Retour sur une actualité riche en matière de données personnelles
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Karine Riahi, 25/06/2015
Le 21 mai 2015, la CNIL a mis en demeure (CNIL n° 2015-047) Google Inc de déréférencer les résultats affichés à la suite de recherches associées au nom d’une personne sur toutes les extensions du nom de domaine du moteur de recherche ( i.e les extensions européennes ET l’extension .com). Cette décision a fait suite au refus de Google qui a limité les déréférencements sur ses seules extensions européennes, et non à l’ensemble des extensions du moteur de recherche.
Il s’est agi d’appliquer la décision C-131/12 de la CJUE du 13 mai 2014 dite « Google Spain ».
Rappelons que cette décision a d’abord qualifié de traitement de données personnelles l’activité d’un moteur de recherche consistant à trouver des informations publiées par des tiers, à les indexer, à les stocker et à les mettre à disposition ; et de responsable de traitement ledit moteur de recherche.
La CJUE a jugé que, bien que la société Google Inc soit située sur le territoire d’un « Etat tiers », elle n’en demeure pas moins soumise au respect de la directive 95/46 CE, puisqu’elle dispose d’un établissement dans un Etat membre dès lors que le traitement des données dans le cadre des activités de son moteur de recherche est destiné à assurer la promotion et la vente d’espaces publicitaires aux fins de rentabiliser le service offert. Elle en a conclu que Google Inc devait respecter les dispositions des articles 12 et 14 de la directive et en conséquence, procéder au déréférencement de résultats affichés à la suite de recherches associées au nom d’une personne.
La décision de la CJUE a laissé à l’autorité de contrôle (ou aux autorités judiciaires) le soin d’examiner les demandes de déréférencement, en France, la CNIL en l’occurrence.
L’analyse de la CNIL a été la suivante : elle a noté que les liens vers des sites internet qui avaient été déréférencés uniquement dans les extensions géographiques européennes du moteur de recherche, demeuraient néanmoins accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche. Cela constituait bien un manquement aux dispositions des articles 38 et 40 de la loi du 6 janvier 1978 modifiée, justifiant la mise en demeure sus visée, puisque le service de recherche correspond à un traitement unique et que, pour être effectif, le déréférencement doit concerner toutes les extensions du moteur de recherche.
Cette décision de la CNIL a été critiquée par ceux qui au contraire considérait que cet « avis de la CNIL n’est pas fondé :
l’Union européenne a vocation à réglementer son territoire pas le monde entier » (Céline Castets-Renard in Les Echos 15/6/2015).
La discussion reste ouverte.
Cette volonté, cette persistance à l’affirmation et à la reconnaissance définitive de ce droit au déréférencement/droit à l’oubli a trouvé un écho plus définitif encore dans l’accord du Conseil de l’Union Européenne (les 28 Etats membres) sur l’approche générale du règlement sur la protection des données personnelles, intervenu le 15 juin 2015.
Par ce compromis de base, les 28 Etats membres ont validé l’objectif d’un haut niveau de protection des données personnelles dans les états membres, le principe selon lequel les données personnelles « doivent être collectées et traitées de manière licite dans des conditions strictes et à des fins légitimes », ce qui implique l’exigence du « consentement sans ambiguïté », le principe pour les personnes d’un accès facilité aux données et à plus d’informations sur leur destination ainsi qu’à l’affirmation d’un droit à la portabilité. Enfin, la reconnaissance de cette règle qui fait sans doute figure de règle absolue : le droit à l’effacement des données personnelles et à l’oubli.
La protection de l’individu au travers de la protection de ses données personnelles s’affirme ainsi systématiquement tant au travers des décisions rendues notamment par les autorités compétentes, que dans le règlement communautaire dont le vote est attendu pour la fin de l’année.
Les ministres des Etats membres ont salué l’existence de cette réglementation unique dans toute l’Union européenne, protectrice des données personnelles, comme le moyen de développement des opportunités d’affaires.
On ne peut que se féliciter de voir que le respect des personnes apparaît indispensable au développement et à la prospérité du marché dont on peut imaginer qu’il est celui des Big Data.
Vendredis de l'IT n°53 du 19 juin 2015
Rappelons que cette décision a d’abord qualifié de traitement de données personnelles l’activité d’un moteur de recherche consistant à trouver des informations publiées par des tiers, à les indexer, à les stocker et à les mettre à disposition ; et de responsable de traitement ledit moteur de recherche.
La CJUE a jugé que, bien que la société Google Inc soit située sur le territoire d’un « Etat tiers », elle n’en demeure pas moins soumise au respect de la directive 95/46 CE, puisqu’elle dispose d’un établissement dans un Etat membre dès lors que le traitement des données dans le cadre des activités de son moteur de recherche est destiné à assurer la promotion et la vente d’espaces publicitaires aux fins de rentabiliser le service offert. Elle en a conclu que Google Inc devait respecter les dispositions des articles 12 et 14 de la directive et en conséquence, procéder au déréférencement de résultats affichés à la suite de recherches associées au nom d’une personne.
La décision de la CJUE a laissé à l’autorité de contrôle (ou aux autorités judiciaires) le soin d’examiner les demandes de déréférencement, en France, la CNIL en l’occurrence.
L’analyse de la CNIL a été la suivante : elle a noté que les liens vers des sites internet qui avaient été déréférencés uniquement dans les extensions géographiques européennes du moteur de recherche, demeuraient néanmoins accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche. Cela constituait bien un manquement aux dispositions des articles 38 et 40 de la loi du 6 janvier 1978 modifiée, justifiant la mise en demeure sus visée, puisque le service de recherche correspond à un traitement unique et que, pour être effectif, le déréférencement doit concerner toutes les extensions du moteur de recherche.
Cette décision de la CNIL a été critiquée par ceux qui au contraire considérait que cet « avis de la CNIL n’est pas fondé :
l’Union européenne a vocation à réglementer son territoire pas le monde entier » (Céline Castets-Renard in Les Echos 15/6/2015).
La discussion reste ouverte.
Cette volonté, cette persistance à l’affirmation et à la reconnaissance définitive de ce droit au déréférencement/droit à l’oubli a trouvé un écho plus définitif encore dans l’accord du Conseil de l’Union Européenne (les 28 Etats membres) sur l’approche générale du règlement sur la protection des données personnelles, intervenu le 15 juin 2015.
Par ce compromis de base, les 28 Etats membres ont validé l’objectif d’un haut niveau de protection des données personnelles dans les états membres, le principe selon lequel les données personnelles « doivent être collectées et traitées de manière licite dans des conditions strictes et à des fins légitimes », ce qui implique l’exigence du « consentement sans ambiguïté », le principe pour les personnes d’un accès facilité aux données et à plus d’informations sur leur destination ainsi qu’à l’affirmation d’un droit à la portabilité. Enfin, la reconnaissance de cette règle qui fait sans doute figure de règle absolue : le droit à l’effacement des données personnelles et à l’oubli.
La protection de l’individu au travers de la protection de ses données personnelles s’affirme ainsi systématiquement tant au travers des décisions rendues notamment par les autorités compétentes, que dans le règlement communautaire dont le vote est attendu pour la fin de l’année.
Les ministres des Etats membres ont salué l’existence de cette réglementation unique dans toute l’Union européenne, protectrice des données personnelles, comme le moyen de développement des opportunités d’affaires.
On ne peut que se féliciter de voir que le respect des personnes apparaît indispensable au développement et à la prospérité du marché dont on peut imaginer qu’il est celui des Big Data.
Vendredis de l'IT n°53 du 19 juin 2015