L’impact du RGPD sur la mise en œuvre future du droit à l’oubli numérique, par Olivia Tambou

Abstract: This post argues that the express introduction of the Right To Be Forgotten at Article 17 General Data protection Regulation (GDPR) brings limited added value because of the many compromises that conditioned its adoption. This first analysis must however be qualified in the light of other elements introduced by the GDPR, which have the potential to positively impact the future implementation of the Right To Be Forgotten . Firstly, these elements include the strengthening of regulation, through the principle of accountability of data controllers and processors, and through the increased consistency of the status, competences and powers of national data protection authorities, allowing for new forms of interregulation. Secondly, the GDPR should enhance the judicial control of the implementation of Right To Be Forgotten. Regulators and courts will thus have to clarify the Right To Be Forgotten as it is enshrined in the GDPR. One question is left open: the extent of the margin of appreciation, which is left to the Member States in reconciling ‘by law’ Right To Be Forgotten ‘with the right to freedom of expression and information, including processing for journalistic purposes and the purposes of academic, artistic or literary expression’ (Article 85 GDPR).

Ce post considère que l’introduction explicite du droit à l’oubli à l’article 17 Réglement Général de Protection des Données (RGPD) a une valeur ajoutée limitée en raison des compromis qui ont été nécessaires pour permettre son adoption. Cette première analyse doit néanmoins être nuancée, car d’autres éléments introduits par le RGPD sont susceptibles d’avoir un impact positif sur la future mise en œuvre du droit à l’oubli numérique. Le renforcement attendu de la régulation sous le contrôle des juges devrait clarifier la future mise en œuvre du droit à l’oubli numérique, tel qu’inscrit dans le RGPD. Une inconnue demeure. L’ampleur et la portée de la marge de manoeuvre laissée aux États membres dans la conciliation par la loi du droit à l’oubli avec « le droit à la liberté d’expression et d’information y compris dans le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire » (article 85 RGPD).

1. La valeur ajoutée limitée du compromis de l’article 17 RGPD

Le terme de « droit à l’oubli » est cité explicitement trois fois dans le RGPD. Plusieurs contributions antérieures ont rappelé que la reconnaissance du droit à l’oubli à l’article 17 RGPD ne permettait pas de clarifier pleinement sa nature, et l’étendue des obligations qu’il comporte pour les responsables de traitement. S’agit-il d’une composante spécifique du droit d’effacement ou ce droit est-il d’une nature différente allant au-delà de l’effacement ? Les ambiguïtés de la formulation définitive retenue témoignent des lignes de tensions entre les co-législateurs. (voir notre tableau comparatif des différentes versions de l’article 17 RGPD ). Le Parlement européen (PE) s’est opposé au maintien de cette référence au droit à l’oubli considérant qu’il s’agissait d’une forme de droit d’effacement et que l’oubli numérique était un concept ni réaliste, ni souhaitable. Le Conseil a été favorable au maintien de cette référence à l’oubli au moins dans le titre de l’article 17. Selon lui, l’ obligation pour le responsable ayant rendu publiques les données personnelles d’informer les autres responsables de traitement des demandes d’effacement justifiait en soi l’existence d’un réel droit à l’oubli . Cette seconde obligation serait l’élément clé permettant de distinguer le droit à l’effacement du droit à l’oubli et du droit d’opposition (cf. Réunion du 24 Avril 2015 p. 3). Cette utile précision permet certes, de répondre aux interrogations actuelles rencontrées dans la mise en œuvre du droit au déréférencement suite à l’arrêt Google Spain, sur l’existence d’une telle obligation d’information pour les moteurs de recherche (voir notamment le post de Miquel Pegera The application of the Right to be Forgotten in Spain ).

