. D’abord, il signifie que toutes (oui, toutes) les données personnelles devront faire l’objet d’un chiffrement. Quand on connait l’étendue du champ des données personnelles gérées par une seule petite TPE qui peine déjà à préparer le RGPD, alors on commence à réaliser l’impact que cela aura…
Et que veut dire l’expression « chaque fois que cela est possible » ? Qui évaluera le pourcentage de possibilité ? Dans le même temps on peut se demander comment les responsables de traitement vont faire pour chiffrer toutes les données personnelles déjà récupérées et qui n’auraient pas forcément fait l’objet d’un chiffrement.
Cette mesure qui part sûrement d’un bon sentiment pourrait avoir un impact très important, probablement pas mesuré par les sénateurs, sur tous les traitements de données personnelles.
Argumentaires de tous les amendements proposés par Sylvie Robert
Argumentaire amendement n°121 – PJL Protection des données personnelles (article 1er, alinéa 17)
Si je voulais paraphraser l’adage, je dirais que « le Diable se cache (parfois) dans les « peut ». En effet, ce texte regorge de dispositions formulées comme des possibilités laissées aux différents acteurs concernés. Dans certains cas, cette rédaction s’entend parfaitement ; dans d’autres, elle apparaît plus incertaine, plus contestable.
L’alinéa 17 de l’article 1er illustre parfaitement ce propos. En l’état, il est précisé que la CNIL « peut établir une liste des traitements susceptibles de créer un risque élevé devant faire l’objet d’une consultation préalable conformément à l’article 70-4 » (de la loi de 1978).
J’insiste, nous sommes dans le cadre de traitements présentant un « risque élevé » pour les droits et libertés des individus. En l’occurrence, ces traitements, en vertu de l’article 70-4 réécrit par le présent projet de loi, portent notamment sur des données sensibles telles que les origines raciales ou ethniques, les opinions politiques ou philosophiques, les convictions religieuses, les données de santé etc.
Par conséquent, eu égard au « risque élevé » que font peser ces traitements sur les droits et libertés des personnes, il convient de passer d’un régime facultatif à un régime obligatoire, et de faire en sorte que la CNIL établisse la liste de ces traitements.
En outre, je rappellerai que très majoritairement, la formulation retenue pour définir les missions de la CNIL à l’article 11 de la loi de 1978 est celle du présent qui impose. A titre d’exemple, « elle autorise les traitements », « elle reçoit les réclamations », « elle établit et publie les normes mentionnées … » etc.
C’est pourquoi, nous proposons cette rédaction alternative, à la fois par cohérence rédactionnelle et par esprit de protection des droits et libertés mentionnés à l’article 1er de la loi CNIL.
Je vous remercie.
ADOPTÉ
Argumentaire amendement n°122 – PJL Protection des données personnelles (article additionnel après article 1er)
Cet amendement est, à nos yeux, très important. Il ouvre un débat relatif au sujet même de ce projet de loi, à savoir la protection des données à caractère personnel, mais plus largement, il pose un enjeu démocratique à travers le statut et le rôle que pourraient être amenés à jouer les futurs délégués à la protection des données.
Ce week-end, plusieurs journaux ont révélé ce qui s’apparente, de manière croissante, à un véritable scandale. En effet, une entreprise aurait recueilli les données personnelles de plus de 50 millions de personnes, sans leur consentement, sur le réseau social le plus utilisé au monde.
Par la suite, cette entreprise se serait servie de ces données pour prédire et influencer le vote des électeurs en faveur de l’actuel Président américain. Outre que cette révélation souligne la nécessité de réfléchir à la problématique du recueillement et de la commercialisation de données personnelles à des fins électorales, elle met en exergue, en filigrane, le rôle crucial que vont remplir, à l’avenir, les délégués à la protection des données personnelles (DPO).
En un sens, le DPO sera la clef de voûte sur laquelle reposera l’application du règlement. A la fois conseil du responsable et du sous-traitant mettant en œuvre le traitement, garant du respect des obligations leur incombant, point de contact de l’autorité de contrôle ainsi que des citoyens s’enquérant d’une information, il aura une position stratégique et une vision synoptique.
