2014/06 > La protection et la conservation des données personnelles dans le monde numérique
En pleine réforme européenne de la protection des données personnelles faisant l’objet d’un traitement informatisé et discussions sur un Accord de libre-échange commercial entre l’Europe et les Etats-Unis, la Cour de Justice de l’Union Européenne (CJUE) vient, à un mois d’intervalle, de rendre deux arrêts d’importance, pointant par ailleurs les difficultés à concilier échanges commerciaux et protection des personnes quand les données de celles-ci sont, de fait, appelées à circuler.
Ces arrêts sont l’un et l’autre rendus au visa de la Charte des droits fondamentaux de l’Union Européenne selon laquelle « Toute personne a droit au respect de sa vie privée » (article 7) et « Toute personne a droit à la protection des données à caractère personnel la concernant… » (article 8).
Dans l’arrêt le plus récent du 13 mai 2014 (Aff. C-131/12), la CJUE consacre le principe du « droit à l’oubli » dans le cadre d’une réclamation déposée par un ressortissant espagnol devant l’Agence Espagnole de Protection des Données (AEPD) et à l’encontre de Google Inc. et Google Spain aux fins de voir retirer de leur index des données personnelles le concernant et d’empêcher l’accès à celles-ci à l’avenir. Ce ressortissant demandait notamment que ses données n’apparaissent plus dans les résultats de recherche d’un quotidien espagnol à grande diffusion dans lequel son nom était rattaché à une vente immobilière sur saisie pratiquée en recouvrement de dettes datant de 1998. Estimant que l’éditeur du quotidien avait légalement publié les données en cause, l’AEPD avait rejeté la réclamation à l’encontre de celui-ci. En revanche, elle avait demandé aux sociétés Google de prendre toutes mesures de retrait desdites données et de les rendre inaccessibles pour l’avenir dans leur moteur de recherche. Google a alors saisi la juridiction espagnole qui a elle-même saisi la CJUE d’une demande préjudicielle.
Devant la Cour, Google Inc . et sa filiale soutenaient qu’en application de la Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO n° L 281 du 23/11/1995), l’activité des moteurs de recherche n’est pas un traitement des données apparaissant sur les pages web de tiers dans la liste des résultats de la recherche, mais seulement un traitement des informations accessibles sur internet sans distinction entre les informations et les données personnelles et qu’en tant qu’exploitant d’un moteur de recherche, Google Inc. ne pouvait être tenu responsable de données qu’à priori il ne connaissait pas et ne pouvait contrôler. La CJUE répond sur ce point que l’activité d’un moteur de recherche consistant à trouver des informations publiées par des tiers, à les indexer de manière automatique, à les stocker temporairement et les diffuser selon un ordre de préférence doit être qualifiée de traitement des données à caractère personnel.
La question était ensuite de savoir si la société Google Inc., exploitant le moteur de recherche, pouvait être tenue responsable de ce traitement des données. La CJUE rappelle à cet égard qu’en application de l’article 2 d) de la Directive, doit être tenu responsable du traitement des données « la personne physique ou morale,…, qui seul ou conjointement, détermine les finalités et les moyens de traitement de données à caractère personnel ». En l’espèce, les activités de la société mère domiciliée hors de l’Union Européenne, exploitant le moteur de recherche et celles de sa filiale sur le territoire espagnol, consistant à vendre des espaces publicitaires proposés par ce moteur de recherche, sont indissociablement liées, selon la Cour, puisque l’activité de cette filiale permet de rentabiliser le moteur de recherche et que ce moteur est en même temps le moyen permettant l’activité de la filiale. Selon la Cour, Google Inc. ne peut donc se soustraire aux obligations et aux garanties de la directive et doit être considéré comme responsable.
La CJUE retient enfin que les liens vers des pages web publiées par des tiers contenant des informations relatives à une personne, apparaissant dans la liste de résultats de la recherche menée au nom de cette personne, et qui en l’absence de moteur de recherche ne pourraient être interconnectées, sont une ingérence dans sa vie privée qui ne peut pas trouver une justification par le seul intérêt économique de l’exploitant du moteur de recherche. Face à la gravité potentielle que représente une telle ingérence, l’exploitant doit supprimer ces données si elles sont devenues inadéquates ou obsolètes au fil du temps (sauf cas particuliers selon la nature de l’information en question, ou l’intérêt pour les internautes à disposer de cette information notamment en raison du rôle joué par cette personne dans la vie publique).
