Vie privée et données personnelles – Droit à la protection et « droit à l’oubli » face à la liberté d’expression

DERIEUX Emmanuel - Nouveaux Cahiers du Conseil constitutionnel n° 48 (dossier : vie privée) - juin 2015 - p. 21 à 33

Professeur à l'Université Panthéon-Assas (Paris 2)

Résumé : Bénéfique, l'évolution des techniques d'information et de communication et notamment du numérique est également, en fonction de l'usage qui en est fait, porteuse de menaces sur la protection de la vie privée et des données personnelles, objet de dispositions diverses tant en droit national qu'en droit européen. Les facilités de conservation, de consultation et d'exploitation de données anciennes, offertes désormais notamment par les moteurs de recherche, ont conduit à la formulation de la revendication d'un « droit à l'oubli ». Celui-ci doit cependant se concilier avec le respect de la liberté d'information et de création littéraire et artistique et notamment historique qui bénéficient d'un régime de faveur. Tout est alors affaire d'un bien délicat équilibre.

Somaire :

  • I – Modalités des violations
    A - Violations de la vie privée
    B - Violations des données personnelles
  • II – Sanctions des violations
    A - Sanctions judiciaires
    B - Mesures extra-judiciaires



Bénéfique pour la liberté d’information, l’évolution des techniques est, dans le même temps, porteuse de menaces pour la protection de la vie privée et des données personnelles et la garantie du « droit à l’oubli » nouvellement revendiqué. Un délicat équilibre doit être établi entre des droits et des intérêts apparemment contradictoires.

En même temps qu’elle constitue un progrès, l’évolution des techniques d’information et particulièrement du numérique est, à travers la collecte, la conservation et l’exploitation de données personnelles, porteuse de menaces pour la vie privée des individus et le respect de leurs droits. Un délicat équilibre doit être établi entre le droit de chacun au respect de sa vie privée et à la protection de ses données personnelles, d’une part, et la liberté d’information, d’autre part.

Face aux facilités de mémorisation et de récupération d’informations anciennes offertes par l’informatique, par l’intermédiaire des bases de données et des moteurs de recherche, certaines personnes, se prévalant d’un « droit à l’oubli », souhaitent obtenir, sinon l’effacement des informations dans leur édition d’origine, leur retrait des archives et au moins leur « déréférencement », pour que leur rappel en soit rendu plus compliqué.

Susceptibles de se recouper, informations relatives à la vie privée et données personnelles peuvent, sur certains points, être distinctes. Du fait de leur numérisation, toutes les informations sur la vie privée deviennent des données personnelles. Mais toutes les données personnelles ne concernent pas la vie privée. Les moyens juridiques de protection peuvent être distincts ou se compléter et se conforter. Il convient donc de les considérer dans leur diversité.

Dans l’évocation de ces relations conflictuelles entre liberté d’information et protection de la vie privée et des données personnelles, il convient de considérer les modalités des violations (I) et les sanctions des violations (II).

I – Modalités des violations

Des dispositions distinctes considèrent les violations de la vie privée (A) et les violations des données personnelles (B).

A - Violations de la vie privée

En droit français, tant des dispositions civiles (1) que pénales (2) déterminent des formes de violation de la vie privée.

1 - Dispositions civiles

En son alinéa 1er, l’article 9 du code civil (C. civ.) pose que « chacun a droit au respect de sa vie privée ». Face aux atteintes susceptibles d’y être portées par les médias, une protection explicite, se surajoutant au régime général de responsabilité, a été ressentie comme nécessaire lors de l’adoption de ces dispositions par la loi du 17 juillet 1970. En son alinéa 2, est prévue une protection renforcée en cas d’« atteinte à l’intimité de la vie privée ».

