Le droit à l’oubli numérique : un vide juridique ?

Le caractère relativement perpétuel des données mises à disposition sur Internet participe à une hypermnésie collective. L’inquiétude d’être "fiché" coïncide avec la divulgation très libérale d’informations parfois intimes.

Le droit à l'oubli est évoqué principalement, s'agissant d'Internet, comme un droit à ce que les éléments relatifs au passé d'une personne, qu'ils soient exacts, inexacts ou devenus obsolètes puissent être retirés des contenus en ligne, ou rendus difficilement accessibles, afin de pouvoir sortir de la mémoire collective et tomber dans l'oubli.

 

Le droit à l'oubli ne peut être invoqué en tant que tel, mais des moyens de permettre l'oubli sont présents dans le cadre juridique actuel. En matière pénale, on peut citer la prescription, la suppression de condamnation dans le casier judiciaire, l'amnistie, la révision ou la réhabilitation. Plus particulièrement, sur Internet, la loi Informatique et Libertés, la LCEN, la loi HADOPI II et l'article 9 du Code civil peuvent permettre sous certaines conditions, le retrait ou la désindexation de contenus facilitant l'oubli. C'est sur cet aspect que nous nous concentrerons en premier lieu (1), avant de souligner les nombreux problèmes qui restent en suspens pour assurer l'effectivité de cet oubli (2).

Les principaux fondements juridiques de l'oubli

La loi informatique et libertés :
Si le droit a l'oubli n'a pas de définition juridique précise, il n'en demeure pas moins un des principes essentiels qui sous-tend la loi Informatique et Libertés. Il apparaît notamment en filigrane dans des dispositions relatives à la durée de conservation des données et au droit à l'effacement des données.

L'article 6(5) de la loi Informatique et Libertés relatif aux conditions de licéité des traitements de données à caractère personnel précise en effet que la durée de conservation des données ne doit pas excéder la durée nécessaire aux finalités pour lesquelles les données sont collectées et traitées. Par ailleurs, l'article 40, inséré dans la section relative aux droits des personnes à l'égard des traitements de données à caractère personnel dispose, notamment, que toute personne peut exiger l'effacement de données la concernant qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite.

La proposition de loi du Sénat du 6 novembre 2009 visant à mieux garantir le droit à la vie privée à l'heure du numérique (ci-après la «Proposition de Loi») suggère des modifications de la loi Informatique et Libertés afin de donner une plus grande effectivité au droit à l'oubli numérique, à l'heure où celui-ci est de plus en plus remis en cause sur Internet. Sur le réseau en effet, les données personnelles se voient démultipliées et changent de nature (commentaires dans des forums ou photos mises en ligne sur Facebook). Par ailleurs, des informations qui ne constituent pas des données à caractère personnel sont susceptibles de le devenir par recoupement. Les rédacteurs de la Proposition de Loi espèrent notamment protéger ceux qui ne sont pas conscients des données qu'ils peuvent laisser sur internet et de l'usage qui peut en être fait.

Tout d'abord, l'article 6 de la Proposition de Loi modifie l'article 32 de la loi Informatique et Libertés et vise à renforcer l'obligation d'information du responsable de traitement, en prévoyant que le responsable devra délivrer, préalablement à tout traitement, une information spécifique, claire et accessible, relative à la durée de conservation des données ainsi qu'à la possibilité d'exercer les droits de suppression, d'accès et de rectification, par voie électronique. Cette information devra par ailleurs figurer de manière permanente sur le site internet du responsable de traitement. La Proposition de Loi prévoit également la possibilité d'interroger la CNIL sur la durée de conservation des données concernant les traitements déclarés auprès d'elle.

L'article 8 de la Proposition de Loi est destiné à faciliter l'exercice du droit à la suppression des données. En effet, une distinction est opérée entre le droit d'opposition, qui s'exerce avant toute communication des données, et le droit de suppression, qui s'exerce après. Le droit de suppression comme le droit d'opposition doivent pouvoir s'exercer gratuitement et par voie électronique.

Enfin, l'article 13 de la Proposition de Loi rend plus facile et plus efficace la saisine des juridictions civiles en cas d'impossibilité pour les personnes d'exercer leur droit à suppression des données.

Rappelons toutefois que la liberté d'expression peut faire échec à la protection de la loi Informatique et Libertés. Le TGI de Paris rappelle ainsi dans une Ordonnance de référé du 12 octobre 2009, à propos d'une demanderesse qui reprochait à un auteur d'avoir procédé à un traitement de données personnelles la concernant sans son consentement, en évoquant une liaison sentimentale qu'elle aurait avec Philipe de Villiers, en violation notamment de l'article 7 de la loi du 6 janvier 1978 que « le principe constitutionnellement et conventionnellement garanti de la liberté d'expression interdit de retenir une atteinte distincte liée à une éventuelle violation des règles instituées par la loi du 6 janvier 1978, laquelle n'est pas une des normes spécialement instituées pour limiter cette liberté dans le respect du second alinéa de l'article 10 de la convention européenne susvisée ».

