Internet est une porte d’accès à un monde d’images, de mots et de sons dont les limites sont sans cesse repoussées.

En deux décennies, il est une source d’information essentielle, un outil de communication incontournable et un vecteur actif d’échanges et de publicités.

Mais à chaque utilisation, les internautes laissant des traces sur la toile au travers de leurs publications, de chats, de postes ou de mise en ligne de contenus de toute forme.

Toutes les fenêtres du web sont autant d’empreintes numériques qui révèlent une part de notre vie privée de manière instantanée et permanente.

Entre la révolution virtuelle et le respect des droits fondamentaux, la nécessité d’un équilibre s’est donc imposée.

La prudence a permis de développer des outils de protection des données personnelles à disposition de chacun.

Je vous propose de nous plonger dans le système de télécommunication les plus étendus au monde pour appréhender au mieux les droits des internautes et les garanties dont ils bénéficient.

– Quels sont les organes d’intervention dans la protection des données personnelles ?

En France, la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés a donné naissance à une autorité administrative en charge « de veiller à la protection des données personnelles » en toute indépendance.

Les missions de la Commission Nationale Informatique et Libertés (la CNIL) consistent à :

– recevoir les déclarations préalables de traitements automatisés de données à caractère personnel,
– autoriser, le cas échéant, lesdits traitements après avoir procédé vérifier de conformité aux exigences de la loi,
– répondre aux demandes d’avis du ou des ministres compétents,
– contrôler la mise en œuvre des traitements, donner des préconisations et sanctionner tout manquement à la législation.

Mais comme dans de nombreux domaines du droit, l’Europe est venu compléter le système de surveillance national.

Dans un souci de coopération des États membres, il s’est avéré nécessaire de coordonner les législations des États membres confrontés aux problématiques du numérique.

La directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données a été adoptée par le Parlement européen et le Conseil.

Elle institue un groupe de travail qui rassemble les représentants de chaque autorité indépendante de protection des données nationales en charge de faire évoluer les normes européennes dans ce domaine.

Le G29 a un caractère consultatif et indépendant.

C’est ainsi que les 16 et 17 septembre 2014, les autorités européennes de protection des données se sont réunies en assemblée plénière pour organiser l’effectivité du droit au déréférencement.

Un système de gestion des plaintes résultant d’une réponse négative des moteurs de recherche doit être mis en œuvre par l’instauration d’un réseau de points de contacts au sein des autorités de chaque État membre compétente.

– Quelles sont les limites posées par la protection des données personnelles?

Au niveau national et européen, les organes d’intervention disposent de pouvoirs dévolus par la Loi n° 78-17 du 6 janvier 1978 et la directive 95/46/CE du 24 octobre 1995 pour l’application du droit.

Le 3 janvier 2014, la CNIL a ainsi prononcé une sanction pécuniaire de 150 000 euros à l’encontre de la Société GOOGLE INC pour non respect de plusieurs dispositions de la Loi de 1978 et l’a enjoint de procéder à la publication d’un communiqué relatif à cette décision sur le site https://www.google.fr, durant 48 heures.

De même, la Cour de Justice de l’Union Européenne a, le 13 mai 2014, obligé les Sociétés GOOGLE INC et GOOGLE Spain à supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne.

Dans l’une et l’autre de ces procédures, la question de la compétence territoriale et matérielle des organismes nationaux et européens face aux responsables de traitements de données à caractère personnel implantés dans des pays tiers.

Aussi, ces deux décisions ont-elles mis en lumière les limites à leur autorité et à l’application des législations existantes.

En effet, ces législations ne tentent à s’appliquer qu’aux traitements de données dont le responsable est établi sur le territoire d’un des États Membres de l’Union Européenne.