Aucune précision n’y est cependant fournie quant au contenu de la « vie privée », pas plus qu’aux violations auxquelles celle-ci risque d’être soumise. Cela est cause d’inquiétudes relatives à l’application qui pourrait en être faite et aux restrictions susceptibles d’être apportées à la liberté d’information. La généralité de la formulation des dispositions civiles permet leur adaptation à l’évolution des pratiques, des mentalités et des mœurs et une application différente selon l’identité des personnes et leur implication dans la vie publique. Peuvent être considérés comme relevant de la « vie privée » ou de son « intimité » : la vie sentimentale, les relations amicales, la nudité, les pratiques sexuelles, l’état de santé, les moyens d’existence, les convictions religieuses… Il est dit aussi que le respect de la « vie privée » c’est le droit de mener sa vie à l’abri des regards indiscrets, derrière le mur de la vie privée…

2 - Dispositions pénales

Adoptées par la même loi de juillet 1970, les dispositions du code pénal (CP) relatives aux diverses formes de violation de la vie privée sont plus précises. L’atteinte est considérée comme portée du fait de l’utilisation de certaines techniques d’enquête ou d’espionnage.

L’article 226-1 CP réprime le fait de « porter atteinte à l’intimité de la vie privée d’autrui : 1) en captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel ; 2) en fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ».

L’article 226-2 du même code vise « le fait de conserver, porter ou laisser porter à la connaissance du public ou d’un tiers ou d’utiliser de quelque manière que ce soit tout enregistrement ou document » ainsi obtenu.

L’article 226-8 considère « le fait de publier (…) le montage réalisé avec les paroles ou l’image d’une personne sans son consentement, s’il n’apparaît pas à l’évidence qu’il s’agit d’un montage ou s’il n’en est pas expressément fait mention ».

En dehors de ces règles, l’article 35 de la loi du 29 juillet 1881, relatif à l’apport de la preuve de la vérité du fait diffamatoire, l’exclut « lorsque l’imputation concerne la vie privée de la personne ». Par contre, par deux décisions du Conseil constitutionnel, des 20 mai 2011 et 7 juin 2013, ont été abrogées les dispositions qui interdisaient cette preuve « lorsque l’imputation se réfère à des faits qui remontent à plus de dix ans » ou à « une infraction amnistiée ou prescrite ou qui a donné lieu à une condamnation effacée par la réhabilitation ou la révision ».

Aux violations de la vie privée s’ajoutent, dans les textes, de manière distincte, celles des données personnelles.

B - Violations des données personnelles

Des informations susceptibles d’être considérées comme portant atteinte à la « vie privée » peuvent aussi relever du statut des « données personnelles ». Celles-ci englobent cependant bien d’autres éléments. Les cas envisagés par la loi n° 78-17 du 6 janvier 1978 sont beaucoup plus nombreux et détaillés, conformément aux principes aujourd’hui énoncés par différents textes de droit européen : Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel, du 28 janvier 1981 ; Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel ; article 8 de la Charte des droits fondamentaux de l’Union européenne ; Directive 2008/52/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

L’article 1er de la loi de 1978 pose que l’informatique « ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés ».

L’article 2 dispose que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée (…) par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres ».

Par le même article, il est considéré que « constitue un traitement de données à caractère personnel toute opération (…) portant sur de telles données (…) et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ».

Le chapitre 2 de cette loi de 1978 détermine les « conditions de licéité des traitements de données à caractère personnel ». Le non-respect de ces règles est constitutif de violation des droits.

Aux termes de l’article 6 de la loi, il en est ainsi de données qui ne seraient pas « collectées et traitées de manière loyale et licite (…) pour des finalités déterminées, explicites et légitimes » et qui seraient « traitées ultérieurement de manière incompatible avec ces finalités ». Un régime dérogatoire est cependant accordé aux traitements « à des fins statistiques ou (…) de recherche scientifique ou historique ». Il y aurait encore violation des droits du fait de données qui ne seraient pas « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » et si elles ne sont pas « exactes, complètes et, si nécessaire, mises à jour » ou si les mesures n’étaient pas prises « pour que les données inexactes ou incomplètes (…) soient effacées ou rectifiées ». Il en serait également ainsi dans le cas où, contrairement à un « droit à l’oubli », implicitement consacré, ces données étaient conservées « pendant une durée qui (…) excède (…) la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ».

Selon l’article 7 de cette loi, « un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes » : correspondre à « une obligation légale incombant au responsable du traitement » (1°) ; à l’exécution d’un contrat (4°) ; ou à « la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire » (5°).

