Depuis la loi du 6 janvier 1978 au récent RGPD 2016/679, la protection des données personnelles fait l’objet d’un encadrement strict concernant le traitement de ces informations.
Dans un important arrêt du 13 mai 2014, la CJUE a consacré un véritable droit au déréférencement en considérant que les moteurs de recherche étaient des responsables de traitement tenus aux règles régissant la protection des données.
Dès lors, les demandes en déréférencement auprès des moteurs de recherche ont afflué et les contentieux liés au refus du déréférencement ont nécessité quelques précisions par les juridictions.
La portée et les limites du droit au déréférencement ont notamment été précisées par la CJUE dans deux arrêts en date du 24 septembre 2019.
Ensuite le 6 décembre 2019, le Conseil d’Etat a également rendu treize décisions tirant les conséquences des décisions prises par la CJUE.
Les critères d’appréciation du droit au
déréférencement par le Conseil d’Etat
Par un arrêt important du 24 septembre 2019, la CJUE a déterminé plusieurs critères à prendre en compte dans la balance des intérêts en présence pour appliquer le droit au déréférencement (CJUE 24 sept. 2019 Google / Cnil aff. C-507/17).
Aux termes de cet arrêt ce sont :
– la notoriété de la personne, c’est-à-dire si celle-ci joue un rôle dans la vie publique
– son âge, à savoir si elle était mineure au moment de la publication
– la nature des informations en cause (source, véracité, sphère privée ou publique…)
– l’éventuel préjudice qui en résulte
– le contexte de publication (consentement des informations, obligations légales…)
Le Conseil d’état a rendu 13 décisions en date du 6 décembre 2019 qui fixent les critères d’appréciations du droit au déréférencement.
La jurisprudence relève 3 catégories de données qui suivent chacune un régime d’application différent.
Les données dites « non sensibles » (a.) les données « sensibles » (b.) et les données des condamnations pénales (c.)
a. Les décisions concernant les données personnelles non sensibles
Les données personnelles non sensibles sont protégées. Toutefois, il ne doit pas exister d’intérêt prépondérant au public à avoir accès à l’information.
Dès lors qu’il existe un intérêt prépondérant pour le public d’avoir accès à ces informations, le droit des données personnelles sera tenu en échec au profit du droit à l’information.
Dans ce cas, la demande de déréférencement sera rejetée.
A titre d’exemple, un médecin avait saisi la CNIL pour demander le déréférencement d’un lien amenant à ses coordonnées professionnelles et à des commentaires négatifs.
Le conseil d’état a approuvé la CNIL d’avoir refusé le déréférencement. En effet, le Conseil d’Etat a considéré qu’il existait un intérêt prépondérant du public à accéder à ces informations compte tenu de la teneur des informations professionnelles et de sa qualité de médecin (CE 6 décembre 2019 n° 403868).
A contrario, le Conseil d’Etat a admis que l’inventeur d’un brevet expiré était bien fondé à demander le déréférencement de ses coordonnées personnelles.
En l’espèce, la publicité de ses coordonnées obligatoire conformément au code de la propriété intellectuelle ne s’imposait plus compte tenu de l’ancienneté du brevet. Il n’existait donc plus d’intérêt prépondérant du public à avoir accès à ces informations personnelles en vue de le contacter, le monopole d’exploitation du brevet ayant expiré (CE 6 décembre 2019 n° 405910).
Lorsque les données personnelles sont des « données sensibles », l’appréciation des intérêts en présence s’effectue par un critère plus restrictif.
b. Les décisions concernant les données dites sensibles (orientation sexuelle, santé, religion)
Les données spécifiques relevant de l’article 9 du RGPD (l’origine ethnique, l’orientation sexuelle, les convictions religieuses…) bénéficient d’une protection plus élevée.
Dans le cadre des demandes de déréférencement concernant les liens relatifs aux données sensibles, la Conseil d’Etat considère que le lien ne peut être maintenu que s’il « s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche .
Dès lors, le moteur de recherche ne pourra s’opposer au refus de faire droit à la demande sauf à démontrer le caractère strictement nécessaire à l’information du public.
