Le droit à l’oubli numérique : l’oubli est humain, les machines se souviennent

 

Temps de lecture : 4 min

 

 

Introduction

Ces dernières années, les médias et les universitaires ont manifesté un intérêt considérable pour le soi-disant «droit à l’oubli». La proposition de la Commission européenne d’inclure un droit à l’oubli dans la nouvelle réglementation de l’Union européenne (UE) sur la protection des données[1] a été l’élément déclencheur de cette orientation. Même si les réformes ont été perçues comme renforçant le droit à l’oubli. L’actuelle directive européenne sur la protection des données[2], qui implique que le droit à l’oubli est déjà prévu par la législation européenne sur la protection des données, a simplement besoin d’être renforcé. Plus récemment, la Cour européenne de justice (CJCE) a rendu sa décision contre Google[3] qu’a été largement décrite comme une décision sur le droit à l’oubli et même une décision qui «invente» le droit d’être oublié.

La visée de cet article c’est d’apporter une contribution au débat actuel sur ce phénomène (nouvelle notion). De ce fait, ce travail se propose d’analyser le contexte juridique derrière le droit à l’oubli, afin de cerner  son applicabilité potentielle, on s’attachera à examiner l’antagonisme entre les valeurs de la vie privée et le droit d’expression.

 

1 – Interprétation du «droit à l’oubli»

Une décision préliminaire a été demandée à la Cour européenne de justice (CJUE) par un tribunal espagnol[4]. La plainte était fondée sur le fait que, lorsqu’un internaute a entré le nom du demandeur dans le moteur de recherche de Google, des liens vers des articles d’un journal espagnol sont apparus concernant une annonce mentionnant le nom du demandeur pour une vente aux enchères immobilière liée à une procédure de saisie. Compte tenu du fait que ces procédures avaient été entièrement résolues depuis plusieurs années, le demandeur a déclaré que cette référence était totalement dénuée de pertinence et devait donc être supprimée.

Outre  la question relative à l’application territoriale de la directive européenne sur la protection des données, celle de la validité de la demande d’une personne quant à l’obtention du droit à l’oubli a également été demandé par la Cour Espagnole ( savoir si une personne a le droit de demander que ses données personnelles soient supprimées et non accessibles via un moteur de recherche).

Dans ce contexte, un arrêt du 13 mai 2014 de la CJUE a spécifiquement considéré que les moteurs de recherche devaient être considérés comme des contrôleurs de données et ne pouvaient donc échapper à leur responsabilité en vertu des lois européennes sur la protection des données lorsqu’ils traitent des données de citoyens européens. En ce qui concerne le droit à l’oubli, le tribunal a précisé que les individus ont le droit, sous certaines conditions, de demander aux moteurs de recherche de supprimer les liens contenant des renseignements personnels les concernant. Cela vaut en particulier lorsque les informations sont « inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé »[5]. En revanche, la CJUE a estimé que l’atteinte aux droits fondamentaux de la personne concernée peut être justifiée si la personne concernée joue un rôle particulier dans la vie publique.

En plus de cette décision de la Cour européenne, la Cour suprême belge («Hof van Cassatie») a décidé le 12 mai 2016[6] que le droit à l’oubli s’étend également aux archives électroniques des journaux. La Cour suprême a explicitement statué que «le droit à l’oubli numérique fait intrinsèquement partie du droit au respect de la vie privée et familiale et peut, en tant que tel, justifier des restrictions au droit à la liberté d’expression».

Toutefois, on ne s’étonnera pas de constater que, le droit à l’oubli n’est pas à cent pour cent nouveau. En effet , la directive 95/46/CE relative à la protection des données contenait déjà le « droit d’accès » dans son article 12[7], qui prévoyait déjà la possibilité d’exiger l’effacement de données incomplètes, inexactes ou illégales du responsable du traitement. Actuellement, le nouveau RGPD inclut le droit d’effacement sur son article 17, qui fait référence au droit de la personne concernée « d’obtenir du responsable du traitement l’effacement de ces données à caractère personnel dans les meilleurs délais, ». Selon la Commission européenne, l’article 7 du RGPD renforce le principe et améliore la sécurité juridique.