L’article 8 détermine des faits de violation des données personnelles qui sont proches des atteintes à la vie privée. Il est « interdit de collecter ou de traiter des données (…) qui font apparaître (…) les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle ».

Par l’article 9 de ladite loi, sont interdits « les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté », sauf pour ceux mis en œuvre par les « autorités publiques » et les « auxiliaires de justice ».

Il y a encore atteinte aux droits si ne sont pas respectées les « obligations incombant aux responsables de traitements » déterminées par le chapitre 5 de la loi.

Cela est le cas si, en violation de l’article 32, la personne concernée n’est pas informée : « 1° de l’identité du responsable du traitement (…) 2° de la finalité poursuivie (…) 3° du caractère obligatoire ou facultatif des réponses ; 4° des conséquences (…) d’un défaut de réponse ; 5° des destinataires (…) des données ». Il est posé que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé (…) : de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal » (ordinateur, tablette, téléphone dit « multifonctions »…) « ou à inscrire des informations dans cet équipement » et « des moyens de s’y opposer ».

Il y a encore atteinte aux droits si, contrairement à l’article 36, les données sont, en violation d’un « droit à l’oubli » ainsi implicitement consacré, « conservées, au-delà de la durée prévue », à des fins autres qu’« historiques, statistiques ou scientifiques ».

Il en est encore ainsi dans le cas où, en violation de l’article 38, n’est pas respecté le droit, de toute personne, « de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement » et de refuser qu’elles « soient utilisées à des fins de prospection, notamment commerciale ».

Il y a aussi violation des droits si, contrairement à ce que pose l’article 39, n’est pas respecté le droit, de toute personne, « d’interroger le responsable d’un traitement (…) en vue d’obtenir : 1° la confirmation que des données à caractère personnel la concernant font ou ne font pas l’objet de ce traitement (…) 4° la communication (…) des données ».

La violation des droits découle encore du non-respect de l’article 40 selon lequel « toute personne physique peut exiger du responsable d’un traitement que soient (…) rectifiées, complétées, mises à jour, verrouillées ou effacées les données (…) inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite ».

Par l’article 67 de la loi de 1978 cependant, est déterminé un régime dérogatoire en faveur des traitements de données « aux fins de journalisme et d’expression littéraire et artistique ». À eux, ne s’appliquent pas : « le 5° de l’article 6 » (limitant la durée de conservation des données) ; l’article 8 (interdisant « de collecter ou de traiter des données à caractère personnel qui font apparaître (…) les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes ou qui sont relatives à la santé ou à la vie sexuelle ») ; l’article 9 (qui interdit « les traitements de données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté ») ; l’article 22 (relatif à la déclaration préalable auprès de la CNIL) ; l’article 25 (concernant certains traitements statistiques et l’anonymisation des données) ; l’article 32 (qui détermine les informations à fournir aux personnes auprès desquelles sont recueillies des données) ; l’article 39 (accordant « le droit d’interroger le responsable d’un traitement de données » pour connaître celles qui sont ainsi détenues) ; l’article 40 (consacrant le droit d’exiger « que soient (…) rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel ») ; les articles 68 à 70 (qui conditionnent le transfert de données vers un État n’appartenant pas à l’Union européenne). On ne sera pas rassuré par la seule mention de l’« exercice, à titre professionnel, de l’activité de journaliste, dans le respect des règles déontologiques de cette profession »… sur l’existence desquelles il y a lieu de s’interroger !

Afin de tenter d’en assurer la conciliation avec la liberté d’information, la détermination des modalités de violations de la vie privée et des données personnelles est accompagnée de moyens de sanctions. Leur application et leur efficacité apparaissent pourtant incertaines.

II – Sanctions des violations

Sur la base des dispositions déterminant les violations de la vie privée et des données personnelles du fait des activités d’information, doivent être considérées des sanctions judiciaires (A) et des mesures extra-judiciaires (B).

A - Sanctions judiciaires

Les sanctions des violations de la vie privée et des données personnelles peuvent être prononcées sur le fondement de dispositions civiles (1) et de dispositions pénales (2).