A titre d’exemple, le conseil d’état a annulé le refus de la CNIL concernant une demande de déréférencement d’une personne concernant un article rappelant qu’il avait exercé une fonction au sein de l’église de scientologie au moment du suicide d’une adepte (CE 6 décembre 2019 n° 393769).
Concernant la vie privée, le Conseil d’état a également annulé le refus de la CNIL concernant une demande de déréférencement concernant des liens vers des articles de blogs et une vidéo mentionnant l’existence d’une relation extraconjugale que la requérante aurait entretenue avec l’ancien président de la République de B (CE 6 décembre 2019 n°395335).
Enfin, l’auteur d’un roman, épuisé et non réédité est fondé à demander le déférencement d’un lien menant à une analyse de son œuvre faisant état d’un certain nombre de données qui conduisait à révéler son orientation sexuelle (CE 6 décembre 2019 n° 409212).
C. Les décisions concernant les données pénales
Les données personnelles concernant une condamnation pénale relevant de l’article 10 du RGPD sont protégées de manières renforcées.
L’ensemble des règles concernant les données sensibles s’applique, de tel sorte que le maintien du lien doit être strictement nécessaire.
Le conseil d’Etat a jugé que la CNIL ne pouvait refuser le déréférencement de liens vers des chroniques judiciaire rapportant une condamnation pénale de 7 ans d’emprisonnement pour attouchement sur mineur, accessible à partir d’une recherche effectuée par le nom.
En l’espèce, l’ancienneté de la condamnation et ses répercussions sur la réinsertion du requérant qui avait perdu deux emplois en raison du référencement ont conduit à faire droit à sa requête tendant à l’annulation de la décision de la CNIL du refus de déréférencement (req. 401258).
Cette décision, fait échos à l’arrêt du 24 septembre 2019 de la CJUE qui apporte des précisions importantes dans les affaires relatives aux données dites sensibles, concernant les condamnations pénales visées par l’article 10 du RGPD en retenant six critères :
– la nature et la gravité de l’infraction
– déroulement et issue de la procédure
– le temps écoulé
– le rôle joué par la personne dans la vie publique
– l’intérêt du public au moment de la demande de retrait
– le contenu de la publication et ses répercussions sur la personne.
A contrario, le Conseil d’Etat a considéré que le référencement de liens vers des pages contenant des informations liées à la condamnation pour des faits de violence conjugale était strictement nécessaire. Le Conseil d’Etat ayant relevé que les pages web litigieuses reprenaient le contenu d’une interview que la requérante, personnalité publique avait elle-même donné auprès d’un site internet (CE 6 décembre 2019 n°429154).
Il est à préciser que concernant les condamnations pénales, le moteur de recherche devra : « aménager la liste des résultats de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation juridique actuelle, ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste (cons.78 CJUE 24 septembre 2019) ».
Cette obligation a été déterminante dans une affaire concernant la condamnation d’un maire pour apologie de crimes contre l’humanité dont l’arrêt avait été censuré par la Cour de cassation. Le conseil d’Etat a considéré que le référencement était strictement nécessaire à l’information du public et rejeté la requête.
Le requérant était un homme politique et Google avait procédé au réaménagement de la liste de résultats. Le lien en première page conduisait à un site internet qui faisant état de sa situation judiciaire actualisée, en mentionnant notamment la décision de la Cour de cassation (CE 6 décembre 2019 n°405464).
En conclusion :
Il revient au magistrat de trouver un juste équilibre entre droit à la vie privé, droit à l’information et liberté d’expression, par la prise en compte de la notion « d’intérêt prépondérant au public ».
Les magistrats effectuent ce contrôle de proportionnalité selon des critères définis par la CJUE, appliqués par le Conseil d’Etat permettant de mettre en balance les intérêts réciproques.
Dans le cas où des données sensibles au regard des articles 9 et 10 du RGPD risquent d’apparaître lors des recherches sur le nom d’une personne, un contrôle spécifique s’impose. Dans ce cas le maintien doit être « strictement nécessaire » étant donné que le traitement de ces données, par les moteurs de recherche, peut entrainer des préjudices particulièrement graves.