Quelques précisions du Conseil d'État sur le déréférencement des données sensibles
Le Conseil d'État a rendu 13 arrêts, le 6 décembre 2019, par lesquels il précise le raisonnement que soit suivre la CNIL pour rejeter ou faire droit aux demandes de déréférencement de pages Web contenant des données sensibles au sens du RGPD.
L’article 17 du RGPD donne le droit aux personnes concernées d’obtenir des moteurs de recherche, sous certaines conditions, le déréférencement des pages Web contenant leur données personnelles. Il est en effet bien souvent plus aisé de formuler une demande unique de retrait des données auprès d’un moteur de recherche en position dominante –Google– que de diviser ses poursuites contre les divers éditeurs des sites Web litigieux. En cas de succès, les données ne sont pas retirées d’Internet, à proprement parler, mais leur visibilité s’en trouve drastiquement réduite.
Toutefois, le déréférencement d’une page Web réduit la visibilité de l’ensemble des informations contenues dans cette page, et non pas seulement des données personnelles. La demande de déréférencement, formulée auprès d’un moteur de recherche, présente donc l’inconvénient majeur de porter atteinte à la liberté d’expression de l’auteur de la page déréférencée, et corrélativement à la liberté d’information des internautes. Elle peut également causer un préjudice économique à l’éditeur de la page déréférencée. C’est pourquoi le déréférencement ne peut être ordonné qu’après une mise en balance des différents droits en présence, lorsqu’il apparaît que cette mesure est à la fois nécessaire et proportionnée à son objectif de protection de la vie privée de la personne concernée.
Par un arrêt du 24 septembre 2019, dont nous avons parlé ici, la Cour de Justice de l’Union européenne a dit pour droit qu’il appartenait aux autorités de contrôle et aux tribunaux des États membres de déterminer, en fonction des circonstances de chaque espèce, la portée géographique et matérielle du déréférencement, en veillant à ce que la mesure demeure nécessaire et proportionnée à l’objectif poursuivi.
Les 13 arrêts rendus le 6 décembre 2019 par le Conseil d’État précisent le raisonnement à suivre et fournissent des exemples des critères à prendre en compte pour rejeter ou faire droit à une demande de déréférencement. Ces arrêts sont d’autant plus importants qu’ils constituent, à l’échelle européenne, le premier “mode d’emploi” du droit à l’oubli.
Le déréférencement est un droit
L’on ne doutait pas, à la lecture de l’article 17 RGPD, que le déréférencement fut un droit ; mais il est utile que le Conseil d’État le rappelle de manière explicite, par une formule reproduite dans plusieurs arrêts (p. ex. n°395335, point 11) :
Il appartient en principe à la CNIL, saisie par une personne d’une demande tendant à ce qu’elle mette l’exploitant d’un moteur de recherche en demeure de procéder au déréférencement de liens renvoyant vers des pages web publiées par des tiers et contenant des données personnelles ne relevant pas de catégories particulières la concernant, d’y faire droit.
S’il appartient à la CNIL de faire droit à la demande de déréférencement, c’est que le déréférencement est un droit du demandeur. Mais l’exercice de ce droit, qui est en principe possible, est soumis à plusieurs conditions.
Le déréférencement doit être nécessaire
Le déréférencement doit être nécessaire à la sauvegarde du droit à la vie privée de la personne concernée. C’est la première condition que plusieurs arrêts du 6 décembre illustrent parfaitement.
Ainsi, lorsque le moteur de recherche, cédant à la pression économique, n’a pas attendu d’être condamné pour déréférencer les pages litigieuses, le déréférencement n’est plus nécessaire au jour où le juge statue et la demande se trouve privée d’objet.
Dans les arrêts n°391000, 397755, 399999, 407776, et 423326, le Conseil d’État juge que :
(…) dans l’hypothèse où il apparaît que les liens litigieux ont été déréférencés à la date à laquelle il statue, soit à la seule initiative de l’exploitant du moteur de recherche, soit pour la mise en œuvre d’une mise en demeure, le juge de l’excès de pouvoir doit constater que le litige porté devant lui a perdu son objet.
Le déréférencement doit être proportionné
La question de la proportionnalité, deuxième condition pour faire droit à la demande de déréférencement, est beaucoup plus épineuse que celle de la nécessité. L’analyse, qui repose sur les circonstances de l’espèce, est plus subjective.
