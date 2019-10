Image d’archives

Dans un élan de protection de ses ressortissants européens, la Cour de justice de l’Union européenne a décidé de consacrer le droit à l’oubli en 2014. Cinq ans plus tard, elle ménage la chèvre (américaine) et le chou (européen) en rendant une décision abdiquant sur le principe d’extraterritorialité de cette mesure.

L’Europe a décidé de protéger nos données personnelles… à moitié. Pour comprendre cet apparent paradoxe, il importe de revenir aux origines du «droit à l’oubli» et de la bataille juridique qui l’a entouré.

Dans un vocabulaire plus technique, il s’agit du droit au déréférencement, qui est la possibilité offerte au citoyen européen de demander le retrait de données le concernant des bases de données accessibles en ligne. La direction européenne 95/46 prévoit cette possibilité, tout en l’encadrant a minima, afin d’éviter les abus et une avalanche de demandes au responsable du traitement. Elle a depuis été sanctuarisée par une décision de justice en mai 2014, puis par l’article 17 du Règlement Général sur les Données Personnelles (RGDP), nonobstant le respect de certaines conditions et de la finalité de la demande.

Autour de cette question, traditionnellement, deux camps s’affrontent: les partisans de la libre disposition de ses données et ceux qui sont favorables à la liberté d’information sans restriction. La partie est cependant plus complexe, puisqu’il y a une troisième force en présence, ceux qui désirent monnayer les données d’autrui.

Et c’est ce débat que la double décision du 24 septembre 2019 de la Cour de justice de l’Union européenne (CJUE) est venue trancher… au profit des marchands du Temple. Elle emporte une conséquence qui n’a pas manqué de satisfaire les dirigeants des systèmes de traitement de données, à commencer par Google. Tout commence en mars 2016 par la mise en demeure de la CNIL (Commission Nationale Informatique et Libertés) relative à la désindexation de données. Ainsi, comme le rappelle la décision:

«La présidente de la CNIL a mis Google en demeure, lorsqu’elle fait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages Web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche.»

En clair, la CNIL exigeait de Google qu’il applique le «droit à l’oubli», non seulement sur la déclinaison française du moteur de recherche, mais aussi sur celles de tous les pays où le service était présent. La firme de Mountain View s’exécuta… partiellement, en retirant uniquement les résultats faisant l’objet d’une mise en demeure dans leurs déclinaisons européennes (. de,. uk,. be, etc.) et non pour toutes les autres. Cette réticence du géant numérique fut primordiale, puisque la CNIL entendait faire progresser le droit à l’oubli, pourtant consacré par cette même Cour de Justice de l’Union européenne, vers un statut d’extraterritorialité, et s’assurer ainsi que les informations retirées ne resteraient pas disponibles en se rendant sur des versions extraeuropéennes du moteur de recherche.

Las, la juridiction du Luxembourg n’a pas franchi le Rubicon, et s’est refusé de considérer que tout citoyen ou sujet européen aurait pu bénéficier d’un déréférencement intégral, qui allait pourtant dans le sens du principe qu’elle avait elle-même énoncé. Ainsi est-il précisé dans la décision de la CJUE que:

«En l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, le cas échéant, à la suite d’une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un État membre, pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur.»

Et pour justifier sa décision, la même Cour assène que:

«Le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité… À cela s’ajoute le fait que l’équilibre entre le droit au respect de la vie privée et à la protection des données à caractère personnel, d’un côté, et la liberté d’information des internautes, de l’autre côté, est susceptible de varier de manière importante à travers le monde.»

Louable sens de l’équité de la part de la Cour, si celle-ci ne servait de cache-sexe à une timidité devant l’extraterritorialité, au regard d’un principe concernant pourtant l’ensemble des ressortissants des États membres. Car sur le plan technique, la mesure ne tient pas: sans même le recours à un VPN (Virtual Private Network, réseau privé virtuel, qui permet notamment de masquer son lieu de connexion), il est aisé de consulter la page d’un moteur de recherche autre que celui de son pays de résidence, en modifiant simplement quelques paramètres de son ordinateur. En outre, il ne faudrait pas se focaliser sur les seuls moteurs de recherche, puisque les systèmes de traitement de données offrent un panel de services bien plus larges que cette seule activité.

Les magistrats tiennent à préciser malgré tout que:

«Ainsi qu’il a été relevé au point 64 du présent arrêt, le droit de l’Union n’impose pas, en l’état actuel, que le déréférencement auquel il serait fait droit porte l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus.»

Comprendre que ces derniers s’en remettent aux autorités de contrôle et judiciaires des pays membres de l’Union européenne. Là aussi, l’on peut arguer que la CJUE entend offrir une autonomie de décision auxdites autorités, mais l’on peut aussi en déduire qu’il s’agit de se défausser sur des puissances tierces de la possibilité d’assurer la souveraineté de données européennes. Difficile de ne pas mentionner a contrario l’exemple du CLOUD Act, texte législatif américain qui autorise les autorités nationales à récupérer des données d’individus transitant ou stockées par les serveurs ou logiciels états-uniens, y compris à l’étranger.

En définitive, si les arguments de proportionnalité sont recevables– nécessaire équilibre entre protection des données personnelles et liberté d’information– la CJUE refuse de reconnaître qu’en se concentrant sur le secteur géographique –en aval– en lieu et place de la disponibilité de l’information sur le service –en amont–, l’effectivité de la mesure administrative ou judiciaire sera très limitée. En outre, la CJUE semble faire porter la charge d’une décision lourde de conséquences sur les autorités de contrôle et judiciaires nationales de l’Union européenne, qui seront bien esseulées dès lors qu’il s’agira de l’imposer à des géants américains ou chinois.