Néanmoins, son acceptation a été entourée de telles précautions que sa valeur ajoutée peut apparaître limitée. D’une part, elle n’a de sens qu’à la condition de considérer qu’un moteur de recherche peut être un responsable de traitement « ayant rendu publiques » les données personnelles. Ce point est discutable. Un moteur de recherche facilite l’accès à des données personnelles rendues publiques par l’éditeur à l’origine de leur mise en ligne. D’autre part, cette obligation n’est pas absolue. Le responsable de traitement est simplement tenu de montrer qu’il a pris des mesures raisonnables, tant du point de vue technique, que financier pour informer les autres responsables de traitement. C’est sans doute une bonne chose, car les autres responsables du traitement ne sont pas toujours identifiables. En outre, il n’est pas clairement dit que cela implique, une obligation spontanée d’effacement pour les autres responsables de traitement informés, sans requête en ce sens de la part de la personne concernée. Enfin et surtout, cette l’obligation d’effacement ne s’applique pas dans différentes hypothèses décrites à l’article 17§3 qui rendent le traitement de ces données nécessaires. L’obligation d’effacement sera donc variable en fonction du statut du responsable de traitement. Ainsi, comme actuellement, elle pourra jouer pour un moteur de recherche, mais être exclue pour l’éditeur originel , soit en raison d’une obligation légale, ou de l’exercice de son droit à la liberté d’expression et d’information (cf. nos propos sur l’arrêt de la Cour de Cassation française du 12 mai 2016 p. 4) ou de la finalité du traitement (motifs d’intérêts publics variés tels que la santé, la recherche scientifique etc.). L’extension de ce droit à l’oubli aux réseaux sociaux est aussi une question qui n’est pas directement tranchée par l’article 17.

La complexité, les ambiguïtés de la formulation retenue à l’article 17 RGPD invitent donc à prendre en compte d’autres innovations pour mesurer la valeur ajoutée du RGPD pour la mise en œuvre du droit à l’oubli.

2. Le renforcement attendu de la régulation du droit à l’oubli

L’un des apports du RGPD est de renforcer toutes formes de régulation. Premièrement, le RGPD introduit le principe la responsabilité, « accountabilily », (article 24 RGPD) des responsables de traitement et de leurs sous-traitants. Cela signifie qu’ils doivent prendre des mesures pour documenter leur mise en conformité aux obligations qui leur incombent en vertu du RGPD. Cela inclut la manière dont ils entendent mettre en œuvre le droit à l’oubli, tel qu’introduit à l’article 17 RGPD. L’activité des futurs délégués de la protection des données personnelles, l’analyse d’impact relative à la protection des données comporteront nécessairement des éléments sur le traitement du droit à l’oubli. D’autres nouveautés sont étroitement liées à la volonté de répondre en amont au besoin social inhérent au droit à oubli numérique. Tel est le cas des principes de la protection des données dès la conception et de la protection des données par défaut (article 25 RGPD).  Les outils rénovés, tels que les codes de conduites (article 40 RGPD) pourraient aussi être adoptés pour répondre à certaines difficultés sectorielles du droit à l’oubli. Une telle éventualité pourrait être la bienvenue dans le secteur des éditeurs de presse notamment en raison des nombreux cas liés aux services d’archivage en ligne des organes de presse.

La mise en œuvre du droit à l’oubli est aussi au cœur d’une régulation institutionnelle, celle menée par les autorités de protection des données . L’harmonisation de leurs compétences, missions et pouvoirs aura un impact certain sur la future mise en œuvre du droit à l’oubli. Le RGPD confère à chacune des autorités de protection des 28 États membres :

  • le pouvoir d’ordonner l’effacement des données au sens de l’article 17 du RGPD (article 58.1g) RGPD),
  • des pouvoirs d’enquête voire d’audit conjoint qui pourraient être utilisés afin de coordonner des mesures de contrôle de  la mise en oeuvre du droit à l’oubli par un responsable de traitement entre les autorités de plusieurs États membres (cf. article 62) et de renforcer les actuelles possibilités d’inspections nationales (cf. une illustration récente en Suède évoquée dans la contribution de Patricia Jonason p. 6).
  • la possibilité d’imposer aux responsables de traitement des amendes administratives pouvant atteindre le montant le plus élevé, en cas de violation de ce droit à l’oubli ( 20 millions d’€ ou 4% du chiffre annuel mondial selon l’article 83§5,b).

Quant au Comité Européen de la Protection des Données (CEPD), il lui est demandé explicitement de publier des lignes directrices sur « les procédures des suppressions de liens vers des données à caractère personnel, des copies, ou des reproductions de celles-ci existant dans les services de communication accessible au public » (article 70 §1 g) RGPD). Le droit à l’oubli devrait devenir un sujet régulier de l’interrégulation disciplinaire, c’est-à-dire entre autorités de protection des données des États membres. (Sur ce concept d’interrégulation voir notre article dans les Mélanges Monéger sur L’émergence d’un modèle européen d’interrégulation en matière des données personnelles, Mai 2017)

Le renforcement du rôle et des pouvoirs des autorités de protection des données personnelles s’est accompagné d’un affermissement de leur responsabilité dans le traitement des demandes des personnes concernées. Ainsi, les autorités qui ne seraient pas diligentes pour répondre aux demandes de droit à l’oubli non exaucées par un responsable de traitement pourraient faire l’objet d’un recours juridictionnel (article 78§2 RGPD). En effet, l’article 77 leur fait obligation de tenir informer tout requérant de l’état d’avancement de leur demande.

