Licence CC BY

Le droit à l'oubli en détails

Nous le mentionnons dans la partie précédente, le droit à l’oubli est un cas particulier du droit à l’effacement : voyons ensemble ses enjeux, ainsi que la question épineuse de la durée de conservation.

Qu’est-ce que le droit à l’oubli ?

Anciennement, les supports physiques de stockage pouvaient être effacés simplement (destruction du papier, formatage du disque dur, etc) ; depuis l’arrivée d’Internet et l’interconnexion des données, cela est devenu plus complexe à mettre en œuvre, de nombreux acteurs pouvant avoir accès et stocker ces données. C’est la raison pour laquelle le droit à l’oubli a été mis en place : pour effacer des données devenues obsolètes, ou non-nécessaires.

Nous en parlions dans la partie précédente, le droit à l’oubli n’est qu’un cas particulier du droit à l’effacement1, et concerne en somme une « fin de vie » des données. Les données stockées doivent en effet être soumises à une durée de conservation, bien définie au moment où le stockage commence. Cette durée doit être précisée à l’utilisateur lors du recueil du consentement, si celui-ci est requis ; elle est précisée avec les autres facteurs nécessaires, que nous avons vus précédemment.

Le responsable du traitement est établi responsable de la non-destruction de données qui ne devaient plus être conservées, même si la procédure de suppression est automatique (recommandé), il convient donc pour les entreprises d’effectuer une surveillance quant à l’accomplissement de ce droit à l’oubli. Notons toutefois certaines exceptions au droit à l’oubli, dont certaines sont un rappel de la partie précédente2 :

  • à l’exercice du droit à la liberté d’expression et d’information ; une personne publique ayant commis une infraction ne pourra pas demander à ce que son nom soit effacé de l’article de journal le mentionnant ;
  • pour respecter une obligation légale, c’est l’objet de l’archivage intermédiaire, dont nous parlerons ci-après ;
  • pour les données présentant un caractère historique, scientifique ou statistique, qui peuvent ne pas être effacées si elles sont anonymisées ou anciennes ;
  • pour exercer ses droits en justice, quiconque peut demander à ce que le responsable du traitement conserve la donnée, mais elle ne peut plus faire l’objet d’un traitement.

  1. RGPD, art. 17, alinéa 1.a 

  2. RGPD, art. 17, alinéa 3 

La durée de conservation et l’archivage

Le RGPD nous précise que la durée de conservation ne doit pas excéder la durée nécessaire aux finalités du traitement1, ce qui est peu clair, et laisse les entreprises sur un doute important. C’est pourquoi la CNIL ajoute des précisions concernant ce droit à l’oubli, en mentionnant entre autres que cette durée est variable, et n’est pas mentionnée dans les textes officiels.

Il faut donc déterminer au cas par cas la durée maximale de conservation des données à caractère personnel, en se basant, si possible, sur des textes extérieurs à la protection des données, ou sur des recommandations de la CNIL (par exemple, un mois maximum pour les données de vidéosurveillance).

Outre ces recommandations particulières et liées au type de la donnée, la CNIL propose, pour les responsables de traitement, de mettre en place une organisation relative à la donnée – qui est d’ailleurs l’enjeu majeur derrière le texte du Règlement : mettre en place une organisation globale de la donnée dans l’entreprise. Ce système proposé par la CNIL est basé sur divers niveaux d’archivage, formant un cycle vertueux de la donnée2 :

  • en premier lieu, après que la donnée soit recueillie, elle est en archive courante (ou base active), c’est-à-dire que la donnée est activement utilisée ; dans le cas d’un site d’e-commerce, par exemple, l’adresse d’expédition est en archive courante jusqu’à la livraison du paquet ;
  • ensuite, lorsque la donnée n’est plus activement utilisée, elle doit être conservée pour justifier d’obligations légales, on appelle ce stade les archives intermédiaires. Pour reprendre l’exemple du site e-commerce, aucun texte de référence ne mentionne la durée de conservation de l’adresse, mais on pourrait imaginer la fixer à la durée d’exercice possible du droit de rétractation (durée courte), ou une autre durée qui pourrait constituer un fondement légal, réglementaire, contractuel ou conventionnel ;
  • enfin, à la fin de la durée définie pour l’archivage intermédiaire, la durée doit être détruite, c’est-à-dire qu’il ne doit rester aucun moyen d’y accéder de la part du responsable du traitement. Pour les données présentant un caractère historique, scientifique ou statistique, icelles peuvent ne pas être détruites et sont alors en archives définitives, ce qui signifie qu’elles ne doivent pas faire l’objet d’un traitement régulier (elles peuvent être reprises à la demande d’un historien, par exemple) ; les données doivent alors, la plupart du temps, être anonymisées, ou très anciennes, et ne plus concerner une personne vivante.

