Droit à l'oubli : la CNIL à la conquête du monde

La CNIL entend imposer un droit à l'oubli très large, bien au delà des frontières européennes. Va-t-elle avoir gain de cause? Par Etienne Drouard, avocat au Barreau de Paris

La CNIL contre Google. David contre Goliath. A elle seule, l'affiche du duel suscite l'admiration. Il en faut du courage, une noble cause et des convictions bien trempées, pour croiser le fer avec un acteur mondial si puissant.

Le 21 septembre, Madame Isabelle Falque-Pierrotin, Présidente de la CNIL, a confirmé sa décision d'imposer à Google d'effacer, dans le monde entier, les résultats de recherche portant sur le nom d'une personne, lorsque ces résultats ne sont pas jugés nécessaires à l'information du public en France.

D'après le communiqué de la CNIL, cette décision serait la simple conséquence d'un arrêt rendu le 13 mai 2014 par la Cour de Justice de l'Union Européenne (CJUE). La CNIL se bornerait à « demander le plein respect du droit européen par des acteurs non européens offrant leurs services en Europe ». En outre, cette décision ne porterait pas atteinte au droit à l'information du public situé hors d'Europe, puisque les contenus déréférencés sur les moteurs de recherche resteraient toujours accessibles, à condition de les trouver autrement qu'en recherchant le nom d'une personne. Enfin, cette décision serait très strictement encadrée, puisque « placée sous le double contrôle de la CNIL et du juge »... français.

Google entend se conformer strictement à la législation locale

Google, pour sa part, estime devoir se conformer à la législation locale -française et européenne- en respectant les frontières juridiques et territoriales de la loi locale. Le géant américain admettrait de supprimer les résultats de recherche accessibles sur ses services destinés aux internautes européens (« .fr », « .de », « .co.uk », etc), mais pas pour ceux du monde entier.

Tous les arguments de la CNIL sont simples : quand elle demande la désindexation d'une information rapportée par un moteur de recherche et dont se plaint un ressortissant européen, c'est pour le monde entier. Peu importe l'organe de presse ou la liberté d'expression garantie dans le pays diffusant l'information en cause. Peu importe l'endroit du monde depuis lequel un internaute consulterait un moteur de recherche.

On voudrait y croire. Oublier les frontières, exporter nos valeurs, comme au Siècle des Lumières... Mais le faire en 2015, sur Internet, sans un instrument juridique international négocié entre Etats, c'est soit prétentieux, soit voué à l'inefficacité. Ou probablement les deux.

La simplicité ne suffit pas à faire la loi

Le droit européen et français s'impose principalement aux entreprises européennes, ainsi qu'aux entreprises non-européennes qui traitent ou font traiter des données personnelles sur le sol européen. Mais le fait d'offrir des services en Europe n'est pas, à l'heure actuelle, un critère suffisant pour appliquer à un acteur extra-européen nos règles européennes de protection de la vie privée.

On peut en être frustré, mais c'est l'état du droit en vigueur. Cette situation changera probablement dans deux ans, après que l'Union européenne aura adopté un projet de Règlement sur la protection des données personnelles. Ce projet est encore en cours de rédaction et on espère le voir finalisé dans quelques semaines -la fin de l'année 2015.

La CNIL anticipe donc des critères d'application du droit français et européen qui n'existent pas encore. En droit, il s'agit de déterminer si notre loi française « Informatique & Libertés » est une loi dite « de police ». Il s'agit de justifier qu'elle ait des effets contraignants hors de notre territoire national à l'encontre d'un acteur qui ne fabrique pas son moteur de recherches sur le sol européen.

Divergences de jurisprudence

La jurisprudence judiciaire française est divergente sur ce point. Déjà en juin 2011, l'Assemblée nationale, dans son rapport sur les « Droits de l'individu dans la révolution numérique », constatait que « la protection des données personnelles [...] n'obéit aujourd'hui à aucun caractère juridique universel et contraignant », soulignant alors la nécessité de réformer le cadre européen adopté en 1995 . Et l'Assemblée de conclure qu' « il appartient aux pouvoirs publics des États concernés et non aux autorités de contrôle de réfléchir à la nécessité de mettre en œuvre l'adoption d'une convention internationale ».

Le Conseil d'État, pour sa part, dans son rapport d'études pour l'année 2014 , a listé les conditions à réunir : si le futur règlement européen sur la protection des données s'étend aux entreprises établies hors de l'Union européenne au motif qu'elles offrent leurs services en Europe et si les droits en cause sont garantis par la Charte des Droits Fondamentaux de l'Union européenne , on pourra alors qualifier de « lois de police » les règles de protection des données personnelles adoptées par l'Union européenne. Or, ces deux conditions ne sont pas réunies aujourd'hui.

Les autorités européennes elles-mêmes -la CNIL et ses homologues-, ont appelé en novembre 2014, dans une déclaration solennelle , à ce que ces futures règles européennes soient dites « d'ordre public international » - ou « de police » -, car elles devraient avoir des effets partout dans le monde. Mais ces déclarations, qui n'ont aucun caractère normatif, montrent précisément que ce qui « devrait être », n'est pas encore.

Sanctionner avant d'avoir régulé ?

Si Google résiste aux injonctions de la Présidente de la CNIL, cette dernière réunira dans les prochains jours la formation restreinte de la CNIL, qui est seule habilitée à prononcer un avertissement, une amende administrative plafonnée à 150 000 -ou 300 000 euros en cas de récidive-, voire une injonction de cesser le traitement illicite de données. Si la CNIL condamne et si son raisonnement est contesté par Google, ce débat pourra faire l'objet d'un recours devant le Conseil d'Etat, puis rebondir devant la CJUE, conduisant celle-ci à statuer dans quelques années.

Toutefois, la pression juridique exercée sur un acteur privé, fut-il un Léviathan, ne peut pas se substituer à l'absence de règles de droit international ou de traités bilatéraux. Ce débat ne peut donc se limiter longtemps à un rapport de forces entre un régulateur national ou européen et un acteur économique mondial. Car ce rapport de forces serait perdu d'avance par un régulateur impatient. Tout le paradoxe est là : la CNIL pourra prononcer des sanctions, même fortes, cela ne haussera pas le niveau de protection des données personnelles hors de l'Union européenne, tant qu'un accord international entre Etats ne sera pas trouvé.

En initiant un combat homérique deux ans avant d'être confortée par un texte ou contredite par un juge, la Présidente de la CNIL se garantit un feuilleton médiatique à rebondissements. Pour quelle efficacité réglementaire ? A chacun ses objectifs et son agenda.

Sujets les + lus

|

Sujets les + commentés

Commentaire 0

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

Il n'y a actuellement aucun commentaire concernant cet article.
Soyez le premier à donner votre avis !

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.