Bien que le terme «le droit à l’oubli» soit largement utilisé, il existe encore des zones grises qui ont besoin d’être clarifiées. Ambrose et Ausloos observent que deux versions du droit à l’oubli sont à distinguer[8]. Une version du «droit à l’oubli» est, selon eux, mieux décrite comme un «droit d’effacement» en relation avec des informations que la personne concernée a divulguées passivement, en d’autres termes, des informations qu’un individu a fournies à d’autres personnes dans le contexte de la création active de contenu[9]. Lors de l’annonce du droit à l’oubli, l’un des quatre piliers du nouveau cadre européen de protection des données proposé, Viviane Reding, commissaire à la justice de la Commission européenne (CE), a qualifié le droit d’un individu de «retirer complètement ses données quand elles ne sont plus nécessaires ou quand il retire son consentement ou quand la période de conservation consenti a expiré»[10]. La conceptualisation par Reding d’un droit à l’oubli est donc conforme à celle de Ambrose et Ausloos décrite comme un «droit d’effacement». Cependant, contrairement au droit d’éffacement décrit par Ambrose et Ausloos, la définition de Reding suggère que le droit ne se limite pas nécessairement à l’information que les individus eux-mêmes ont fournie. Le droit s’étendrait aux données personnelles concernant cet individu fournies par d’autres personnes, si cette information est conservée plus longtemps que nécessaire. La conception de Reding suggère également que le droit d’effacement apparaîtrait même en relation avec des informations créées volontairement par l’individu lorsque celui-ci est traité par un gestionnaire de données sur la base du consentement de la personne concernée.

 

2- Les controverses juridiques du droit à l’oubli

Le principal problème concernant le droit à l’oubli réside dans la contreverse entre les bonnes intentions des régulateurs et la complexité réelle des environnements techniques. L’imprécision du droit à l’oubli peut conduire à l’impossibilité de son application. Le règlement parle de la simple suppression des données personnelles ou du dossier contenant les données personnelles du système de gestion des données, comme si s’était comme un fichier physique qui peut simplement être détruit. Le mot « suppression » n’apparaît qu’une seule fois dans le GDPR[11]. Le mot utilisé pour le GDPR pour se référer à la suppression est « effacement », cité 20 fois,  et il n’est pas expliqué dans tout le texte.

Des exceptions, pour des raisons d’intérêt public dans le domaine de la santé publique, de la recherche scientifique, historique ou statistique existent dans le nouveau règlement. Certains auteurs estiment que le problème consiste à déterminer quelles informations peuvent avoir une valeur future[12]. Force, est en effet, de constater que la valeur immédiate et la valeur future de l’information jouent un rôle majeur dans les difficultés liées à l’application de ce droit, à titre d’exemple, cela pourrait  être dangereux dans des scénarios impliquant des candidats aux postes de responsables politiques.

Malgré ses indéniables mérites, une réflexion s’impose  quant à la nécessité réelle du droit à l’oubli, c’est-à-dire s’il y a un besoin politique, sociologique ou moral de protéger le droit à l’oubli. Il semble que ce soit, selon le RGPD, fondé sur le droit fondamental à la protection des données de la Charte européenne des droits fondamentaux. Cependant, cette hypothèse n’est pas sans défis défendables, en particulier de la communauté de la liberté d’expression. Les États-Unis, qui pourraient être considérés par certains comme un pays de libre expression, ne reconnaissent pas légalement le droit à l’oubli. Les défendeurs américains des libertés civiles et les sociétés de technologie se sont également battus contre des décisions similaires.

Certains juristes pensent que le problème principal du droit à l’oubli est la liberté d’expression. Rosen pense que si ce droit n’est pas défini plus clairement, il rendra encore plus large l’écart entre la compréhension de la vie privée et la liberté d’expression entre l’Europe et les États-Unis, au-delà de l’instauration d’un Internet moins ouvert[13]. La Commission européenne soutient que, en théorie, le droit à l’oubli consiste à protéger la vie privée des individus, non pas à effacer les événements passés ou à restreindre la liberté de la presse[14].

 

Conclusion

Le droit d’être oublié peut très bien être une protection réglementaire que beaucoup de pays soutiendraient. Cependant, il y a un net décalage entre la loi et la réalité technique. À l’instar de ce que les chercheurs ont vu dans la mise en œuvre de Privacy by Design[15], il est difficile de mettre en œuvre et d’appliquer des exigences légales dans les systèmes de traitement des données. L’utilisation de deux langages différents dans l’approche juridique et technique entraine une mauvaise communication qui pourrait avoir des conséquences fâcheuses. Il est nécessaire de combler ce fossé entre les langues et la compréhension de concepts tels que « mémoire » et « oubli ».

Le droit à l’oubli, tel qu’il est actuellement compris par les tribunaux et les organismes de réglementation, repose sur des conceptions du fonctionnement des souvenirs humains et de l’oubli des humains. Ces métaphores ne s’appliquent pas strictement à des technologies comme l’intelligence artificielle. Pour bien comprendre comment protéger l’esprit du droit à l’oubli, il est nécessaire d’étudier également ce problème du point de vue de différents domaines, y compris les neurosciences, l’anthropologie, la psychologie et la sociologie.