Il sera donc en capacité de déceler les éventuels manquements ou violations liés à la protection des données personnelles, sous réserve de lui garantir les conditions idoines à l’exercice de ses missions, notamment en termes d’indépendance. Dans les cas les plus graves, à l’image de celui mentionné précédemment, où les atteintes aux droits sont à la fois massives, de par leur ampleur, et à la fois considérables, de par leur nature, il s’avère essentiel de permettre au DPO de jouer pleinement son rôle de vigie, de révélateur de pratiques contraires aux droits fondamentaux.
C’est pourquoi, nous proposons que lorsque le délégué à la protection des données signale, de manière désintéressée et de bonne foi, des violations graves, manifestes et répétées des droits et libertés mentionnés à l’article 1er de la loi CNIL, il puisse bénéficier du statut de lanceur d’alerte, crée par la loi Sapin II.
Aller dans ce sens, c’est agir dans deux directions bien précises :
- Soutenir a maxima l’action du DPO, en lui assurant un statut protecteur qui le met à l’abri de possibles représailles provenant des responsables et sous-traitants de traitements ;
- C’est répondre à l’enjeu démocratique que constitue la protection des données personnelles, en incitant les DPO à révéler les violations graves en la matière.
Il est quasi-évident que d’autres scandales, dysfonctionnements, entorses à la réglementation éclateront. Il faut donc s’en prémunir autant que faire se peut et, je crois, qu’octroyer le statut de lanceur d’alerte au DPO dans certains cas bien précis est une manière pertinente d’y parvenir.
Je vous remercie.
RETIRÉ
Amendement n°135 rectificatif – PJL Protection des données personnelles (article 12)
Alinéa 5, seconde phrase
Remplacer cette phrase par deux phrases ainsi rédigées :
Les conditions et garanties appropriées prévues à l’article 89 du même règlement sont déterminées par le code du patrimoine et les autres dispositions législatives et réglementaires applicables aux archives publiques. Elles sont également assurées par le respect des normes conformes à l’état de l’art en matière d’archivage électronique.
Objet
Par son article 89, le RGPD permet aux traitements à des fins archivistiques dans l’intérêt public de déroger à certains droits en contrepartie de conditions et garanties appropriées. Cette disposition ne concerne que les archives « définitives » ou archives « historiques » et seulement les traitements des services publics d’archives (archives nationales, régionales, départementales, communales et intercommunales), qui ont pour mission de collecter les archives publiques à l’issue de leur durée d’utilité administrative.
La gestion de ces archives est encadrée par un ensemble de textes législatifs et réglementaires très dense. On dénombre ainsi plus de 150 dispositions dans le code du patrimoine, des dizaines de dispositions inscrites dans d’autres textes, notamment dans le code des relations entre le public et l’administration (droit d’accès aux documents administratifs et droit de la réutilisation des informations publiques) et plus d’une centaine d’instructions ministérielles. Toutes les étapes de la « chaîne archivistique » (tri et sélection, traitement, conservation, communication) sont ainsi juridiquement très encadrées. Ce corpus législatif et réglementaire et le respect des normes en matière d’archivage électronique apportent des garanties fortes et suffisantes. Une nouvelle couche de droit n’est pas nécessaire et apporterait une complexité inutile.
Par ailleurs, le décret d’application de l’article 6 de la loi pour une République numérique, dont la parution, après avis de la CNIL, devrait intervenir prochainement, déterminera précisément les conditions de diffusion sur Internet des documents d’archives et de leurs instruments de recherche.
Des dispositions réglementaires supplémentaires sont donc inutiles pour les traitements archivistiques mis en œuvre par les services publics d’archives.
NB : La présente rectification porte sur la liste des signataires.