La LCEN et la loi Hadopi II
Un individu souhaitant faire retirer une information le concernant sur Internet si cette information a un caractère illicite, peut recourir aux articles 6.II de la LCEN et 27 de la loi HADOPI II. Au titre du premier, les hébergeurs doivent, dès le moment où ils en ont connaissance, agir promptement pour retirer ces données ou en rendre l'accès impossible, s'ils veulent s'exonérer de leur responsabilité civile et pénale. Au titre du second, le directeur ou codirecteur de publication d'un service de presse en ligne doit de même, dès le moment où il en a connaissance, agir promptement pour retirer des données litigieuses ou rendre leur accès impossible dans les espaces publics de contributions personnelles qu'ils dirigent, s'il veut s'exonérer de sa responsabilité pénale.

Sur l'application de la loi HADOPI II, un jugement du TGI de Paris du 9 octobre 2009 (17e ch. Claire Chazal c. Zephir) a jugé que les dispositions de cette loi s'appliquent à tous les espaces publics de contributions personnelles - et pas seulement à ceux relatifs à la presse en ligne - que ces espaces soient modérés a priori, modérés a posteriori ou non modérés.

L'article 9 du code civil
Le droit à la vie privée, au-delà de la protection des éléments de la vie privée appartenant au passé, permet plus généralement d'assurer l'étanchéité entre vie privée et vie professionnelle. La protection du respect de la vie privée dispose de son propre arsenal d'action même s'il paraît moins séduisant aujourd'hui pour l'obtention du retrait de contenus illicites en ligne. Ainsi au titre de l'article 9 du Code civil, le juge civil peut prescrire toutes mesures propres à empêcher ou faire cesser une atteinte à l'intimité de la vie privée, y compris en référé. Il devra toutefois concilier ce droit avec d'autres libertés fondamentales et en premier lieu, en matière de contenus en ligne, la liberté d'information et d'expression.

L'article 9 du Code civil peut protéger les contenus relatifs à la vie privée même lorsqu'une personne a elle-même livré au public des renseignements relatifs à sa propre vie privée (Civ. 1ère 30 mai 2000). Pour autant, la réitération de propos publics faisant état de la vie privée de leur auteur prive l'intéressé de la protection de l'article 9 (TGI Paris 5 avril 2006).

Il faut toutefois souligner qu'il n'y a pas d'atteinte à la vie privée lorsque les prétendues révélations ne sont que la révélation de faits publics ou ne présentent qu'un caractère anodin (Civ 1ère, 3 avril 2002), ce qui, si l'on applique ce principe aux contenus souvent anodins des réseaux sociaux, limite particulièrement la protection.

Par ailleurs, à la lumière de la jurisprudence de la Cour de cassation (Cass. Crim. 28 avril 2009), la diffusion d'un écrit n'est une distribution publique que si ses destinataires sont étrangers à un groupement de personnes liées par une communauté d'intérêts. Ainsi, la diffusion d'un courrier électronique à un groupe de personnes liées par une communauté d'intérêts est exclusive de toute publicité et les propos faisant état de la vie privée de leur auteur peuvent prétendre au régime de protection des correspondances privées prévu par l'article 226-15 du Code pénal.

Toutefois on peut douter de la confidentialité des messages affichées sur le « mur » Facebook d'un utilisateur ayant des centaines d'amis. Pour l'heure, la Cour de cassation n'a pas encore eu l'occasion de se prononcer, mais il est fort probable qu'elle l'envisage au cas par cas, selon les modalités d'utilisation du réseau (affichage sur un « mur » accessible à tous ou en mode restreint, messagerie instantanée entre deux ou trois utilisateurs ou messagerie électronique à destination d'un groupe comprenant plusieurs centaines de destinataires ou un destinataire unique etc.).


L'effectivité de l'oubli


Le problème du droit applicable
L'effectivité du droit à l'oubli numérique se heurte rapidement au caractère global d'internet, cyberespace sans réelle frontière où s'affrontent des conceptions différentes des notions de liberté d'expression et de données à caractère personnel.

Alors que la France tend à concilier la protection des données personnelles avec la liberté d'expression, les Etats-Unis place la liberté d'expression (1er amendement) au-dessus dans la hiérarchie des normes. La protection du public peut même être invoquée pour diffuser des données personnelles. Encore faut-il que le droit français puisse trouver à s'appliquer, ainsi le  TGI de Paris statuant en référé le 14 avril 2008 a écarté l'application de la loi française, en l'espèce la loi Informatique, Fichiers et Libertés du 6 janvier 1978, au motif que le lieu du fait générateur du dommage allégué était la Californie, lieu de l'archivage des messages à caractère personnel dont la suppression était demandée (Bénédicte c. Google Inc., Google France).