Pour autant, les facteurs d’applicabilité territoriale s’entendent largement dans les cas suivants :

– soit le responsable du traitement des données à caractère personnel est établi dans un pays de l’Union Européenne,
– soit le traitement est effectué dans le cadre des activités d’un des établissements du responsable situés sur le territoire d’un État membre,
– soit, sans être établi sur le territoire d’un État membre, le responsable recourt à des moyens de traitement situés sur le territoire d’un État membre sauf si ces moyens ne sont utilisés qu’à des fins de transit.

Par ailleurs, seules les opérations techniques entrant dans la cadre de la définition du « traitement des données à caractère personnel » sont soumises aux principes de la Directive et de la Loi.

Mais dans son arrêt du 6 novembre 2003, la Cour de Justice de l’Union Européenne a jugé que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel était considérée comme un traitement de données à caractère personnel.

CJUE 6 novembre 2003 Affaire C 101/01

Le 13 mai 2014, les juges européens sont allés plus loin encore en considérant comme tel, l’opération par lequel un moteur de recherche sur Internet fournit des résultats de recherche qui dirigent l’utilisateur Internet vers la page web source.

CJUE 13 mai 2014 Affaire C-131/12

– Quelles sont les droits des personnes à l’égard des traitements de données à caractère personnel ?

L’article 1 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés pose le principe suivant :

« L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques ».

De cette législation ainsi que de la Directive de 1995 sont nées des garanties qui s’appliquent à toute personne concernée par le traitement de données à caractère personnel afin que celui-ci demeure loyal et licite.

Le consentement de la personne :

Les articles 7 de la Directive et de la Loi prévoient l’un et l’autre que le traitement des données à caractère personnel est soumis au consentement de la personne concernée sauf exception.

Ce droit souffre cependant certains aménagements notamment lorsque la sauvegarde de la vie de la personne concernée est en cause.

Le respect du principe de non discrimination :

Les articles 8 de la Directive et de la Loi s’opposent au traitement des données à caractère personnel qui faisant apparaitre l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la santé et la vie sexuelle.

Le consentement exprès de la personne concernée peut, dans certains cas, lever cette opposition.

Le droit à l’information :

L’article 10 Directive et l’article 32 de la Loi imposent l’un et l’autre au responsable du traitement ou à son représentant de fournir à la personne auprès de laquelle il collecte des données la concernant les informations permettant d’identifier le responsable et de déterminer les finalités du traitement.

Le droit d’accès aux données :

L’article 12 Directive et l’article 39 de la Loi garantissent à la personne concernée le droit d’interroger régulièrement le responsable sur le traitement de donnée la concernant et ses modalités.

Le droit d’opposition de la personne concernée :

L’article 14 de la Directive et l’article 38 de la Loi institue un droit d’opposition permettant à la personne concernée par le traitement des données de s’opposer, « pour des raisons prépondérantes et légitimes tenant à sa situation particulière » ou « pour des motifs légitimes », au traitement de ses données personnelles.

Le droit à l’oubli numérique :

Le 13 mai dernier, la Cour de Justice de l’Union Européenne a reconnu l’existence d’une nouvelle garantie personnelle.

A l’occasion de leur saisine sur l’application de la directive sur la protection des données à caractère personnel à un moteur de recherche exploité par Google en tant que fournisseur de services, les juges européens ont consacré le droit à l’oubli numérique.

CJUE 13 mai 2014 Affaire C-131/12

Ils soumettent cependant l’application de ce droit à un contrôle relevant de l’équilibre l’intérêt de la personne concernée et l’intérêt du public des internautes à avoir accès à l’information.

C’est cependant contre l’avis de l’avocat général que la Cour a considéré que l’activité d’un moteur de recherche était susceptible d’affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel.

Mais elle retient au final que la personne concernée peut adresser de sa demande directement à l’exploitant du moteur de recherche « en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités ».

Les développements auxquels cette jurisprudence donnera lieu, reste pour l’instant aussi incertain que circonstancié.

La Société Google a, cependant, mis en ligne un formulaire de demande pour effacer certains résultats de son moteur de recherche au titre de la protection des données personnelles.