Dans une autre affaire, saisie des demandes préjudicielles par la Haute Cour irlandaise et la Cour Constitutionnelle autrichienne sur la légalité et la compatibilité de leurs lois nationales transposant la « Directive 2006/24 sur la conservation des données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communication », la Cour de Justice de l’Union Européenne a tout simplement invalidé cette directive pour violation de la règle de proportionnalité. Elle a, en effet, considéré par arrêt du 8 avril 2014 (Aff. Jointes C-293/12 et C-594/12) que le texte de la Directive de 2006 excédait ce qui était nécessaire à la réalisation de ses objectifs en raison des imprécisions et de l’absence de limites posées par le texte.
Cette Directive autorise, en effet, la collecte et de la conservation des données par les fournisseurs d’accès à Internet dans l’objectif de rendre les disponibles à des fins de recherche, de détection et de poursuite pour leur transmission éventuelle aux autorités compétentes. Selon la CJUE, il en résulte, cependant, une vaste ingérence d’une gravité particulière dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel. De plus, même si la Directive n’autorise pas l’accès aux contenus des communications, la conservation des données et leur utilisation ultérieure échappent à toute information des personnes concernées. Elle reconnait que l’objet de la Directive, qui est de garantir la disponibilité de ces données pour lutter contre la criminalité, répond à un objectif d’intérêt général et de sécurité publique, et qu’en cela la conservation des données répond à cet objectif. Cependant, les moyens mis en œuvre par la Directive doivent respecter le principe de proportionnalité et ne doivent pas dépasser ce qui est nécessaire à la réalisation des objectifs de la Directive.
La CJUE souligne ensuite dans la Directive, le manque d’encadrement des conditions matérielles et procédurales relatives à l’accès aux données par les autorités compétentes, l’absence de contrôle préalable par une autorité indépendante s’agissant de l’accès à ces données, l’absence de critère objectif quant à la durée de conservation de ces données et l’absence de garantie s’agissant de leur destruction irrémédiable passé le délai. Cette absence de règles n’assure pas « une protection efficace des données conservées contre les risques d’abus ainsi que contre tout accès et toute utilisation illicites de ces données ». En outre, la Directive n’impose pas que les données soient conservées sur le territoire de l’Union, de sorte à ce que soit garanti le contrôle par une autorité indépendante conformément aux règles de l’Union.
Dans ces conditions, la CJUE considère qu’en adoptant la Directive 2006/24, le législateur de l’Union a excédé les limites qu’impose le respect du principe de proportionnalité.
Par ces deux arrêts, la CJUE a entendu participer aux débats actuels sur la réforme de la protection des données personnelles lancée par la Commission européenne et comprenant un projet de règlement relatif au traitement des données personnelles et un projet de directive « police et justice » votés par le parlement européen le 12 mars 2014. Ce projet de règlement prévoit dans le cadre d’une harmonisation des règles des Etats membres, le droit à l’effacement des données, la soumission de la communication des données personnelles à l’autorisation préalable d’une autorité nationale, le consentement de la personne concernée, ainsi qu’une autorité de contrôle à l’échelon européen avec une « approche guichet unique ». Concrètement, le règlement remplacera la loi 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés lorsqu’il sera définitivement adopté.
En France, la CNIL est aujourd’hui l’autorité en charge de veiller à la protection des données personnelles. Elle dispose à ce titre d’un pouvoir de contrôle et de sanction, avec l’aide d’agents habilités. La loi dite « Hamon » a accru les pouvoirs de ces derniers en disposant qu’ « En dehors des contrôles sur place et sur convocation, ils peuvent procéder à toute constatation utile ; ils peuvent notamment, à partir d’un service de communication au public en ligne, consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données le temps nécessaire aux constatations ».
La question des données personnelles est actuellement une question extrêmement sensible, et on le voit, la CJUE et le législateur français entendent dans le débat actuel, marquer une position ferme, soucieuse de la protection des personnes.