En première ligne, on doit citer l’arrêt récent de la CJUE du le 13 mai 2014 qui a fait l’effet d’un énorme pavé dans la marre par les effets qu’il a entraîné, en particulier en jugeant qu’il advenait à Google de déréférencer les pages de son index qui comportaient des données à caractère personnelles sur demande de la personne concernée.
La surprise est venue de Google qui a mis quasiment immédiatement en place un formulaire permettant à tout un chacun de demander la suppression des pages litigieuses. On en vient presque à s’étonner que la société respecte la loi !
L’effet nouveauté doit cependant être tempéré. Cela essentiellement parce que le droit à l’oubli existe dans la loi informatique et liberté depuis 1978 (article 38, on parle de droit d’opposition au traitement de ses données personnelles). On s’amusera donc à voir certains partir en campagne pour demander « l’instauration du droit à l’oubli » alors que celui-ci existe depuis plus de 30 ans… Mais qu’importe… il y a un progrès certain dans le fait de n’avoir qu’à remplir un formulaire pour voir supprimer la référence entre son nom et une page web insultante.
Avant cette décision, en effet, il fallait assigner Google aux Etats-Unis pour obtenir des effets. Or, la procédure a un coût faramineux : en premier lieu, il faut faire un constat d’huissier (300€), puis mettre en demeure Google (300€), avant de rédiger une assignation (2500€), la faire traduire (3000€), puis la signifier à l’entreprise américaine (500€). A ce stade nous sommes 6.600€ de frais juste pour faire supprimer une page de l’index… Ce qui fait déjà cher ! Mais ce n’est pas tout car, la société pourra ensuite répondre à la demande par ses propres conclusions en soulevant une tonne de problèmes de droit, auquel il faut forcément répondre… L’addition pouvait augmenter alors de manière substantielle (de 3 à 5.000€ en plus). Et ce stade l’avocat n’a même pas encore plaidé (compter 500/1000€ de plus pour la plaidoirie). Ce à quoi il faut ajouter le risque de devoir payer les frais d’avocat de la partie adverse si on perd son procès (+5-10.000€). Bref, compte tenu des coûts, rares étaient donc les personnes à s’être lancées dans une telle procédure…
Il y a donc bien ici un progrès pour le justiciable.
D’un point de vue juridique l’arrêt invite à certaines discussions, je n’en commenterai qu’une.
On a dit en particulier qu’il opérait une révolution en reconnaissant qu’une entreprise américaine puisse être assujettie au droit européen. Ce point nous semble erroné. Pour le comprendre il faut reprendre l’intégralité de l’article 4 de la directive européenne qui dispose que :
- Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:
a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable;
b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public;
c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté.
En ce qui me concerne, il ne fait aucun doute que la loi est applicable en l’espèce à Google, pour deux raisons :
- si l’essentiel de la discussion s’est cristallisé sur l’applicabilité du 1. a) et en particulier sur le fait de savoir si le traitement de données personnelles était fait « dans le cadre des activités d’un établissement du responsable » (ce à quoi la CJUE a répondu oui), en réalité la réponse était déjà acquise par l’application du 1. c). En effet, Google utilise des moyens automatisés pour réaliser son traitement de données personnelles (en particulier le navigateur de l’utilisateur pour y afficher les résultats de recherche, même si Google n’en est pas propriétaire – ubi lex non distinguit).
- Ensuite, mais plus particulièrement pour la France cette fois, il faut rappeler que la loi comporte un volet pénal qui sanctionne le non-respect du droit d’opposition au traitement des données personnelles, à hauteur de 5 ans d’emprisonnement et 300.000€ d’amende (art. 226-18-1 du Code pénal). Or, la loi pénale s’applique dès lors que l’un ou plusieurs des éléments matériels de l’infraction est réalisé en France (par exemple, le fait que les résultats de recherche y soient accessibles d’une manière ou d’une autre).
Donc pas tant de véritable nouveauté, mais un « vent de nouveauté » utile qui servira aux droits et libertés.
Somme toute, c’est déjà pas mal.