1 - Dispositions civiles

Les violations des droits peuvent donner lieu à « réparation du dommage subi », selon la formulation de l’article 9 C. civ. ou, comme avant son adoption, sur le fondement des articles 1382 et suivants du même code.

En cas d’urgence, dans le cadre d’une procédure de référé, des « mesures, telles que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée » sont prévues par l’alinéa 2 du même article 9 C. civ.

De manière plus générale, l’article 809 CP civ. pose que peuvent être prescrites, « en référé, les mesures conservatoires ou de remise en état qui s’imposent, soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite ».

Quelques illustrations jurisprudentielles récentes, liées à l’usage des moyens numériques qui en compliquent l’application et le respect et font notamment obstacle au « droit à l’oubli », peuvent en être données.

Il a été jugé que la mise en ligne d’un faux « profil » d’un artiste, sur Facebook, est constitutive d’une atteinte à sa vie privée et à son droit à l’image (TGI Paris, 17e ch., 24 novembre 2010, Omar Sy).

Un site a été condamné pour atteinte à la vie privée suite à la publication en ligne d’informations relatives à la vie sentimentale d’une personne (TGI Paris, référé, 8 juin 2011, B. Zaibat c. Talmont Media).

Il a été fait droit à une demande de suppression de suggestions de recherche associant, au nom d’une personne, des termes se référant à son orientation sexuelle. Les sociétés Google firent valoir que le service Google Suggest « fonctionne de manière purement automatique à partir d’une base de données qui recense les requêtes effectivement saisies » et que « les résultats affichés dépendent d’un algorithme basé sur les recherches des autres utilisateurs ». Cependant, le Tribunal retint que « l’item litigieux, qui n’est nullement saisi par l’internaute mais apparaît spontanément à la saisie des premières lettres de sa recherche comme une proposition de recherche possible, est incontestablement de nature à orienter la curiosité ou à appeler l’attention sur le thème proposé, et, ce faisant, de nature à provoquer un effet “boule de neige” d’autant plus préjudiciable (…) que le libellé le plus accrocheur se retrouvera ainsi (…) en tête de liste des recherches proposées ». Le jugement considère que « les défendeurs ne sauraient sérieusement invoquer l’atteinte à la liberté d’expression que constituerait en elle-même l’intervention judiciaire ». Concluant à l’atteinte à la vie privée, il est « fait droit à la demande de suppression des suggestions litigieuses » (TGI Paris, 17e ch., 22 juin 2011, G. c. Google, n° 11/06194).

Pour atteinte à l’image et à la vie privée, interdiction est faite à une société éditrice de diffuser, de quelque manière et notamment sur tablettes numériques, les photographies litigieuses. De plus, ordre lui est donné de remettre l’intégralité des clichés (TGI Nanterre, référé, 18 septembre 2012, C. Middleton c. Sté Mondadori). Pour la Cour d’appel, l’ordonnance de référé est justifiée dès lors que la société éditrice avait incité les internautes à télécharger le magazine « menacé de retrait des kiosques ». L’arrêt considère que la mesure n’est ni générale ni disproportionnée et qu’elle s’avère propre à faire cesser le trouble (Versailles, 14e ch., 5 juin 2013, Sté Mondadori).

Saisi d’une demande de retrait, de la fonctionnalité Google Images, de photographies considérées comme constitutives d’atteinte à l’intimité de la vie privée, le Tribunal retient que, « à supposer que l’activité de moteur de recherche permette à la société défenderesse (…) d’être rangée dans la catégorie des prestataires intermédiaires techniques (…) cette qualité ne fait pas obstacle à ce que lui soient imposées des obligations de retrait ou d’interdiction d’accès dès lors que (…) l’article 6.I.8° de la loi du 21 juin 2004 (…) prévoit que l’autorité judiciaire peut prescrire, à ces prestataires intermédiaires, “toutes mesures propres à prévenir (…) ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne” ». Il considère que « la mesure sollicitée de retrait et d’interdiction, pour l’avenir, des neuf clichés photographiques (…) entre largement dans ce cadre légal ». Le jugement pose encore que le refus, par la société en cause, « de supprimer les images litigieuses (…) a engagé sa responsabilité ». Ordre est donné « de retirer et de cesser (…) l’affichage sur le moteur de recherche » (TGI Paris, 17e ch., 6 novembre 2013, Max Mosley c. Google, n° 11/07970).