D'importantes divergences d'interprétation concernant l'applicabilité du droit communautaire persistent. L'article 4 de la directive 95/46 du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données prévoit qu'une entreprise qui n'est pas établie sur le territoire d'un Etat membre mais qui recourt, à des fins de traitement de données à caractère personnel, à des moyens situés sur le territoire d'un Etat membre, se voit appliquée le droit dudit Etat. La controverse s'articule autour de la définition de la notion de « moyens ». Le G29 a par exemple considéré que l'utilisation de cookies doit être considérée comme un moyen de traitement de données à caractère personnel au sens de la directive. Les géants de l'Internet, dont le siège est situé aux Etats-Unis, ne partagent pas cette analyse et ne s'estiment pas régis par le droit communautaire.

Dans ce contexte, Nathalie Kosciusko-Morizet, Secrétaire d'Etat chargée de la Prospective et du Développement de l'Economie numérique, a souligné lors de l'atelier sur le droit à l'oubli numérique tenu à Sciences Po, le besoin de concertation au niveau international. Au mois de novembre 2009 se sont ainsi tenues la 4ème édition du forum sur la gouvernance de l'Internet et la conférence mondiale des commissaires à la protection des données. Ces derniers ont, à cette occasion, voté à l'unanimité une résolution visant à établir des standards internationaux en matière de protection des données à caractère personnel et de vie privée. Pour Alex Türk, président de la CNIL, ce premier pas est historique, mais demeure insuffisant tant que la valeur juridique contraignante de ces principes n'est pas définie.


La mise en oeuvre de moyens techniques
La formation (Brevet Informatique et Internet pour les collégiens) et l'information préalable des internautes que la Proposition de Loi tend à renforcer sont les premiers outils préventifs face au risque de l'hypermnésie et à la capacité de résilience de l'information sur les supports numériques, notamment à travers la démultiplication de cette dernière.

Les moyens envisagés par les principaux acteurs de l'Internet sont pour l'essentiel peu contraignants. Les chartes fleurissent, on parle même de mettre en place une labellisation des offres de sécurité appliquées aux sites Internet.

Toutefois, il est indispensable que ces mesures s'accompagnent de moyens juridiques plus efficaces. En raison de l'asymétrie de la maîtrise des moyens techniques de contrôle des données diffusés entre un responsable de traitement et des simples utilisateurs, on peut considérer les seconds comme la partie faible du contrat. C'est sans doute pour cette raison que la Proposition de Loi envisage de renforcer les obligations d'informations (durée de conservation, droits de suppression, d'accès et de rectification) du premier, ce qui ouvrirait aux seconds la réparation pour manquement au devoir d'information. On pourrait également envisager d'étendre cette obligation à l'information sur les moyens techniques mis à la disposition des internautes pour supprimer les données qu'ils mettent en ligne.

Il faut toutefois se garder de stigmatiser les responsables de traitement ou plus généralement les acteurs de l'Internet, et on pourrait même envisager de renforcer la protection des moyens techniques qu'ils mettent à disposition. Ainsi, sur le même modèle que les dispositions du Code de la Propriété Intellectuelle relatives aux mesures techniques de protection et d'information (L335-3-1 et s.) pourrait être réprimé sous certaines réserves, le fait de porter atteinte sciemment à une mesure technique efficace mise à la disposition des utilisateurs d'un réseau social pour restreindre ou limiter à un groupe déterminé les informations qu'ils mettent volontairement en ligne. Ainsi, le fait de contourner des mesures de protection de Facebook destinées à protéger les données des utilisateurs pourrait être sanctionné, tout en permettant aux sites tiers qui se proposent de désactiver le profil des utilisateurs Facebook à la demande de ceux-ci de continuer à offrir leur service.

En tout état de cause, une concertation internationale s'impose afin que toute réforme d'envergure soit adoptée de façon harmonisée par les Etats où siègent les principaux acteurs de l'Internet pour éviter de voir émerger des « paradis numériques ».


Jean-Christophe Duton

Avocat au Cabinet Gide Loyrette Nouel (Télécoms, Média & Technologies)

Chargé d'enseignement à l'Université Paris II -Panthéon Assas
- LLM, Postgraduate diploma in international Business law, Postgraduate Certificate in Computer and Communication law (University of London: UCL and Queen Mary)

- Diplôme de Sciences Po Paris

- DESS droit des systèmes d'information et du Multimédia

- Diplôme  de l'Institut National des Télécoms

 

Virginie Becht

Avocat au Cabinet Gide Loyrette Nouel (Télécoms, Média & Technologies)

- LLM in International Business Law (University of London: London School of Economics "LSE")

- DESS Droit de la propriété intellectuelle (Université Paris II-Panthéon Assas)