L’apport principal des arrêts du 6 décembre 2019 est sans doute de fournir une grille d’analyse pour déterminer si le déréférencement est proportionné :
Pour procéder ainsi à une mise en balance entre le droit au respect de la vie privée et à la protection des données à caractère personnel et le droit à la liberté d’information et apprécier s’il peut être légalement fait échec au droit au déréférencement, il (…) incombe [à la CNIL] de tenir notamment compte, d’une part, de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise en ligne et des répercussions que leur référencement est susceptible d’avoir pour la personne concernée et, d’autre part, de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société. Il lui incombe également de prendre en compte la possibilité d’accéder aux mêmes informations à partir d’une recherche portant sur des mots-clés ne mentionnant pas le nom de la personne concernée ainsi que le rôle qu’a, le cas échéant, joué cette dernière dans la publicité conférée aux données la concernant.
Plusieurs critères doivent donc être pris en compte, que l’on peut répartir en trois catégories.
La première catégorie concerne les critères intrinsèques aux données :
- la nature des données en cause ;
- le contenu des données ;
- le caractère plus ou moins objectif des données ;
- l’exactitude des données ;
- la source des données ;
- les conditions de leur mise en ligne ;
- les répercussions que leur référencement est susceptible d’avoir sur la personne concernée.
La nature des données est un critère objectif qui ne présente pas de difficulté particulière. Nous le verrons, certaines données sont qualifiées de “sensibles” par le législateur, ce qui rend d’autant plus intense le besoin de les protéger.
Le contenu des données vise, sous une formule plutôt sibylline, leur degré de précision. L’on sait, en effet, que la précision des données peut être réduite afin de rendre plus difficile l’identification de la personne concernée. L’opération est parfois appelée minimisation des données. Ainsi, par exemple, la pseudonymisation d’un patronyme est une minimisation alors que l’anonymisation est un retrait pur et simple de la donnée.
Le caractère plus ou moins objectif des données est un critère qui reste encore flou. La jurisprudence sera probablement amenée à le préciser. On pourrait comprendre qu’une donnée objective, qui n’a pas été choisie par la personne concernée, ne jouit pas du même degré de protection qu’une donnée subjective, volontairement choisie. Pourtant, l’âge, la taille ou la couleur des yeux sont des données objectives qui sont, selon le réglement européen et la loi “informatique et libertés”, moins protégées que certaines données subjectives telles que les idées politiques ou les croyances religieuses. On pourrait aussi comprendre, à l’inverse, que la subjectivité s’attache à la personne à l’origine de la diffusion des données. Le critère n’en devient pas plus clair, puisque la donnée deviendrait alors une opinion et tomberait dans le champ d’application de la loi du 29 juillet 1881 (diffamation).
Le critère de l’exactitude des données doit être manié avec précautions. Il n’appartient en effet ni à la CNIL ni au juge de se prononcer sur l’exactitude d’une donnée ; tout au plus peuvent-ils la constater. Ce pouvoir limité du juge, autrefois débattu (J. Carbonnier, Le silence et la gloire, D. 1951.119) est aujourd’hui largement admis (p. ex. Cons. cons. décision n°2012-647, 28 févr. 2012, JO 2 mars 2012, p. 3988). Quant à la source des données, il en va de même : le juge excéderait son rôle et sortirait des limites du litige qui lui est soumis en se prononçant sur la fiabilité et le sérieux d’une source d’informations.
Enfin, les deux derniers critères, les conditions de mise en ligne des données et les répercussions de leur référencement sur la personne concernées sont à la fois vagues et très larges. Les conditions de mise en ligne peuvent être diverses et variées, avoir trait à la personne concernée, à l’auteur de la mise en ligne, aux données elles-mêmes ainsi qu’aux circonstances propres à l’époque… Les répercussions, quant à elles, si tant est qu’elles puissent être mesurées, peuvent être évolutive et devenir favorables au moment où l’affaire est jugée alors qu’elles étaient défavorables au moment où les données ont été mises en ligne, ou inversement. Les arrêts du Conseil d’État fournissent toutefois un exemple convaincant d’utilisation du premier critère. Ainsi, lorsque la personne concernée a elle-même rendu ses données publiques, il lui devient plus difficile de prétendre que leur diffusion viole son droit à la vie privée.
La deuxième catégorie a trait aux critères intrinsèques à la personne concernée :
- la notoriété de cette personne ;
- son rôle dans la vie publique ;
- sa fonction dans la société.
Ces trois critères ont trait à la place dans la société de la personne concernée. Ils sont, au moins indirectement, inspirés du droit américain de la liberté d’expression. Pour la Cour suprême américaine (New York Times Co. v. Sullivan, 376 U.S. 254 [1964]), l’intérêt du public à recevoir une information est d’autant plus grand que cette information concerne une personne publiquement impliquée dans l’organisation de la société (“public figure”). Une telle personne jouit d’une protection moins élevée contre la diffamation, parce qu’elle a choisi de s’exposer au public.
