1. Le rappel du contexte
Dans son arrêt du 13 mai 2014 (aff. C-131/12, AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère 
; D. 2014. 1476 , note Valérie-Laure Benabou et J. Rochfeld ; ibid. 1481, note N. Martial-Braz et J. Rochfeld ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJCT 2014. 502, obs. O. Tambou ; Constitutions 2014. 218, chron. D. de Bellescize ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 879, étude B. Hardy ), la Cour de justice de l’Union européenne (ci-après CJUE) a imposé aux moteurs de recherche et en particulier à Google de « supprimer de la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations » portant atteinte à la protection des données personnelles d’un requérant.
Confrontée à un afflux massif de demandes de déréférencement, la société californienne a dès l’origine articulé sa stratégie autour de deux axes : sa volonté de se mettre en conformité avec l’arrêt de la CJUE et son profond désaccord avec ce nouveau droit remettant en cause son objectif existentiel de liberté de circulation des informations1.
2. Le comité Google entre création inédite et précautions de fonctionnement
Dès l’été, Google a annoncé la constitution d’un comité composé d’une part, de huit experts issus du monde universitaire, des médias, de la société civile ou spécialistes des technologies et de la protection des données et, d’autre part, deux exécutifs de la société Google, Éric Schmidt l’ancien PDG et David Drummond actuel vice-président senior pour le développement de l’entreprise et le directeur des affaires juridiques.
Les garanties de transparence mises en place par Google afin de s’entourer de légitimité sont à la hauteur des critiques relatives à l’impartialité de cette démarche2. La société a créé un site internet, incité toute personne le souhaitant à déposer sa contribution sur son site. Elle a initié une consultation publique européenne dans sept capitales de septembre à novembre 2014 dont les transcriptions sont en accès libre sur le site du comité. Organisées sous un format relativement identique, ces réunions publiques ont été animées par l’un des membres exécutif de la société Google rattaché au comité. Elles ont donné lieu à des présentations de huit experts nationaux d’horizons variés3, permis à l’ensemble des membres du comité d’échanger avec ces experts « locaux » ainsi qu’au public présent de poser quelques questions. Un effort de représentativité des différents milieux mais aussi des différentes positions semble avoir été recherché.
Au final, le rapport est présenté comme étant celui des huit experts. Les premières pages témoignent de leur volonté de dissiper tout malentendu quant à la nature de leur mission. Il est rappelé que s’ils ont été sélectionnés par Google en raison de leur expertise, ils ont exercé leur mission en toute indépendance. La publication du rapport accompagné d’opinions séparées de cinq des huit experts se veut être une illustration de leur indépendance intellectuelle. Les experts ont pu exprimer librement leurs désaccords, voire faire des propositions supplémentaires. Ces personnalités ont accepté de travailler bénévolement4 afin là encore d’être en capacité de répondre de leur indépendance. Google a simplement mis à leur disposition des moyens humains5.
3. L’impact de cet exercice planétaire de responsabilité sociétale de l’entreprise
Avec la création de ce comité, Google a occupé l’espace public du débat et s’est livré à un véritable exercice planétaire de responsabilité sociétale de l’entreprise. Impliquée malgré elle dans la régulation du droit à l’oubli, Google a su retourner cela à son avantage en se portant en héraut de la liberté d’expression et d’information, conditions essentielles à un internet ouvert. Mettant habilement les européens face à leurs propres contradictions, la société américaine sape les fondements de l’actuelle et de la future régulation européenne de la protection des données personnelles.
C’est premièrement, la capacité, voire la légitimité des autorités nationales de protection des données personnelles à assurer conjointement cette régulation qui est en jeu. Le choix a été fait dans la directive 95/46 de réguler la protection des données personnelles à l’échelle de l’Union européenne à travers la mise en réseau des autorités nationales des protections des données personnelles réunis dans le groupe de travail 29 (ci-après GR29). Le système actuel reposant essentiellement sur la bonne volonté, montre ses limites. D’une manière un peu attendue, les experts ont soutenu la position de Google visant à limiter le champ d’application du droit à l’oubli à l’Union européenne. Leur recommandation est donc en opposition frontale avec celle du GR29 pour qui le droit à l’oubli doit avoir une portée mondiale incluant la totalité des versions de Google y compris le « .com ». Le récent non-respect de la prise de position du GR29 relative à l’examen de la politique de confidentialité de Google doit être cité ici. Il a fallu attendre un tir groupé de six autorités nationales6 de protection des données personnelles pour que la société californienne s’engage récemment devant l’autorité britannique à faire évoluer ses règles sur l’ensemble du continent européen d’ici juin 2015.