ADOPTÉ
Amendement n°136 – PJL Protection des données personnelles (article 12)Alinéa 5, première phrase
Après la référence : 15
insérer la référence : , 16
Objet
Par son article 89 le RGPD permet aux traitements archivistiques dans l’intérêt public, mis en œuvre par les services publics d’archives, de déroger à certains droits des personnes concernées par les traitements, et en particulier à son article 16 relatif au droit de rectification. Cette dérogation était inscrite dans le projet de loi initial.
En effet, il est nécessaire que les traitements mis en œuvre par les services publics d’archives dérogent au droit de rectification. Les traitements visés par l’article 12 ne portent que sur les « archives définitives » ou « archives historiques » et en aucun cas sur les archives « courantes » et « intermédiaires », également appelées « archives vivantes » qui sont, quant à elles, bel et bien soumises au droit de rectification. Mais, à l’issue de la durée d’utilité administrative des documents, qui correspond, en droit Informatique et Libertés, à la durée du traitement initial, les archives qui sont sélectionnées pour être conservées à titre définitif par un service public d’archives ne doivent plus être modifiées. Il en va de leur intégrité et de leur authenticité, deux grands principes de l’archivistique.
Les informations que comportent les archives historiques sont souvent périmées et incomplètes du seul fait de leur ancienneté. Elles comportent parfois des inexactitudes et des erreurs volontaires (par exemple lettres de dénonciations, telles qu’on les conserve pour la Seconde Guerre mondiale). Accorder un droit de rectification sur ces archives historiques reviendrait à porter atteinte à leur authenticité, qui est à distinguer de la notion de véracité. Le constat de la véracité des informations relève de l’analyse critique des documents et du recoupement des sources par les chercheurs, auxquels ces documents sont destinés. L’archiviste doit quant à lui en garantir l’authenticité.
Un droit à rectification sur des archives historiques générerait de surcroît une charge de travail extrêmement lourde pour les agents des services d’archives nationales, régionales, départementales et communales qui conservent des milliers de km de documents et des centaines de téraoctets de données et qui devraient vérifier le bien-fondé des corrections demandées sur des documents parfois vieux de plusieurs décennies et en seraient souvent incapables.
ADOPTÉ
Argumentaire amendement n°137 – PJL Protection des données personnelles (article 7)
Cet amendement est d’ordre rédactionnel, mais il revêt une certaine importance. En effet, actuellement, l’article 8 de la loi de 1978 dispose « qu’il est interdit de collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques … »
Or, la nouvelle rédaction proposée par le présent article omet les termes « directement ou indirectement ». Certes, ladite rédaction est quelque peu différente, puisqu’elle substitue aux mots « font apparaître », celui de « révèlent ». Néanmoins, ce changement n’est pas de nature à expliquer la raison pour laquelle les termes « directement ou indirectement » ont été effacés.
Pourtant, ils ont d’autant plus de sens qu’ils servent à qualifier la manière dont sont « révélées » des données, je le rappelle, sensibles. A des fins de clarté juridique et de vigilance sur ces données sensibles, il est donc proposé de réintroduire les termes « directement ou indirectement ».
Je vous remercie.
REJETÉ
Argumentaire amendement n°138 – PJL Protection des données personnelles (article 14, alinéa 5)
L’article 14 du projet de loi est l’un des plus essentiels. Il a trait aux décisions administratives automatisées, autrement dit aux algorithmes, qui ont des incidences non négligeables et peuvent produire des effets juridiques. Il convient donc de porter une attention toute particulière aux garanties qui encadrent leur recours.
Le paragraphe premier de l’article 22 du règlement européen consacre un principe général selon lequel : « la personne concernée a le droit de ne pas faire l’objet d’une décision fondée exclusivement sur un traitement automatisé, y compris le profilage ».
Néanmoins, trois dérogations sont prévues à ce principe. L’une d’elles est énoncée à l’alinéa 5 du présent article. Le recours aux décisions administratives automatisées, sur le fondement d’un traitement de données à caractère personnel, est autorisé à condition qu’il ne porte pas sur des données sensibles telles que définies à l’article 8 de la loi CNIL.
