En donnant raison à Google, la CJUE enterre la vision française du droit à l'oubli

 |   |  999  mots
Google n'aura pas a appliquer le droit au déréférencement inscrit dans le RGPD en dehors du territoire européen.
Google n'aura pas a appliquer le droit au déréférencement inscrit dans le RGPD en dehors du territoire européen. (Crédits : Reuters Staff)
Dans un jugement, la Cour de justice de l'Union européenne affirme que le droit au déréférencement, inscrit dans le RGPD, ne s'applique que sur le territoire européen et non pas dans le monde entier. Une décision lourde de conséquences. Explications.

Le droit à l'oubli sur Internet s'arrête-t-il aux frontières (virtuelles) de l'Union européenne ? Oui, a répondu la Cour de justice de l'UE, dans un jugement publié le 24 septembre. Le litige opposait Google à la Commission nationale de l'informatique et des libertés (CNIL). Il porte sur le droit au déréférencement, communément appelé le "droit à l'oubli". Celui-ci permet à tout citoyen de l'UE de faire retirer d'un moteur de recherche un lien contenant des données sensibles. La Cnil estime que pour être efficace, le droit à l'oubli doit s'appliquer partout dans le monde, et avait même sanctionné Google de 100.000 euros d'amende, en 2016, pour refus d'appliquer le droit au déréférencement dans l'intégralité de ses résultats de recherche, même en dehors du territoire de l'Union européenne. Au contraire, Google affirme qu'un droit à l'oubli mondial est la porte ouverte à tous les abus. Son argument principal est qu'il est important de limiter sa portée au cas où un pays non-démocratique l'utiliserait pour sa propagande.

Du coup, lorsque Google reçoit une demande de déréférencement en Europe, il supprime les résultats concernés uniquement de ses noms de domaines européens (google.fr, google.be, google.de...). Cela signifie qu'on peut retrouver le contenu sur la version américaine ou brésilienne du site, par exemple. L'entreprise restreint bien l'accès à ces liens en fonction de l'adresse IP de l'appareil qui effectue la recherche, mais cette petite protection reste facilement contournable, par exemple avec un VPN (logiciel qui masque ou change la localisation). La Cnil espérait donc étendre le droit à toutes les versions du moteur de recherche.

Google avait contesté l'amende décidée par la Cnil devant le Conseil d'État, qui a renvoyé le dossier devant la Cour de justice de l'Union européenne, car cette question relève selon lui du droit de l'UE. La CJUE a donc jugé que si ce droit doit être respecté dans les états-membres, il n'est pas contraignant pour les autres pays.

Sabine Marcellin, avocate spécialisée en droit du numérique et fondatrice du cabinet Aurore Légal, explique à La Tribune les enjeux de ce jugement. Entretien.

LA TRIBUNE - Pour quels types d'informations peut-on demander un déréférencement ?

SABINE MARCELLIN - Cela concerne toutes les informations personnelles. Cependant, pour ce que les textes appellent les "données particulières", qu'on qualifie dans le langage courant de "données sensibles", les exigences sont renforcées. Les catégories de données sensibles sont listées à l'article 9 du RGPD et regroupent tout ce qui a un lien avec les opinions politiques et philosophiques, l'origine, les données génétiques, les données biométriques, l'orientation sexuelle... Ce sont les données les plus intimes, dont la divulgation peut vraiment porter atteinte à la vie privée des personnes. Elles requièrent donc une protection plus importante. Dans ce cas, la CJUE exige
que le moteur de recherche vérifie si l'inclusion de ce lien dans la liste de résultats
est strictement nécessaire pour protéger la liberté d'information des internautes.

Pourquoi la CJUE a-t-elle donné raison à Google ?

Les magistrats ont simplement rappelé que le texte s'appliquait dans toute l'Union européenne, même s'ils ont tout de même indiqué qu'il serait souhaitable de "rendre plus difficile les recherches sur les autres extensions." Mais pour Google, les contraintes ne s'appliquent qu'au sein de l'UE, c'est donc une victoire. Si demain l'autorité allemande se pose une question similaire, elle devra prendre en compte cette interprétation de la CJUE qui s'applique à tous les états membres, dans toutes les commissions nationales. Pour justifier cette interprétation, les magistrats ont développé que tous les pays n'ont pas la même analyse de l'équilibre entre respect de la vie privée et droit à l'information. En revanche, si Google ne respecte pas le droit dans l'UE, il s'expose à des sanctions importantes dans le cadre du RGPD.

Cette décision souligne-t-elle les limites de la conception européenne de la protection des données ?