De son côté, le futur règlement de protection achoppe pour l’instant sur la mise en place d’un mécanisme de cohérence, et de coopération entre les autorités nationales de protection des données qui soit efficace. Le mécanisme dit du guichet unique, dont l’objectif est d’éviter de devoir s’adresser à chaque autorité de protection de données des vingt-huit États membres lorsque le traitement couvre plusieurs d’entre eux, est l’un des points fortement débattu. Considéré comme un pilier essentiel de la proposition de règlement, certains estiment qu’il doit être envisagé d’une manière à éviter tout forum shopping, c’est-à-dire le choix d’une entreprise globale de s’installer dans l’État membre où l’autorité de protection des données serait la plus conciliante.
C’est deuxièmement, une illustration de l’étroitesse des possibilités de co-régulation impliquant les acteurs privés. Malgré la possibilité d’élaborer des codes de bonne conduite évoquée à l’article 38 de la directive 95/46, cette pratique a été peu développée. La proposition du futur règlement faite par la Commission, bien que mettant en avant le principe de l’accountability du responsable de traitement des données personnelles, n’opère pas de profonds changements. Tant le Parlement européen7 que le Conseil ont apporté des précisions et des modifications afin d’étendre les possibilités de co-régulation. Il n’en demeure pas moins qu’en l’état actuel, seule l’élaboration de codes de conduite collectifs (associations, organisations représentant des catégories de responsables de traitement) est privilégiée. Le but de tels codes semble également limité puisqu’il s’agit de contribuer à réguler « en fonction de la spécificité des différents secteurs de traitement de données ». Enfin, les importantes modifications apportées par le Conseil relatives aux possibilités pour ces codes de devenir contraignants et aux possibles mécanismes de suivi de ces codes sont encore incertaines.
Ni l’actuel GR29, ni le futur Comité européen de la protection des données amené à remplacer le GR29, ni la Commission ne semblent véritablement armés pour développer une co-régulation avec une société telle que Google. Les difficultés de la Commission dans son enquête qui dure depuis plus de quatre ans sur les soupçons de monopole dans le secteur des moteurs de recherche en témoignent.
4. Une illustration de l’articulation réciproque entre le droit souple et le droit dur
Dans le contexte mouvant de réforme de la protection des données personnelles8, le rapport du comité Google constitue une sorte d’étape intermédiaire vers une forme d’autorégulation. Les conclusions de ce rapport ont vocation à servir à l’élaboration de lignes directrices par Google permettant la mise en œuvre d’un droit à l’oubli de façon homogène et selon des critères prévisibles pour l’ensemble des acteurs.
Le droit au déréférencement constitue ainsi une illustration de l’influence réciproque du droit souple sur le droit dur9 : le droit souple peut tout autant accompagner la mise en œuvre d’un droit dur qu’être l’instrument de nouveaux principes susceptibles d’inspirer voire d’infléchir le droit dur. En 2010, Google était resté en marge d’une première tentative d’auto-régulation professionnelle en refusant de signer la charte du droit à l’oubli numérique. À l’appui de son refus, la société invoquait déjà « des principes de territorialités, de liberté d’expression ou l’élaboration en cours de normes propres »10. Quatre ans plus tard, l’objectif de la société californienne sera sans doute de s’appuyer sur son expérimentation de la régulation du droit au déréférencement à l’échelle de l’Union européenne pour influencer la formulation voire l’existence de ce droit dans la réforme actuelle de la protection des données. Initiée en 2012, cette réforme annoncée en 2015 et dont il est sans cesse rappelé qu’elle fait partie des priorités de l’Union européenne, devrait vraisemblablement entrer en vigueur autour de 2018. D’ici là, la régulation du droit au déréférencement se fera essentiellement sur la base de droit souple sous le contrôle des autorités nationales de protection des données et des juges11.