Ainsi, l’objectif de cet amendement est de compléter les garanties apportées dans le cadre du recours aux décisions administratives automatisées, par exemple Parcoursup, dont nous avons beaucoup débattu récemment. Pour rappel, le règlement européen dispose que ce recours n’est possible que si « des mesures appropriées pour la sauvegarde des droits et libertés et des intérêts légitimes de la personne concernée » sont prévues.
C’est à cette fin qu’il est proposé d’ajouter que le recours aux décisions individuelles automatisées n’est autorisé que dans l’hypothèse où l’intéressé peut exprimer son point de vue et surtout, contester la décision qui en résulte. Ces deux précisions figurent au paragraphe 3 de l’article 22 du règlement européen, mais ne semblent s’appliquer, en l’état, qu’aux deux autres dérogations.
Or, étant donné les conséquences juridiques qui peuvent découler de l’usage des algorithmes, il se révèle fondamental d’établir un cadre protecteur des droits des personnes, en insistant singulièrement sur la prépondérance du droit au recours.
Je vous remercie.
ADOPTÉ
Argumentaire amendement n°139 – PJL Protection des données personnelles (article 15, alinéa 2)
Comme précédemment, il s’agit d’un amendement rédactionnel ayant une portée non négligeable. Pour rappel, l’article 15 a trait à la limitation du droit à la communication d’une violation de données. Par essence, la limitation de ce droit doit être la plus légitime et la plus faible possible, au risque de l’affaiblir et de porter préjudice aux droits des individus.
Ainsi, un décret pris en Conseil d’État, après avis de la CNIL, doit « fixer la liste des traitements et des catégories de traitements autorisés à déroger au droit à la communication d’une violation de données lorsque la notification d’une divulgation ou d’un accès non autorisé à ces données est susceptible de représenter un risque pour la sécurité nationale, la défense nationale ou la sécurité publique ».
Les motifs retenus sont absolument légitimes pour justifier de la dérogation du droit à la communication. En revanche, ce qui pourrait être amélioré, c’est le degré de caractérisation du « risque ». C’est pourquoi, nous proposons de préciser que pour limiter le droit à la communication d’une violation de données, le risque doit être « élevé ».
Je vous remercie.
RETIRÉ
Argumentaire amendement n°140 – PJL Protection des données personnelles (article 15)
« Quand faut-il se souvenir ? Quand est-il préférable d’oublier ? » interroge l’écrivain Kazuo Ishiguro. Les données personnelles sont un rempart contre l’oubli, elles sont les traces de chacun. Elles peuvent révéler l’état civil, les préférences, les intérêts, en somme tout ce qui constitue l’identité d’un individu. Si ce dernier livre ces informations à un moment donné, il peut légitimement vouloir qu’elles n’apparaissent plus ultérieurement au motif du respect de sa vie privée notamment.
C’est dans ce sens que la loi pour une République numérique, votée en 2016, a représenté une véritable avancée, en créant un droit à l’oubli. Bien évidemment, ce droit n’est pas absolu et doit être concilié avec d’autres considérations tout aussi importantes, tels le droit à l’information, la recherche scientifique ou d’autres finalités d’intérêt public.
Néanmoins, ce droit a une portée limitée aujourd’hui. En effet, une condition de minorité s’applique. Pour être plus précis, si tout un chacun peut se prémunir de ce droit, il ne peut le faire que pour des données qui ont été collectées lorsqu’il était mineur.
Certes, cette disposition permet de gommer certaines « erreurs de jeunesse » pourrait-on dire. Mais elle semble incomplète et difficilement justifiable sur le fond. Pourquoi une personne qui voudrait effacer des données personnelles qui ont été collectées quand elle avait 17 ans et 9 mois peut le faire, quand une autre ne le peut pas, puisqu’elles auraient été collectées quand elle avait 18 ans et 3 mois ?
L’âge, comme conditionnalité décisive à l’exercice du droit à l’oubli, me semble d’une faible valeur discursive. A titre personnel, je ne conçois pas pleinement le fondement qui justifie cette logique. Je dirais même que dans une certaine mesure, elle est quelque peu arbitraire.