Le raisonnement devrait être semblable, en droit français, s’agissant du déréférencement des données personnelles des personnages publics. Cela ne signifie pas, pour autant, que la balance du droit français penchera autant du côté de la liberté d’expression que celle du droit américain. Ainsi, dans l’arrêt n°395335, le Conseil d’État a jugé que la CNIL aurait dû faire droit à la demande de déréférencement d’une personne jouant un rôle prépondérant dans la vie sociale et économique d’un pays étranger, car les données en question concernant une relation extraconjugale n’étaient pas strictement nécessaires à l’information du public.
Enfin, la troisième catégorie porte sur les critères extrinsèques aux données et à la personne concernée :
- la possibilité d’accéder aux informations sans utiliser les données personnelles dans la requête de recherche ;
- le rôle qu’a joué la personne concernée dans la publication de ses données.
L’arrêt n°393769 fournit un bon exemple de l’utilisation de ces critères. Dans cette espèce, la personne concernée reprochait à un article publié sur le Web de mentionner son appartenance passée à l’église de scientologie, qu’il avait lui-même rendue publique. Le Conseil d’État annule la décision de la CNIL, jugeant que celle-ci n’avait pu légalement estimer “que le maintien [des] liens [litigieux] présentait un intérêt prépondérant pour le public, alors que, par ailleurs, les internautes intéressés [pouvaient], dans le cadre d’une recherche effectuée à partir de mots-clés ne mentionnant pas le nom de M. X, continuer à accéder” à l’article. Le déréférencement est donc proportionné lorsqu’il permet aux internautes d’accéder à la page Web litigieuse par toute autre requête de recherche que celle associant le nom de la personne concernée à l’église de scientologie. La liberté d’expression n’est pas atteinte et la vie privée de la personne concernée est sauvegardée.
Inversement, dans l’arrêt n°405910, le Conseil d’État a jugé que l’adresse personnelle qu’une personne avait révélée lors d’un dépôt de brevet pouvait être déréférencée en raison du faible intérêt du public à accéder à cette information après l’expiration du brevet.
Des grilles d’analyse différentes selon la sensibilité des données
Un autre apport des arrêts du 6 décembre 2019 réside dans la distinction à opérer, dans l’analyse de la nécessité et de la proportionnalité, selon les catégories de données.
Le Conseil d’État distingue, comme le réglement européen et la loi “informatique et libertés” :
- les données qui relèvent de catégories particulières ; c’est-à-dire les données qualifiées de sensibles par les textes, telles que les données portant sur la santé, la vie sexuelle, les opinions politiques et les convictions religieuses de la personne concernée ;
- les données pénales ou relatives à une procédure judiciaire qui, sans être des données sensibles, méritent un degré de protection supérieur aux données ne relevant pas de catégories particulières.
- les données ne relevant pas de catégories particulières ; comprendre: les données qui ne sont pas particulièrement sensibles.
Pour les deux premières catégories de données, la CNIL et le juge devront vérifier que leur diffusion est strictement nécessaire à l’information du public, c’est-à-dire qu’il n’existe pas d’alternative à la publication des données et que sans cette publication le public ne pourrait plus être valablement informé. L’on peut imaginer, par exemple, que révéler la condamnation d’un homme politique pour fraude électorale sans révéler son nom prive l’information d’intérêt et de raison d’être.
Pour la troisième catégorie de données, la diffusion est justifiée dès lors qu’il existe un intérêt prépondérant du public à recevoir l’information, même s’il pourrait également la recevoir sans que les données soient révélées. Tel est le cas des coordonnées permettant de contacter un médecin généraliste (arrêt n°405910).
Le Conseil d’État précise que lorsque les données ont volontairement été rendues publiques par la personne concernée, elles doivent être analysées comme les données de la troisième catégorie, même si leur nature les plaçait originellement dans l’une des deux premières catégories. Ainsi, dans l’arrêt n°409212, le Conseil d’État a jugé à propos de l’auteur d’un roman ayant volontairement révélé son orientation sexuelle (donnée sensible), que les répercussions du référencement sur l’intéressé excédaient l’intérêt prépondérant du public à accéder à cette information. C’est donc le critère réservé aux données ne relevant pas de catégories particulières qui est, dans cette espèce, appliqué à une donnée sensible.
Enfin, le Conseil d’État précise, comme la CJUE avant lui, l’importance de l’actualisation des données relatives à une infraction pénale. Il peut en effet arriver qu’un article soit publié lors d’une instruction ou au cours d’un procès, que la personne concernée bénéficie par la suite d’un non-lieu ou d’un acquittement, et que l’article perdure en l’état, amenant ses lecteurs à penser que des soupçons demeurent. Par exemple, dans l’arrêt 405464, le Conseil d’État a jugé qu’était fondé le maintien d’un lien vers un article faisant état de la condamnation d’un homme politique pour apologie de crimes de guerre ou contre l’humanité, dès lors qu’il étant fait mention de la décision de cassation ayant annulé la condamnation.