5. Les leçons à tirer des propositions du comité
Sur le fond, la lecture du rapport du comité d’experts livre deux enseignements essentiels.
Tout d’abord sur de nombreux points, le rapport est en adéquation avec les lignes directrices du GR29 adoptées en novembre 2014.
Ainsi les deux instances rappellent que le droit consacré par la CJUE n’est pas véritablement un droit à l’oubli, mais simplement une obligation de déréférencement de liens comportant des noms et permettant d’accéder à d’autres pages web. Autrement dit, ce droit n’est pas un droit à l’effacement des données qui restent présentes sur le site de l’éditeur. Il s’agit plus modestement de restreindre, par le biais du moteur de recherche, l’accessibilité des données originales.
De même, les critères à retenir pour traiter les demandes sont assez similaires quoiqu’organisés de façon différente. Ces critères relèvent pour la plupart du bon sens juridique et restent assez généraux. Tant le GR29, que le comité, insistent sur le fait que l’appréciation de la demande se fera le plus souvent à l’aune d’une approche multicritères. Aucun critère n’est véritablement prépondérant sur les autres pour déterminer si l’information est de l’intérêt du public ou relève du droit à la protection des données personnelles.
En premier lieu, il s’agit de vérifier si la personne concernée joue un rôle dans la vie publique12. Cette appréciation se fera en fonction de la notoriété de la personne (artistes, chef d’entreprises, leaders politiques, religieux et spirituels etc.). L’influence, l’autorité de la personne du fait de sa profession (ex : directeur d’école) est aussi évoquée mais doit être combinée avec d’autres critères notamment celui de la nature de l’information. Ce deuxième critère permet de distinguer certaines informations présumées relevant de la vie privée comme celles relatives à la vie intime ou sexuelle, la situation financière, des éléments d’identification comme un numéro de téléphone, une adresse… D’autres informations seront plutôt considérées comme relevant de l’intérêt du public. Le rapport cite en exemple : les informations relatives à un discours, un engagement politique ou citoyen, une activité criminelle, la santé publique, la protection du consommateur… Seul bémol, marquant une divergence : l’intégration des informations sur les opinions religieuses et philosophiques contenues dans des discours relèvent plutôt selon le comité de l’intérêt du public. À la différence du GR29, le comité ne prend pas en compte que ces données constituent au sens de la règlementation européenne des données sensibles13. Le troisième critère est celui de la source de l’information et les raisons de sa publication. Si la source est gouvernementale ou si elle est diffusée par un journaliste, elle sera présumée d’intérêt du public. Le dernier critère est celui du temps. Plus l’information est ancienne, plus elle risque d’être obsolète et plus il pourra être légitime de demander son déréférencement. Bien entendu, ce critère temporel devra être combiné avec les critères précédents au cas par cas en fonction du type d’information. Par exemple, un crime contre l’humanité ne devrait pas pouvoir être désindexé. Le rôle joué par une personne dans la vie publique pourrait aussi jouer en faveur du maintien de l’information pour l’intérêt du public, malgré l’écoulement d’un laps de temps important.
Les recommandations du comité concernant la transparence sont également relativement conformes aux positions du GR29. Ainsi, le choix du moteur de recherche d’informer les utilisateurs que des liens ont été déréférencés n’est acceptable que si cette annonce est standardisée et ne permet pas d’identifier l’individu à l’origine du déréférencement. Les deux organismes recommandent aussi la diffusion au public de statistiques anonymisées sur le droit au déférencement tant en ce qui concerne les aspects procéduraux que les critères utilisés pour la motivation des décisions du moteur de recherche.
Les principales divergences, recommandations spécifiques apportées par le comité d’experts relèvent des points 5.1, 5.2 et 5.4 du rapport consacré aux éléments procéduraux.