3. Le renforcement attendu du contrôle juridictionnel du droit à l’oubli

Plusieurs éléments augurent d’une augmentation possible des contentieux juridictionnels autour du droit à l’oubli. Il est possible d’en dresser une liste non exhaustive :

  • L’harmonisation des possibilités de recours prévue au chapitre VIII du RGPD,
  • l’augmentation du montant des sanctions,
  • la visibilité croissante du droit européen de la protection des données
  • les difficultés de mise en œuvre évoquées notamment dans les rapports nationaux du droit au déréférencent présentés dans la première partie de cette e-conférence
  • Le maintien d’une marge de manœuvre importante des États membres en raison du caractère de règlement incomplet du RGPD.  Il existe une cinquantaine de clauses dites ouvertes permettant aux États membres de maintenir, d’introduire des disposisitions plus spécifiques, des dérogations à des droits. L’usage de ces clauses ouvertes augure de besoins d’interprétations  qui sont susceptibles de porter sur la mise en oeuvre du droit à l’oubli et qui relèveront de la compétence des juges.  Cela ressort explicitement de l’articulation entre l’article 17 §3  qui permet aux États membres d’introduire des obligations légales du maintien de certains traitements ne pouvant faire l’objet d’un droit d’effacement et d’oubli et de l’article 85 RGPD, qui leur donne une compétence pour légiférer sur l’articulation du droit à l’oubli avec la nécessité de maintenir les traitements concernés en raison de leur finalité.

4. Le maintien nécessaire de la marge de manœuvre des Etats membres

Lors des discussions au Conseil, l’Allemagne avait proposé la possibilité de mettre en place un mécanisme de règlement des différends spécifique pour les moteurs de recherche. Cette éventualité a été rejetée. Le fait qu’un tel mécanisme aurait eu pour principal objet d’établir la balance des intérêts entre droit à l’oubli et liberté d’expression et d’information en est la cause ( p. 4).  Cela atteste de la volonté des Etats membres de rester maîtres de cette articulation, comme l’illustre clairement l’article 85 du RGPD. L’article 9 de la directive 95/46 autorisait déjà les États membres à prévoir des dérogations pour le traitement des données personnelles aux seules fins de journalisme ou d’expression artistique et littéraire. (Pour une illustration de l’usage actuel de ces possibilités cf. article de Cristina Pauner Chulvi cité dans pour aller plus loin)

La formulation de  l’article 85 RGPD est plus ouverte.  Il s’agit de permettre aux États membres de concilier le droit à la protection des données personnelles et le droit à la liberté d’expression et d’information y compris le traitement à des fins journalistiques et non plus seulement des traitements à finalité exclusivement journalistique. En outre, un élément nouveau « les finalités d’expression universitaire » peut être pris en compte par les Etats. Les débats que suscite le récent projet de loi allemande visant à demander l’effacement des propos haineux et délictueux prononcés sur les réseaux sociaux témoignent d’une évolution possible. La volonté d’endiguer le phénomène dit des « fakes news » renouvelle les problématiques anciennes liées au caractère très culturel de la liberté d’expression. La prise de conscience des dangers de la diffusion massive de contenus sur internet via les plateformes pourrait amener les législateurs nationaux à avoir une conciliation entre droit à l’oubli et liberté d’expression moins généreuse pour la liberté d’expression sur ces canaux.

Mode de citation suggérée: O. Tambou, L’impact du Règlement général de la protection des données sur la mise en oeuvre future du droit à l’oubli numérique, e-conférence sur le droit à l’oubli en Europe et au-delà, Mai 2017, Blogdroiteuropeen, accessible à http://wp.me/p6OBGR-2a7

Pour aller plus loin quelques ressources librement accessibles

Sur l’articulation liberté d’expression journalistique et protection des données 

Cristina Pauner Chulvi, La actividad periodística en los ordenamientos nacionales y europeo sobre protección de datos in Hacia un nuevo derecho europeo de protección de datos, editores Artemi Rallo Lombarte y Rosario García Mahamut, Tirant Lo Blanch, 2015 p. 571-619

Mallet-Poujol Nathalie, « Les traitements de données personnelles aux fins de journalisme », LEGICOM, 2009/2 (N° 43), p. 69-81. DOI : 10.3917/legi.043.0069. URL : http://www.cairn.info/revue-legicom-2009-2-page-69.htm

 

 

 

 

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s