La Cnil avait l'ambition de faire appliquer l'idée qu'une demande de déréférencement doit s'appliquer partout. Elle argumentait que la protection des données personnelles est un principe absolu, quelle que soit la localisation de l'internaute. Elle s'appuyait sur l'article 3 du RGPD, qui indique que le texte s'applique dans le cadre des activités d'un établissement sur le territoire de l'union, que le traitement de données ait lieu dans le territoire de l'Union ou pas.

Mais la CJUE a dû prendre en compte la question complexe de l'extra-territorialité, dans tous les cas difficiles à mettre en place, car il faut avoir les moyens d'appliquer des règles européennes dans le reste du monde. Or, on touche là à une limite du droit européen : dans d'autres pays, dans ce cas les États-Unis, le droit à l'information est constitutionnel donc très puissant. On peut difficilement lui opposer le RGPD.

Avec ce jugement, la notion d'un droit à l'oubli mondial est-elle définitivement enterrée ?

C'est toujours difficile de se projeter. Mais le monde est découpé en zones, et chacune affirme sa propre conception du droit. La zone européenne a une vision très humaniste du droit : elle privilégie la défense de tous les droits humains, dont le respect de la vie privée, mais également la liberté d'expression. Des pays comme le Canada ou le Japon prennent une voie similaire. En revanche, les États-Unis ont une vision plus économiste qui privilégie la liberté d'entreprendre. Certes, ils ont des textes pour encadrer le droit de la vie privée, mais ils sont moins puissants qu'en Europe. Et puis enfin, il y a des zones où le droit est plus utilitariste, comme en Chine. Ces différentes régions vont avec différents équilibres dans la défense des intérêts entre la personne, les entreprises et l'État.

Réagir

Votre email ne sera pas affiché publiquement
Tous les champs sont obligatoires

Commentaires
a écrit le 26/09/2019 à 11:26 :
Autant le recours de la CNIL me semble justifié afin de poser les limites d'un futur recours d'un particulier qui s'estime lésé, autant la décision de la CJUE me semble équilibrée et juste. Cela permet de fixer les règles du droit face à de nouvelles technologies.
Prenons l'exemple d'un citoyen qui s'estime lésé par un livre diffamatoire à son égard - rien à voir avec Internet. Il peut faire un référé pour interdire sa publication en France par exemple et peut avoir gain de cause. Le diffamateur peut être condamné. Mais la sentence ne s'applique qu'en France. Rien n’empêche quelqu'un d'autres dans un autre pays de publier les mêmes diffamations. Le citoyen n'a pas d'autres choix que de faire des actions juridiques dans tous les pays ou l'information est reprise.
Avec Internet, c'est un peu pareil, le Droit à l'Oubli s'appliquera dans toute l'UE, mais pas dans d'autres pays...Et la CJEU a bien interprété que le "droit international" n'existe pas encore vraiment, qu'il n'est qu'une juxtaposition de différents droits et accords bilatéraux.

La CJUE a confirmé que le Droit à l'Oubli s'appliquait dans la CE, ça nous protègera à une plus grande échelle et c'est mieux que d’être tout seul dans son petit pays ...

Il faut renforcer le droit communautaire face à la mondialisation d'internet et des abus des géants du numérique. Google ferait bien de ne pas crier victoire tant ils enfreignent le droit des citoyens par bien d'autre manières.
a écrit le 26/09/2019 à 9:04 :
Dramatique faiblesse de notre union européenne incapable de comprendre le monde autour d'elle elle est paramétrée à se planter sans arrêt.

Elle se croit incontournable alors qu'elle n'est plus qu'un paillasson.
a écrit le 26/09/2019 à 7:52 :
he oui
les baveux commencent a comprendre que les lois extra territoriales ca n'existe pas ( bon, sauf pour les yankees, et encore, pas toujours)
voila ce que ca donne, quand on a affaire a des incompetents, le resultat etait couru d'avance
le reste est a l'avenant
et on ne parle pas de l'AI ou des incompetents veulent qu'on puisse expliquer le resultats de modeles qui peuvent comporter des millions de parametres dans une boite noire
a écrit le 25/09/2019 à 17:34 :
Il faudra donc modifier le RGPD pour que les magistrats comprennent qu'on est dans l'ère du numérique et que la carte d'identité numérique n'a pas de frontière. De plus à l'heure où les USA s'amusent avec l'extra-territorialité de leurs lois, nous n'avons pas à nous poser la question si le RGPD est compatible ou pas avec la constitution américaine.

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

 a le à :