A l’heure où nous recourons tous de plus en plus au numérique, afin de remplir nos tâches administratives, d’effectuer des achats en ligne, de bénéficier de services divers et variés, d’avoir accès à l’information en s’abonnant à différentes newsletters, nous avons parallèlement besoin de protection, de droits effectifs, ayant une portée réelle et non partielle.
Le droit à l’oubli en est un. Nous devons avoir le droit, indépendamment de notre âge au moment de la collecte des données, d’effacer les empruntes que nous laissons sur la toile, dès lors que cette volonté ne porte pas atteinte à d’autres enjeux rappelés précédemment et qui figurent, d’ailleurs, à l’article 40 de la loi CNIL.
Finalement, ce qui me paraît étrange, c’est que les modalités d’encadrement de ce droit sont déjà inscrites dans la loi. En faire usage ne risque donc pas de limiter d’autres droits et libertés fondamentaux. En revanche, ne pas lui conférer une pleine portée est regrettable, dans la mesure où c’est affaiblir la protection des données personnelles et, par conséquent, le respect de la vie privée.
Je vous remercie.
RETIRÉ
Argumentaire amendement n°141 – PJL Protection des données personnelles (article 15)
En 2014, la Cour de Justice de l’Union européenne (CJUE) a estimé, dans son arrêt Costeja, qu’un célèbre moteur de recherche entrait dans le champ de la directive de 1995 sur le traitement des données personnelles. Dès lors qu’ils mettent des contenus publicitaires à partir de l’indexation des sites, ils réalisent un traitement de données à caractère personnel.
Il s’ensuit que la CJUE a reconnu la possibilité pour tout internaute d’obtenir qu’un lien n’apparaisse plus quand son patronyme (et uniquement son patronyme) est saisi sur le moteur de recherche : c’est le droit au déréférencement. Ce droit est naturellement à mettre en balance avec d’autres impératifs tel le droit à l’information du public.
Pour autant, une question n’a pas été arbitrée : quelle est la portée territoriale de ce droit ? Autrement dit, lorsqu’un moteur de recherche est tenu de déréférencer, doit-il le faire uniquement dans la zone géographique couverte par le texte réglementaire –dans notre cas l’UE, ou doit-il le faire à l’échelle mondiale, partant du postulat qu’Internet étant un monde ouvert, indifférent aux frontières, l’information demeurerait accessible ?
Prenons un exemple concret : si je demande à ce moteur de recherche de déréférencer un lien me concernant et qu’il accède à ma requête, ce lien ne sera plus accessible depuis l’ensemble des extensions européennes de ce site (c’est à dire .fr, .it, .pt, .de etc.). En revanche, en l’état, ce lien sera toujours accessible depuis la version américaine du moteur de recherche (donc en .com). En d’autres termes, le droit au déréférencement est aujourd’hui limité territorialement.
D’ailleurs, la CNIL souhaite étendre la portée de ce droit ; le raisonnement étant que les moteurs de recherche ayant souvent choisi d’avoir un traitement mondial, ils doivent, dès lors que le droit au déréférencement est appliqué, le rendre effectif sur l’ensemble des extensions liées à ce traitement. Si en passant du .fr au .com en un clic, vous avez accès au lien censé être désindexé, le droit au déréférencement n’est que parcellaire.
Certes, des questions préjudicielles sur ce point fondamental ont été soumises par le Conseil d’Etat à la CJUE. Cependant, à défaut d’anticiper les décisions de la Cour en intégrant d’ores et déjà une disposition dans notre ordre juridique interne, nous aimerions au moins connaître la position du Gouvernement sur la portée territoriale du droit au déréférencement. Est-il favorable à ce qu’il ne soit pas limité territorialement ?
C’est un sujet essentiel, car le droit au déréférencement est un corollaire qui concrétise le droit à l’oubli.
Je vous remercie.
RETIRÉ