Certaines relèvent de la différence d’objet entre les deux textes. Les lignes directrices produites par le GR29 s’adressent principalement aux autorités nationales de données de protection. C’est la raison pour laquelle elles n’entrent pas dans certains détails de la mise en œuvre. En revanche, le comité dont la tâche est d’orienter Google, n’hésite pas à se faire l’écho des critiques relatives à la formulation de son actuel questionnaire pour demander un déréférencement. Le comité propose deux types d’améliorations : rendre cette demande accessible et intelligible et obtenir de la personne concernée des informations plus qualitatives dans le but de faciliter le test de la balance des intérêts par les services de Google14. Enfin, le comité recommande la notification du déréférencement aux éditeurs de site, y compris de manière préalable, dans les cas les plus délicats. Le GR29 avait surtout rappelé qu’une telle notification ne constituait pas une obligation légale.
La divergence relative à la portée géographique du droit au déréférencement constitue le point le plus crucial de ce rapport. Tous les experts, sauf Sabine Leutheusser-Schnarrenberger, ont considéré que le déférencement ne devait pas s’étendre à l’ensemble des déclinaisons nationales de Google15. La position majoritaire visant à limiter l’application du droit aux versions européennes du moteur de recherche repose sur trois éléments essentiels. D’une part, l’imprécision de l’arrêt de la CJUE qui ne prend pas position sur cette question, ce qui laisse entendre clairement que le GR29 aurait été au-delà de ce que sa mission de régulation lui imposait. D’autre part, le fait que selon Google, 95 % des requêtes européennes se font uniquement dans la version nationale. Le comité en déduit que la suppression des liens dans les requêtes européennes est largement suffisante au regard de la protection des droits de la personne concernée. Enfin, il s’agit d’éviter une application extra-territoriale disproportionnée de la protection européenne du droit à la protection des données personnelles qui pourrait se heurter aux droits d’autres États susceptibles de privilégier le droit à l’information de leurs citoyens. Autrement dit, c’est une question d’effectivité du droit au déréférencement qui est aussi mise en avant. Le rapport exprime enfin sa préoccupation au regard du précédent que pourrait avoir un déréférencement global qui aboutirait à une sorte de balkanisation de l’internet donnant du crédit à celle prônée par les dictatures. Les arguments ici sont connus, leur formulation par des experts à l’issue d’une consultation publique d’envergure ne manqueront pas de donner une légitimité supplémentaire à la position de Google sur ce point. La jurisprudence récente américaine semble aussi donner raison à Google sur l’absence de fondement universel d’un droit au déréférencement.
6. Les incertitudes quant à l’avenir du droit au déréférencement
La formulation du droit à l’oubli dans le futur règlement n’a pas encore fait l’objet d’un accord entre les États membres au Conseil. Dans sa résolution du 12 mars 2014, le Parlement européen a proposé plusieurs amendements. Le droit à l’oubli a été requalifié de droit à l’effacement. En réalité, ce droit est plus général. Il comporte non seulement le droit à l’effacement proprement dit c’est-à-dire la suppression des données par l’éditeur, le droit au déréférencement correspondant à celui consacré par la CJUE, le droit à un traitement limité qui est une mesure conservatoire comportant un accès limité provisoire à un site, sorte d’archivage temporaire limitant l’accès à la donnée. Peu d’éléments ont été actés en ce qui concerne la mise en œuvre de ce droit à l’effacement, d’autant plus que l’actuelle formulation en fait un domaine dans lequel la Commission est habilitée à prendre des actes délégués pour le concrétiser. Dans ce contexte, l’expérimentation menée par Google à la suite de l’arrêt de la CJUE sera déterminante dans la négociation des contours du futur droit à l’effacement.
Le récent mandat donné par le Parlement européen pour le forum de la gouvernance de l’internet ne fait aucune référence explicite au droit au déférencement. Cela atteste aussi de la difficulté d’envisager de recourir au droit souple à l’échelle internationale.
Pour conclure, rien n’a été dit, ni dans le rapport ni dans les déclarations qui l’ont entouré sur la suite de la démarche que devrait mener la société Google. Rien ne permet de dire si après cette approche individuelle, la société californienne optera pour une approche plus collective notamment avec l’ensemble des autres moteurs de recherches.
Il a pu être suggéré que des outils soient mis en place pour faciliter le traitement conjoint de demandes de déréférencement que cela soit par la création d’une autorité commune de suivi ou la reconnaissance mutuelle des décisions des moteurs de recherche16.
