Le 13 mai 2014, la Cour de Justice de l’Union Européenne rendait sa décision sur le “droit à l’oubli numérique”, instaurant ainsi le formulaire du même nom auprès de Google et à disposition de chaque internaute particulier européen.
Comment est venu un tel droit ? Quelles ont été les avancées réalisées en ce sens avant cette décision ?
Quelques rappels sur l’évolution de la législation française dans ce domaine.
La loi Informatique et Libertés (Février 1978)
Cette loi reconnaît quatre droits essentiels, à savoir:
- Le droit d’information
- Le droit d’opposition
- Le droit d’accès
- Le droit de rectification
Par ailleurs, l’article 6 de cette loi et relatif aux conditions de licéité des traitements de données à caractère personnel précise que la durée de conservation des données ne doit pas excéder la durée nécessaire aux finalités pour lesquelles les données sont collectées et traitées.
[accordion]
[toggle title= “Modification de la loi Informatique et Libertés (1991)” state=”closed”]
Elle a ensuite été modifiée en 1991 au cours d’un décret par lequel furent autorisés ” la collecte, la conservation et le traitement dans les fichiers des services des renseignements généraux d’informations nominatives relatives aux personnes majeures qui font apparaître ” les ” signes physiques particuliers, objectifs et inaltérables ” ainsi que les ” activités politiques, philosophiques, religieuses ou syndicales “. En précisant notamment que lesdites informations peuvent être recueillies lorsqu’elles sont ” relatives à des individus exerçant ou ayant exercé un rôle politique (mandat), économique, social ou religieux significatif” et que doit être prouvée la nécessité de celles ci pour permettre “au Gouvernement ou à ses représentants […] d’apprécier la situation politique, économique ou sociale et de prévoir son évolution. ”
Texte intégral de la loi sur Legifrance
[/toggle]
[/accordion]
[accordion]
[toggle title= “Nouvelle modification de la loi Informatique et Libertés (2004)” state=”closed”]
La Loi n°2004-801 du 6 Août 2004 a transposé en droit français les dispositions de la directive 95/46/CE (voir ci-dessous) en matière de protection des données personnelles.
Elle a ainsi apporté des changements à la Loi de 1978 parmi lesquels :
- De nouvelles règles relatives à la déclaration des fichiers: Au même titre que le secteur privé, le secteur public n’a qu’à informer la CNIL (et n’a plus besoin de son autorisation) pour déclarer des fichiers.La loi prévoit d’autre part des cas dans lesquels des fichiers peuvent bénéficier d’une déclaration simplifiée, voire sont exemptés de déclaration.
- Le correspondant Informatique et Libertés : Un organisme (public ou privé) a la possibilité de nommer un “correspondant à la protection des données à caractère personnel” chargé d’assurer l’application des dispositions de la loi au sein de l’organisme, ce qui simplifie grandement les formalités de déclaration auprès de la CNIL.
- Les nouvelles prérogatives de la CNIL : cette dernière peut désormais contrôler les locaux d’une entreprise entre 6h et 21h.
Vous pourrez accéder ici au texte de loi intégral et connaître l’intégralité des modifications précédemment abordées.
[/toggle][/accordion][accordion][toggle title= “Rappel sur la directive 95/46/CE sur la protection des données” state=”closed”]
Il s’agit du texte de référence à dimension européenne en matière de protection des données à caractère personnel. Cette directive entend harmoniser les normes en matière de protection des données personnelles dans l’UE, en vue de faciliter leur libre circulation. Elle stipule également que ces données ne doivent pas être soumises à un traitement automatisé, sauf si celui-ci remplit les exigences posées par trois principes:proportionnalité, transparence et finalité légitime.
Par ailleurs, l’article 28 demande à chaque État-membre d’instituer une autorité de protection des données personnelles, sur le modèle général de la Commission nationale Informatique et libertés (CNIL) établie en France.
Vous trouverez l’intégralité du texte de cette directive ici
[/toggle]
[/accordion]
Décision du 13 Mai 2014
Au cours de cette décision, la Cour a jugé quatre points essentiels :
– Les exploitants de moteurs de recherche sont des responsables de traitement au sens de la directive 95/46/CE sur la protection des données personnelles.
– La CJUE retient une conception large de la notion d’établissement, et, de ce fait, que la directive s’applique à Google.
– Une personne peut s’adresser directement à un moteur de recherche pour obtenir la suppression des liens vers des pages web contenant des informations portant atteinte à sa vie privée sans avoir à s’adresser préalablement à l’éditeur du site Internet
– Un tel droit n’est cependant pas absolu. Si le droit au respect de la vie privée et à la protection des données personnelles garanti par la Charte des droits fondamentaux de l’UE prévaut sur l’intérêt économique du moteur de recherche, la suppression de telles données doit être appréciée au cas par cas.
Vous pourrez trouver l’intégralité de ce texte de loi en cliquant ici.