Se prévalant d’atteintes à sa vie privée et à son droit à l’image, un individu se plaignait d’un documentaire de fiction traitant d’une affaire criminelle pour laquelle il avait été condamné vingt ans plus tôt. Aucune image de l’intéressé n’ayant été utilisée, la Cour d’appel confirme le jugement (TGI Paris, 14 janvier 2013, n° 11/03875) qui a considéré qu’« aucune atteinte au droit à l’image du demandeur, qui doit se concilier avec l’article 10 Conv. EDH, n’avait été commise ». L’arrêt statue dans le même sens sur la demande relative à l’atteinte alléguée à la vie privée, le requérant se fondant notamment sur le fait que « le respect de son droit à l’oubli, qui est une “composante de sa vie privée”, avait été méconnu ». Pour la Cour, « la relation de faits publics déjà divulgués ne peut constituer en elle-même une atteinte au respect dû à la vie privée » et « le droit à l’oubli (…) n’a aucune reconnaissance légale et ne saurait prévaloir sur le droit du public à l’information » (Paris, Pôle 2, ch. 7, 26 février 2014, Th. El Borgi c. Sté CAPA Presse et Sté EDI TV, n° 13/01242).

Par un autre arrêt du même jour, la Cour statue sur la demande d’individus souhaitant qu’il soit ordonné, à la société éditrice d’un journal, de supprimer leur nom « du titre et du texte de tous les traitements automatisés du site » faisant rappel de condamnations dont ils firent l’objet. Les demandeurs soulignaient qu’ils ne désiraient « pas la suppression d’un article de presse, ce qui porterait atteinte à la liberté de la presse, mais que leurs noms et prénoms ne servent pas de critères de traitement ou d’indexation du site » du journal et qu’il s’agit donc « non pas d’un droit à l’oubli mais du droit à s’opposer » à l’indexation. Ils soutenaient que « les dispositions dérogatoires prévues par l’article 67 de la loi du 6 janvier 1978, autorisant les traitements de données à caractère personnel mis en œuvre “aux seules fins d’exercice, à titre professionnel, de l’activité de journaliste” (…) ne sont pas applicables en l’espèce » puisque, selon eux, « un système d’indexation et de recherche à partir de données nominatives, dans la base de données d’archives, est, en lui-même, sans rapport avec la liberté d’expression ». Comme les premiers juges (TGI Paris, 9 mai 2012, n° 11/05965), la Cour considère que « les dispositions dérogatoires prévues par le 2° de l’article 67 de la loi du 6 janvier 1978 (…) sont applicables (…) s’agissant de l’archivage d’articles de presse ». L’arrêt conclut qu’« imposer à un organe de presse de supprimer de son site Internet (…) soit l’information elle-même, le retrait des noms et prénoms des personnes visées (…) soit d’en restreindre l’accès en modifiant le référencement habituel, excèdent (…) les restrictions qui peuvent être apportées à la liberté de la presse » (Paris, Pôle 2, ch. 7, 26 février 2014, Stéphane D. et Pascal D. c. Sté Les Échos, n° 12/14813).

Les juridictions européennes eurent également à se prononcer sur ces questions.

Dans un arrêt du 16 juillet 2013, considérant que ce n’est pas le rôle des autorités judiciaires de réécrire l’histoire en ordonnant le retrait de toute trace de publications passées, la Cour européenne des droits de l’homme refuse de satisfaire une demande de retrait d’un article du site d’un journal (CEDH, 16 juillet 2013, Wegrzynowski c. Pologne, n° 33847/07).