Il a été également proposé que le droit au déréférencement puisse faire l’objet d’une procédure de médiation entre l’éditeur, la personne concernée et le moteur de recherche17, voire une procédure d’arbitrage18.
Le foisonnement du débat et des propositions pour la régulation du droit au déréférencement illustre la naissance d’un droit vivant de la protection des données personnelles qui nécessite d’être accompagné, encadré par l’adoption de règles claires, acceptables par tous et dont l’effectivité puisse être assurée.
Face à cet objectif ambitieux, la méthode choisie sera essentielle. Il ne s’agira pas seulement de déterminer qui du juge, des entreprises, des acteurs de la société civile, du législateur, des autorités de régulations sont les plus à mêmes de parvenir à cet objectif, mais aussi d’envisager comment l’ensemble de ces acteurs doivent participer à cette multi-régulation indispensable en raison des spécificités du monde numérique.
1 V. article de D. Drummond, Droit à l’oubli sur internet : trouver un juste équilibre, Le Figaro, 11 juill. 2014 ou encore les propos introductifs de D. Drummond lors de la réunion publique de Varsorvie le 30 sept. 2014
2 V. les articles de M. Rees, La CNIL n’ira pas à la réunion de Google sur le droit à l’oubli à Paris et Google met la gomme sur le droit à l’oubli.
3 Une majorité des intervenants avait un profil juridique (professeurs, magistrats, avocats, consultants éditeurs de revues juridiques en ligne, représentant d’autorité nationale de protection des données, etc.). Ont aussi été associés des représentants de la société civile, des entreprises, des représentants des médias (journalistes, des éditeurs de journaux notamment en ligne), mais aussi un psychiatre-psychanalyste, une sociologue, quelques ingénieurs ou représentants du monde académique des sciences dites dures telle que la physique…
4 Google a simplement pris en charge leurs frais d’hébergement et de transport pour leurs réunions.
5 Trois experts : un ingénieur, un juriste de la société Google et un juriste d’un cabinet extérieur, ainsi que du personnel pour assurer le secrétariat (trois employés à plein temps et quatre stagiaires à temps partiels).
6 V. article, Six CNIL européennes attaquent Google sur la vie privée, Le Monde, 2 avr. 2013.
7 V., A. Penneau, Certifications et codes de conduite privés, article 38 et 39, in La proposition de règlement européen relatif aux données à caractère personnel : propositions du réseau Trans Europe Experts, ss la dir. de N. Martial-Braz, Société de législation comparée, 2014 p. 345 et s.
8 Pour une étude statistique montrant l’importance quantitative des amendements déposés par le Parlement européen et des modifications apportés par le Conseil en comparaison avec la négociation de la directive 95/46, cliquez ici.
9 V. Le droit souple, Rapport annuel du Conseil d’État, 2013, spéc. p. 295, I. Falque-Pierrotin, Le droit souple vu de la CNIL : un droit relais nécessaire à la crédibilité de la régulation des données personnelles.
10 C. Thiérache, Le droit à l’oubli numérique : un essai qui reste à transformer, RLDI 2011, p. 11 et s.
11 V. condamnations récentes de Google par des Tribunaux nationaux en France, et en Espagne.
12 Sur cette question, v. O. Tambou, Les élus locaux et Google : les oubliés du « droit à l’oubli », AJCT2014. 502 .
13 J. Luis Piñar et L. Loluka-Zuk ont exprimé une position dissidente sur ce point du texte du rapport dans leur opinion commune, op. cit. p. 23 et s.
14 Il s’agirait par exemple de préciser dans quelle zone géographique la personne est connue du public, si la personne est devenue célèbre de son propre fait ou de manière non intentionnelle, etc.
15 L. Floridi a ultérieurement exprimé publiquement sa préférence pour un champ d’application national du droit au déréférencement, v. article Should you have the right to be forgotten on Google. Nationally, yes, Globally, no.
16 V. Rapport précité du Conseil d’État, Le numérique et les droits fondamentaux, proposition 5, p. 277 et s.
17 Ibid. p. 308 et s.
18 V. opinion de S. Leutheusser-Schnarrenberger, annexée au rapport du comité Google, p. 25.