Pour l’archivage intermédiaire, la CNIL nous précise que « des mesures techniques et organisationnelles doivent être prévues pour protéger les données archivées », mentionnant à la fois l’accès non-autorisé aux données archivées, même en base active, ainsi que la suppression ou l’altération de ces données aux dépens de l’utilisateur. En cela, elle précise que l’accès aux données stockées doit être tracé, ce qui implicitement veut dire que chaque accès doit être daté, et précisé d’un motif justifiant son accès3.

  1. RGPD, art. 5, alinéa 1.e 

  2. CNIL, délibération n° 2005-213, 11 octobre 2005, NOR : CNIX0508839X 

  3. cf. le site de la CNIL 

Un cas particulier : le droit au déréférencement

Le droit à l’oubli fait parfois l’objet de décisions spécifiques, c’est le cas d’un principe appelé « droit au déréférencement », et ayant été consacré bien avant que le RGPD entre en vigueur1. Il permet aux utilisateurs de demander la désindexation – c’est-à-dire l’effacement de données les concernant auprès d’un moteur de recherche – de n’importe quelle donnée pouvant leur porter préjudice, comme un ancien CV ou une photo de jeunesse, mais aussi de données à caractère racial, religieux et autres2. Le déréférencement peut être demandé par le moyen que choisi le responsable du traitement (par voie postale, comme Ixquick, ou en ligne, comme Google et Yahoo).

Attention toutefois, ce droit ne consiste pas pour les utilisateurs à faire effacer une information d’un site web donné, mais simplement d’effacer l’association entre les nom et prénom de la personne concernée et le lien vers ladite page dans un moteur de recherche. L’information reste donc accessible si l’adresse du site est tapée directement dans la barre d’adresse, par l’intermédiaire d’éventuels autres moteurs de recherche à qui l’effacement n’aurait pas été demandé, ou même depuis le moteur auquel l’effacement à été demandé, par d’autres mot-clés.

Ce droit inverse en partie les rapports de force entre l’utilisateur et la plateforme, icelle est en effet obligée de recourir à la demande de l’utilisateur, sauf si l’information ne cause de préjudice à la personne concernée (l’utilisateur peut alors s’y opposer, le plus souvent par un recours gracieux), ou si la suppression de l’information entrave le droit à l’information – remarquons que le premier cas découle en quelque sorte de celui-ci, car s’il n’y a pas de préjudice, alors la liberté d’information est forcément impactée par le déréférencement… d’une information.

En France, le Conseil d’État, saisi en 20173 de demandes suite au refus par la CNIL de l’application du droit au déréférencement sur les différentes extensions d’un moteur de recherche (si l’effacement est demandé sur google.fr, doit-il être répercuté sur google.com), demande à la CJUE de trancher la question ; pour cela, il pose les questions suivantes3 :

  • un moteur de recherche est-il directement responsable des données ethniques2 qu’il diffuse, même si elles sont couvertes par la liberté d’information ?
  • Si oui, y-a-t-il des exceptions qui empêchent l’exercice du droit au déréférencement, en particulier concernant les données publiques, ou lors du consentement de l’utilisateur ?
  • Si non, quelles sont les limites du droit au déréférencement ? Particulièrement, si le déréférencement est demandé, la légalité des données au regard de la loi du l’Union doit-elle constituer un élément de décision de déréférencement ?
  • En tout cas, la liberté d’information est-elle plus importante que le droit à l’oubli, ou une information doit-elle être conservée par un moteur de recherche en toutes circonstances ?
  • Enfin, le récit d’un procès est-il soumis au droit au déréférencement, sous réserve que la personne soit explicitement nommée ?

Comme vous le voyez, la question du droit au déréférencement est loin d’être tranchée, malgré son application dès 2014 ; on peut donc supposer qu’il en sera de même du RGPD, qui fera l’objet d’une jurisprudence importante. Soyez donc vigilants et stricts dans votre application du Règlement, et particulièrement de ce droit au déréférencement, dont des questions le concernant sont encore pendantes devant la CJUE.

  1. CJUE, grande chambre, 13 mai 2014, n° C‑131/12, ECLI:EU:C:2014:317, dit « Google Spain » 

  2. Directive (UE) n° 95/46/CE du Parlement européen et du Conseil, 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, art. 8, alinéas 1 et 5 pour la liste des données à caractère particulièrement sensible 

  3. CE, ass., 24 février 2017, n°s 391000, 393769, 399999, 401258 

Vous voici parés face au droit à l’oubli, qui est, je le rappelle, un des plus importants de cette nouvelle législation européenne.