En donnant raison à Google, la CJUE enterre la vision française du droit à l’oubli

Dans un jugement, la Cour de justice de l’Union européenne affirme que le droit au déréférencement, inscrit dans le RGPD, ne s’applique que sur le territoire européen et non pas dans le monde entier. Une décision lourde de conséquences. Un article de notre partenaire Euractiv.

Le droit à l’oubli sur Internet s’arrête-t-il aux frontières (virtuelles) de l’Union européenne ? Oui, a répondu la Cour de justice de l’UE, dans un jugement publié le 24 septembre. Le litige opposait Google à la Commission nationale de l’informatique et des libertés (CNIL). Il porte sur le droit au déréférencement, communément appelé le « droit à l’oubli ». Celui-ci permet à tout citoyen de l’UE de faire retirer d’un moteur de recherche un lien contenant des données sensibles. La CNIL estime que pour être efficace, le droit à l’oubli doit s’appliquer partout dans le monde, et avait même sanctionné Google de 100 000 euros d’amende, en 2016, pour refus d’appliquer le droit au déréférencement dans l’intégralité de ses résultats de recherche, même en dehors du territoire de l’Union européenne. Au contraire, Google affirme qu’un droit à l’oubli mondial est la porte ouverte à tous les abus. Son argument principal est qu’il est important de limiter sa portée au cas où un pays non démocratique l’utiliserait pour sa propagande.

Du coup, lorsque Google reçoit une demande de déréférencement en Europe, il supprime les résultats concernés uniquement de ses noms de domaines européens (google.fr, google.be, google. de…). Cela signifie qu’on peut retrouver le contenu sur la version américaine ou brésilienne du site, par exemple. L’entreprise restreint bien l’accès à ces liens en fonction de l’adresse IP de l’appareil qui effectue la recherche, mais cette petite protection reste facilement contournable, par exemple avec un VPN (logiciel qui masque ou change la localisation). La CNIL espérait donc étendre le droit à toutes les versions du moteur de recherche.

Google avait contesté l’amende décidée par la CNIL devant le Conseil d’État, qui a renvoyé le dossier devant la Cour de justice de l’Union européenne, car cette question relève selon lui du droit de l’UE. La CJUE a donc jugé que si ce droit doit être respecté dans les États membres, il n’est pas contraignant pour les autres pays.

Sabine Marcellin, avocate spécialisée en droit du numérique et fondatrice du cabinet Aurore Légal, explique à Euractiv les enjeux de ce jugement. Entretien.

Euractiv —Pour quels types d’informations peut-on demander un déréférencement ?

Sabine Marcellin — Cela ne concerne pas toutes les informations personnelles, mais seulement ce que les textes appellent les « données particulières », qu’on qualifie dans le langage courant de « données sensibles ». Elles sont listées à l’article 9 du RGPD et regroupent tout ce qui a un lien avec les opinions politiques et philosophiques, l’origine, les données génétiques, les données biométriques, l’orientation sexuelle… Ce sont les données les plus intimes, dont la divulgation peut vraiment porter atteinte à la vie privée des personnes. Elles requièrent donc une protection plus importante.

Pourquoi la CJUE a-t-elle donné raison à Google ?

Les magistrats ont simplement rappelé que le texte s’appliquait dans toute l’Union européenne, même s’ils ont tout de même indiqué qu’il serait souhaitable de « rendre plus difficile les recherches sur les autres extensions. » Mais pour Google, les contraintes ne s’appliquent qu’au sein de l’UE, c’est donc une victoire. Si demain l’autorité allemande se pose une question similaire, elle devra prendre en compte cette interprétation de la CJUE qui s’applique à tous les états membres, dans toutes les commissions nationales. Pour justifier cette interprétation, les magistrats ont développé que tous les pays n’ont pas la même analyse de l’équilibre entre respect de la vie privée et droit à l’information. En revanche, si Google ne respecte pas le droit dans l’UE, il s’expose à des sanctions importantes dans le cadre du RGPD.

Cette décision souligne-t-elle les limites de la conception européenne de la protection des données ?

La CNIL avait l’ambition de faire appliquer l’idée qu’une demande de déréférencement doit s’appliquer partout. Elle argumentait que la protection des données personnelles est un principe absolu, quelle que soit la localisation de l’internaute. Elle s’appuyait sur l’article 3 du RGPD, qui indique que le texte s’applique dans le cadre des activités d’un établissement sur le territoire de l’Union, que le traitement de données ait lieu dans le territoire de l’Union ou pas.

Mais la CJUE a dû prendre en compte la question complexe de l’extra-territorialité, dans tous les cas difficiles à mettre en place, car il faut avoir les moyens d’appliquer des règles européennes dans le reste du monde. Or, on touche là à une limite du droit européen : dans d’autres pays, dans ce cas les États-Unis, le droit à l’information est constitutionnel donc très puissant. On peut difficilement lui opposer le RGPD.

Avec ce jugement, la notion d’un droit à l’oubli mondial est-elle définitivement enterrée ?

C’est toujours difficile de se projeter. Mais le monde est découpé en zones, et chacune affirme sa propre conception du droit. La zone européenne a une vision très humaniste du droit : elle privilégie la défense de tous les droits humains, dont le respect de la vie privée, mais également la liberté d’expression. Des pays comme le Canada ou le Japon prennent une voie similaire. En revanche, les États-Unis ont une vision plus économiste qui privilégie la liberté d’entreprendre et la liberté d’entreprise. Certes, ils ont des textes pour encadrer le droit de la vie privée, mais ils sont moins puissants qu’en Europe. Et puis enfin, il y a des zones où le droit est plus utilitariste, comme en Chine. Ces différentes régions vont avec différents équilibres dans la défense des intérêts entre la personne, les entreprises et l’État.

Auteur/Autrice

Laisser un commentaire

Laisser un commentaire