Saisie d’une question préjudicielle dans le cadre d’une procédure initiée par une personne qui souhaitait que soit ordonné, à un moteur de recherche, de supprimer tout lien vers le site d’un journal comportant des informations anciennes, la Cour de justice de l’Union européenne considère que « le traitement de données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche se distingue et s’ajoute à celui effectué par les éditeurs de sites web » et que « l’exploitant de ce moteur, en tant que responsable de ce traitement, doit assurer (…) que celui-ci satisfait aux exigences de la directive » d’octobre 1995. Elle relève que, « dans la mesure où l’inclusion dans la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, d’une page web et des informations qui y sont contenues relatives à cette personne facilite sensiblement l’accessibilité à ces informations (…) elle est susceptible de constituer une ingérence plus importante dans le droit fondamental au respect de la vie privée de la personne concernée que la publication par l’éditeur de cette page web ». La Cour note encore qu’« un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive ». Elle estime qu’il convient d’examiner si l’individu en cause « a un droit à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats ». L’arrêt conclut que, « dans la mesure où il ne semble pas exister (…) de raisons particulières justifiant un intérêt prépondérant du public à avoir (…) accès à ces informations (…) la personne concernée peut exiger (…) la suppression desdits liens de la liste de résultats » (CJUE, 13 mai 2014, C-131/12, Sté Google Inc. c. Agencia Espanola de Proteccion de Datos et Mario Costeja Gonzalez).

2 - Dispositions pénales

Des sanctions pénales sont également prévues à l’encontre des faits de violations de la vie privée et des données personnelles.

Les articles 226-1, 226-2 et 226-8 CP fixent les peines susceptibles d’être prononcées à l’encontre des personnes responsables d’atteintes portées à la vie privée du fait de publications.

Par l’article 50 de la loi de janvier 1978, il est posé que « les infractions aux dispositions de la présente loi sont prévues et réprimées par les articles 226-16 à 226-24 » CP.

Sont passibles de sanction les faits : « de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables » d’autorisation ou de déclaration auprès de la CNIL, ou en violation d’une « injonction de cesser le traitement » ou d’un retrait d’autorisation (article 226-16) ; de ne pas respecter les normes posées par la CNIL (226-16-1-A) ; d’utiliser le « numéro d’inscription des personnes au répertoire national d’identification des personnes physiques » (226-16-1) ; de ne pas prendre les mesures « pour préserver la sécurité des données » (226-17) ; « de ne pas procéder à la notification », à la CNIL ou à l’intéressé, « d’une violation de données » (226-17-1) ; de « collecter des données à caractère personnel par un moyen frauduleux » (226-18) ; de « procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne » (article 226-18-1) ; « de mettre ou de conserver en mémoire informatisée, sans le consentement exprès de l’intéressé, des données à caractère personnel qui (…) font apparaître les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou les appartenances syndicales des personnes ou qui sont relatives à la santé ou à l’orientation ou identité sexuelle » ou « concernant des infractions, des condamnations ou des mesures de sûreté » (article 226-19) ; « de conserver des données à caractère personnel au-delà de la durée prévue » ou de « traiter à des fins autres qu’historiques, statistiques ou scientifiques des données à caractère personnel conservées au-delà de la durée » autorisée (article 226-20) ; de détourner les données « de leur finalité » (article 226-21) ; de porter « à la connaissance d’un tiers » des données « dont la divulgation aurait pour effet de porter atteinte à la considération de l’intéressé ou à l’intimité de sa vie privée » (article 226-22) ; de « procéder ou de faire procéder à un transfert de données (…) vers un État n’appartenant pas » à l’Union européenne (article 226-22-1).

À ces possibilités de sanctions judiciaires, s’ajoutent des mesures extrajudiciaires.

B - Mesures extra-judiciaires

Au titre des mesures extra-judiciaires susceptibles d’être mises en œuvre à l’encontre des atteintes portées au respect de la vie privée et aux droits de la personnalité, peuvent être envisagées les sanctions de la CNIL (1) et les interventions des opérateurs (2).

1 - Sanctions de la CNIL

Le chapitre 7 de la loi de 1978 est consacré aux « sanctions prononcées par la formation restreinte » de la CNIL.