 

par Mohammed Bouzit

[1] Le règlement n° 2016/679, dit règlement général sur la protection des données (RGPD) (en anglais : General Data Protection Regulation, GDPR), constitue le texte de référence européen en matière de protection des données à caractère personnel. ll renforce et unifie la protection des données pour les individus au sein de l’Union européenne. Après quatre années de négociations législatives, le nouveau règlement européen sur la protection des données a été définitivement adopté par le Parlement européen le 14 avril 2016. Ses dispositions seront directement applicables dans l’ensemble des 28 États membres de l’Union européenne à compter du 25 mai 2018.

[2]La directive 95/46/CE constituait le texte de référence, au niveau européen, en matière de protection des données à caractère personnel. Publiée au Journal officiel de l’Union européenne du 23 novembre 1995, elle est officiellement intitulée « directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ».

[3]La Cour de justice de l’Union européenne (CJUE) a rendu un arrêt attentatoire à la liberté de l’information dans l’affaire qui opposait la société Google à un particulier espagnol, M. Costeja. La CJUE a prononcé l’obligation de retrait par les moteurs de recherche des liens vers les contenus ayant trait à la vie privée des individus qui en feraient la demande. La cour exprime clairement qu’une telle obligation est également valable dans les cas où l’information n’a pas été supprimée du site qui l’a initialement publiée y compris lorsque celle-ci ne contrevient à aucune loi en vigueur.

[4]La requête était liée à une plainte d’un citoyen espagnol, González, qui a déposé une plainte contre un journal espagnol et contre Google Espagne et Google Inc.

[5]point 93 de la décision de l’arrêt de la Cour (grande chambre) du 13 mai 2014

Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González. Demande de décision préjudicielle, introduite par l’Audiencia Nacional

[6]Le 12 mai 2016, la Cour de cassation française s’est prononcée en matière de « droit à l’oubli ». La Cour de cassation belge, par un hasard de calendrier, avait rendu un arrêt portant sur ce même droit quelques jours avant.

[7]DIRECTIVE 95/46/CE DU PARLEMENT EUROPÉEN ET DU CONSEIL. Article 12 : Droit d’accès

Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement:

  1. a) sans contrainte, à des intervalles raisonnables et sans délais ou frais excessifs:

– la confirmation que des données la concernant sont ou ne sont pas traitées, ainsi que des informations portant au moins sur les finalités du traitement, les catégories de données sur lesquelles il porte et les destinataires ou les catégories de destinataires auxquels les données sont communiquées,

– la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données,

– la connaissance de la logique qui sous-tend tout traitement automatisé des données la concernant, au moins dans le cas des décisions automatisées visées à l’article 15 paragraphe 1;

  1. b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;
  2. c) la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.

[8]THE RIGHT TO BE FORGOTTEN ACROSS THE POND BY MEG LETA AMBROSE∗ AND JEF AUSLOOS. JOURNAL OF INFORMATION POLICY 3 (2013): 1-23.

[9]Ibid

[10]Tomorrow’s Privacy The upcoming data protection reform for the European Union Viviane Reding. International Data Privacy Law, 2011, Vol. 1, No. 1.

[11]RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[12](Ambrose) Jones, Meg, It’s About Time: Privacy, Information Lifecycles, and the Right to Be Forgotten (2012). Stanford Technology Law Review, Vol. 16, 2012. Available at SSRN: https://ssrn.com/abstract=2154374

[13]Free Speech, Privacy, and the Web that Never Forgets, Jeffrey Rosen. 9 J. on Telecomm. and High Tech. L. 345. Disponible sur : http://www.jthtl.org/content/articles/V9I2/JTHTLv9i2_Rosen.PDF

[14]European Commission – Fact Sheet. Questions and Answers – Data protection reform. Brussels, 21 December 2015. Disponible sur :

http://europa.eu/rapid/press-release_MEMO-15-6385_en.htm

[15]La protection de la vie privée dès la conception, Privacy by Design en anglais, est une approche de l’ingénierie des systèmes qui prend en compte la vie privée tout au long du processus. Ce concept découle d’un rapport de 1995 sur la Privacy-enhancing technologies d’une équipe jointe composée de la Commissaire à l’Information et la Vie Privée de l’Ontario (Canada), Ann Cavoukian et de l’Autorité de Protection des Données Néerlandaise et de l’Organisation Néerlandaise pour la Recherche Scientifique Appliquée.

 

0 Commentaires

Laisser une réponse

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

CONTACTEZ NOUS

En cours d’envoi

© 2018 Lex4.com

ou

Vous connecter avec vos identifiants

ou    

Vous avez oublié vos informations ?

ou

Create Account