Une consécration d’origine européenne

En 1988, la CNIL définissait déjà ce qu’était le droit à l’oubli en France : il s'agissait - pour un droit qui « touche au plus profond de l'identité humaine [...] - d'éviter d'attacher aux personnes des étiquettes définitives qui portent atteinte à leur capacité de changement et au sentiment le plus intime de leur liberté »185_.

Le droit à l’oubli est généralement considéré comme ayant été consacré par l’arrêt de la Cour de Justice de l’Union européenne (CJUE) du 13 mai 2014, connu sous le nom « Google Spain »186_.

Dans cet arrêt, la CJUE était saisie d’une demande de décision préjudicielle introduite par l’Audiencia Nacional. Ce mécanisme est prévu à l’article 267 du Traité sur le Fonctionnement de l’Union Européenne (TFUE)187_{. En l’espèce, la demande}

faisait suite à un litige opposant Google Spain SL et Google Inc. à l’Agence espagnole de protection des données (Agencia Española de Protección de Datos) et à M. Costeja Gonzáles. Ce dernier avait préalablement introduit auprès de l’Agence espagnole de protection des données une réclamation à l’encontre du journal espagnol La

Vanguardia, de Google Spain et de Google Inc. En effet, lorsqu’un internaute

introduisait son nom de dans le moteur de recherche de Google, des liens apparaissaient vers des pages du journal La Vanguardia, datant de 1998. Les articles donnaient les détails d’une vente aux enchères immobilière, liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale à l’encontre de M. Costeja Gonzáles. L’individu réclame que soit ordonné au quotidien de supprimer ou modifier les pages en question, afin de faire disparaître ses données à caractère personnel (demande d’effacement). Par ailleurs, il réclame à Google Spain et Google Inc. de faire en sorte que les données cessent d’apparaître dans les résultats de la recherche (demande de déréférencement).

La question préjudicielle posée à la CJUE était alors de savoir quelles obligations incombent aux exploitants de moteurs de recherche en matière de protection des données à caractère personnel, notamment lorsque les personnes ne souhaitent pas que des données les concernant soient « mises à la disposition des internautes de manière indéfinie »188_.

186 _{CJUE, gde ch., 13 mai 2014, aff. C-131/12, Google Spain, SL Google Inc. c/ Agencia Española de}

Protección de Datos, Mario Costeja González., en ligne :

<http://curia.europa.eu/juris/document/document.jsf?docid=152065&doclang=FR >.

187 _{Article 267 TFUE : « La Cour de justice de l'Union européenne est compétente pour statuer, à titre}

préjudiciel : a) sur l'interprétation des traités ; b) sur la validité et l'interprétation des actes pris par les institutions, organes ou organismes de l'Union (…) », en ligne : <https://eur- lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:12008E267:fr:HTML>.

C’est ainsi que la Cour a jugé que le référencement effectué par le moteur de recherche Google était

« susceptible d'affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l'aide de ce moteur est effectuée à partir du nom d'une personne physique dès lors que ledit traitement permet à tout internaute d'obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet, qui touchent potentiellement à une multitude d'aspects de sa vie privée et qui, sans ledit moteur de recherche, n'auraient pas ou seulement que très difficilement pu être interconnectées, et ainsi d'établir un profil plus ou moins détaillé de celle-ci »189 _{(soulignement rajouté).}

La Cour de justice reconnaît donc l’atteinte au respect de la vie privée lorsque de telles informations, liées à l’identification claire de la personne, restent disponibles sur internet, à la portée de tous, et pour une durée qui semble illimitée. La Cour a alors, pour la première fois, consacré le droit, pour une personne, d’obtenir qu’une information la concernant ne soit plus mise à disposition du public. Ce droit se trouve aujourd’hui consacré par la norme écrite : l’article 17 du RGPD prévoit un « droit à l’effacement » (« droit à l’oubli ») :

« La personne concernée a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l'obligation d'effacer ces données à caractère personnel dans les meilleurs délais (…) » (soulignement rajouté).

La Cour se fonde sur la directive du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (qui a été ensuite abrogée avec l’entrée en vigueur du RGPD). Elle rappelle ainsi que les finalités du traitement doivent rester actuelles avec le temps pour continuer à être licites190_{, et finit par conclure que les droits fondamentaux}

de la personne doivent prévaloir sur « l’intérêt économique de l’exploitant du moteur de recherche », et également sur « l’intérêt du public à accéder à ladite information ». Cette mise en balance est toutefois directement relativisée : des raisons particulières (par exemple, si la personne concernée joue un rôle dans la vie publique) pourraient justifier un intérêt prépondérant au profit du public à avoir accès à l’information, et donc à ce que cette dernière ne soit pas retirée.

189 _{Supra note 194, voir le considérant 80 de l’arrêt.} 190 _{Supra note 194, voir le considérant 93 de l’arrêt.}

Alors comment concilier l’open data et l’oubli numérique ? En effet, une fois que l’information est en ligne, on sait qu’il est difficile de la faire disparaître. Faudrait-il prévoir un cadre législatif à ce propos ?

B. Droit à l’oubli numérique au Québec : une récente inflexion vers sa