L’article 45 pose qu’elle peut prononcer « un avertissement à l’égard du responsable d’un traitement qui ne respecte pas les obligations ». Il ajoute que « le président de la Commission peut également mettre en demeure ce responsable de faire cesser le manquement ». Il est précisé que, si le responsable du traitement ne se conforme pas à la mise en demeure, « la formation restreinte peut prononcer » l’une des sanctions suivantes : une sanction pécuniaire ; « une injonction de cesser le traitement » ; « engager une procédure d’urgence (…) pour : 1° décider l’interruption de la mise en œuvre du traitement (…) 2° prononcer un avertissement (…) 3° décider le verrouillage de certaines des données ». Il est encore prévu que, « en cas d’atteinte grave et immédiate aux droits et libertés (…) le président de la Commission peut demander, par la voie du référé, à la juridiction compétente d’ordonner (…) toute mesure de sécurité nécessaire ».

Aux sanctions de la CNIL, s’ajoutent de possibles interventions directes des opérateurs.

2 - Interventions des opérateurs

Les prestataires techniques peuvent être amenés à participer à l’action de la justice ou à intervenir en dehors de toute procédure judiciaire.

L’article L. 32-3-3 du code des postes et des communications électroniques pose le principe de non-responsabilité des fournisseurs d’accès à Internet.

L’article 6.I.2 et 3 de la loi n° 2004-575 du 21 juin 2004 fait de même à l’égard des fournisseurs d’hébergement s’ils « n’avaient pas effectivement connaissance de l’activité ou de l’information illicites ou si, dès le moment où (ils) en ont eu cette connaissance, (ils) ont agi promptement pour retirer ces informations ou en rendre l’accès impossible ».

L’article 6.I.7 de la même loi pose que tant les fournisseurs d’accès que les fournisseurs d’hébergement ne sont pas soumis « à une obligation générale de surveiller les informations » ou données qu’ils « transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites ». Une « surveillance ciblée et temporaire » peut cependant leur être « demandée par l’autorité judiciaire ».

Aux termes de l’article 6.II de ladite loi, ces prestataires techniques « détiennent et conservent les données de nature à permettre l’identification de quiconque a contribué à la création (…) de l’un des contenus des services dont (ils) sont prestataires » et l’autorité judiciaire peut leur en demander la communication.

Pour échapper à la mise en jeu de leur responsabilité, les prestataires et notamment les fournisseurs d’hébergement peuvent, dès qu’ils en ont connaissance, retirer des données litigieuses ou en rendre « l’accès impossible ». Il peut également en être ainsi d’informations dont les personnes en cause demandent le retrait au titre de ce qui est qualifié de « droit à l’oubli ».

Dans l’arrêt du 13 mai 2014, la CJUE a posé que l’exploitant d’un moteur de recherche « est obligé de supprimer de la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne (…) et ce (…) même lorsque leur publication en elle-même sur lesdites pages est licite ». Elle ajoute qu’il convient « d’examiner si la personne concernée a un droit à ce que l’information en question (…) ne soit plus (…) liée à son nom », notamment si l’information paraît inadéquate, pas ou plus pertinente ou excessive au regard des finalités du traitement, et que cette personne doit pouvoir « demander que l’information en question ne soit plus mise à la disposition du grand public ». L’arrêt précise cependant que « tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir (…) accès à l’information » (CJUE, 13 mai 2014, affaire C-131/12).

À la suite de cet arrêt, la société Google a mis à la disposition des internautes européens un formulaire leur permettant de signaler les données, qu’ils considèrent comme non pertinentes ou inexactes, dont ils souhaiteraient le « déréférencement ». En décembre 2014, elle indiquait avoir reçu 170 000 demandes de suppression de liens, dont 50 000 en provenance de la France. Dans cette démarche extrajudiciaire, il appartient cependant à l’exploitant du moteur de recherche de décider ou non d’y donner suite.

*
* *

Bénéfique, l’évolution des techniques d’information et de communication et notamment du numérique est également, en fonction de l’usage qui en est fait, porteuse de menaces sur la protection de la vie privée et des données personnelles. Les facilités de conservation, de consultation et d’exploitation de données anciennes, offertes désormais notamment par les moteurs de recherche, ont conduit à la formulation de la revendication d’un « droit à l’oubli ». Celui-ci doit cependant se concilier avec le respect de la liberté d’information et de création littéraire et artistique et notamment historique qui bénéficient d’un régime de faveur. Tout est alors affaire d’un bien délicat équilibre.

