Créée en 1978, La CNIL (Commission nationale informatique et libertés) est l’autorité française de contrôle en matière de protection des données personnelles. 192 agents assurent des missions d’information, protection, conseil, contrôle en matière d’utilisation des données personnelles. La loi dite « Informatique et libertés » promulguée le 6 janvier 1978 a été maintes fois réformée. la dernière modification date du 18 novembre 2016.
Il est désormais possible de porter plainte en ligne à la CNIL en cas d’atteinte au droit à l’image, d’utilisation abusive de données personnelles. Il s’agit là de protéger la vie privée des citoyens.
Consacré par la justice européenne en mai 2014, le droit à l’oubli suppose que tout citoyen européen peut réclamer le déréférencement d’un contenu exposant sa vie privée. Le droit au déréférencement est entré en vigueur en mars 2016 et permet de demander à un moteur de recherche de supprimer certains résultats associés à des noms et prénoms. Il consiste à supprimer l’association d’un résultat de recherche à la requête « nom-prénom ». Cette suppression ne signifie pas l’effacement de l’information sur le site Internet concerné en revanche.
Cependant, Google refuse d’appliquer ce droit à l’oubli au niveau mondial, malgré les demandes de la CNIL qui a donc déposé en mai 2016 un recours devant le Conseil d’État. L’autorité française de protection des données l’avait auparavant condamné en mars 2016 à une amende de 100 000 euros.
Petit rappel des faits
Sur le principe, la Cour de Justice de l’Union européenne (CJUE) a statué en mai 2014 sur le droit à l’oubli. Les personnes morales ne sont néanmoins pas concernées. Seules les données personnelles des individus rentrent en ligne de compte pour ce droit à l’oubli. Or, les noms et prénoms des dirigeants demeurent des données personnelles associées à une personne morale (par opposition à la notion de personne physique, une personne morale représente un groupement doté d’une existence juridique).
Les dirigeants d’entreprise souhaitant faire disparaître des données compromettantes sur leur société ne le peuvent pas, mais qu’en est-il des données personnelles inhérentes aux dirigeants en tant que personne physique ? (nom, prénom et adresse, si l’entreprise est domiciliée chez eux).
Afin de vérifier l’application du droit à l’oubli, j’ai mené une petite enquête-terrain. Avec l’accord de son dirigeant, j’ai utilisé une entreprise ayant cessé son activité en 2016. En tapant le nom de l’entreprise sur Google, bien sûr les résultats liés au site Infogreffe apparaissent mais on observe également les résultats d’autres sites, non officiels.
J’ai alors demandé au dirigeant de suivre la procédure de déréférencement de Google, « Google removals », pour en tester les effets. Celle-ci a parfaitement fonctionné. En parallèle, le dirigeant a écrit aux différents webmasters des sites concernés.
C’est là que tout a commencé à se compliquer : certains sites ont effectivement supprimé les données mais un site a totalement ignoré les courriers du dirigeant qui a alors saisi la CNIL par une plainte en suivant la procédure indiquée sur le site.
Une fin de non-recevoir a été adressée par courrier par la CNIL précisant que :
« Le site concerné par votre demande est édité par la société américaine…notre commission qui a pour mission de veiller au respect de la loi française relative à la protection des données personnelles, ne dispose pas des moyens d’action nécessaires pour intervenir auprès d’un site américain. Vous pouvez si vous l’estimez nécessaire saisir la Federal Trade Commission (FTC)… »
Il suffit donc d’être hébergé aux USA pour utiliser en toute impunité vos données personnelles ! Il n’est donc pas vraiment possible de se faire oublier, encore moins de disparaître, même quand on n’existe plus (personne morale) et l’administration se montre finalement complice d’un transfert de données en les transmettant aux sites non officiels.
Flash-back
Remontons le fil de l’histoire, les coordonnées de l’entreprise et de son dirigeant ont été transmises par le greffe du tribunal de commerce, lors de son immatriculation, lorsque les formalités de création ont été effectuées. On comprend que les données du répertoires SIRENE (Répertoire National d’identification des entreprises et des établissements) ou d’Infogreffe soient publiques car opposables aux tiers. On comprend beaucoup moins pourquoi des sites commerciaux récupèrent les données économiques des entreprises pour les diffuser sur le web.
Le droit à l’oubli est un grand pas d’un point de vue juridique mais un petit pas pour tous les internautes.
Et pour l’avenir ?
La nouvelle loi viendra sans doute renforcer le droit des individus mais pas nécessairement celui des personnes morales. En effet, cette loi prévoit le sort des données post-mortem (le nouvel article 40-1 de la loi Informatique et libertés permet aux personnes de donner des directives relatives à la conservation, à l’effacement et à la communication de leurs données après leur décès) la mort d’une personne physique mais pas de la personne morale.
Cette nouvelle loi renforce en outre le pouvoir de sanction de la CNIL qui sera davantage consultée (la CNIL sera saisie pour avis sur tout projet de loi ou de décret relatifs à la protection des données à caractère personnel ou au traitement de données).
Un arrêt de la Cour de cassation relatif à l’utilisation de caméras de vidéosurveillance nous éclaire en revanche sur les données relatives à une personne morale : si les personnes morales disposent, notamment, d’un droit à la protection de leur nom, de leur domicile, de leurs correspondances et de leur réputation,
« seules les personnes physiques peuvent se prévaloir d’une atteinte à la vie privée au sens de l’article 9 du Code civil, Cour de cassation, civile, Chambre civile 1, 17 mars 2016 ».
Espérons qu’un tel arrêt permette à l’avenir aux dirigeants d’effacer leurs données personnelles après la cessation d’activité de la personne morale. Il va s’agir d’un bras de fer entre les moteurs de recherche, réseaux sociaux et l’autorité française.
En cette période de débats politiques, la dimension numérique doit être abordée et espérons que le droit des données personnelles ne tombera pas aux oubliettes !