Références bibliographiques : Benabou, V.-L. et Rochfeld, J., « Les moteurs de recherche, Maîtres ou esclaves du droit à l’oubli numérique ? », Dalloz 2014.1476 ; Boyer, J., « Droit à l’oubli, droit de suppression, droit de suite : la loi informatique et libertés doit-elle arbitrer la liberté d’expression ? », Legicom, n° 46, 2011/1, pp. 77-81 ; Bregou, A., « Les libertés d’information et de création artistique sacrifiées au profit d’un ‘droit à l’oubli’ » (note sous TGI Paris, référé, 26 juillet 2013), Legipresse, décembre 2013, n° 311, pp. 684-690 ; Bruguière, J.-M., « Le droit à l’oubli numérique, un droit à oublier », Dalloz 2014, n° 5, pp. 299 s ; Castets Renard, C. et Voss, G. « Le droit à l’oubli numérique en Europe et en Californie », RLDI/100, n° 3323, pp. 51-55 ; Contestin, B., « Projet de règlement européen sur le droit à l’oubli : les conséquences pour la presse », Legipresse, n° 312, janvier 2014, pp. 3-4 ; Debet, A., « Google Spain : droit à l’oubli ou oubli du droit ? », Comm. comm. électr., juillet 2014, étude 13 ; Deloire, Ch. et Tréguer, F., « Recommandations sur le droit à l’oubli », Legipresse, décembre 2014, n° 322, pp. 643-645 ; Derieux, E., « Réseaux sociaux et responsabilité des atteintes aux droits de la personnalité », RLDI/100, janvier 2014, n° 3334, pp. 77-89 ; Derieux, E. et Granchet, A., « Vie privée et droit à l’image », Droit des médias. Droit français, européen et international, LGDJ-Lextenso éditions, 6e éd., 2010, pp. 597-628 ; Réseaux sociaux en ligne. Aspects juridiques et déontologiques, Lamy, coll. Axe droit, 2013, 235 p. ; Drouard, E. « Internet et le droit à l’oubli numérique. Quels enjeux ? Quelles régulations ? », Legipresse, mai 2010, n° 272, pp. 3-4 ; Frayssinet, J., « Le pseudo-droit à l’oubli appliqué à la presse », Legipresse, octobre 2010, n° 276, pp. 273-279 ; Hardoin, R., « La recherche d’un équilibre entre les libertés publiques sur Internet : l’effet sur les moteurs de recherche en matière de déréférencement », RLDI/96, août 2013, n° 3209, pp. 98-104 ; Hassler, Th., « Réflexions sur le droit à l’oubli appliqué aux images de personnes sur Internet », RLDI/107, août 2014, n° 3567, pp. 77-83 ; Le Clainche, J., « CJUE : le droit à l’oubli n’est pas inconditionnel », RLDI/107, août 2014, n° 3569, pp. 92-103 ; Mallet-Poujol, N., « Du droit à l’oubli numérique », Legipresse, novembre 2009, pp. 215-220 ; « Du droit (ou du non-droit) à l’oubli numérique : variations autour de l’article 38 de la loi informatique et libertés » (note sous TGI Paris, 17e ch., 9 mai 2012, Legipresse, septembre 2012, n° 297, pp. 504-510 ; Marais, A., « Le droit à l’oubli », in Teyssié, B., dir., La communication numérique, un droit, des droits, Éditions Panthéon-Assas, 2012, pp. 63-89 ; Marino, L., « Google et la machine à effacer le passé. À propos de l’affaire Max Mosley », JCP G 2013.978 ; « Un “droit à l’oubli” numérique consacré par la CJUE », JCP G, 30 juin 2014.768 ; Pignatari, O., « Droit à l’oubli : la CJUE n’oublie pas les internautes », RLDI/107, août 2014, n° 3550, pp. 32-35 ; Proust, S., « Le projet de règlement européen sur le droit à l’oubli… », Legipresse, avril 2013, n° 304, pp. 211-214 ; Thiérache, C., « Le droit à l’oubli numérique : un essai qui reste à transformer », RLDI/67, janvier 2011, n° 2188, pp. 6-10.