Protection des données : nouvelles règles « d’ici 2015 »

En fait. Le 18 août, la nouvelle commissaire européenne (par intérim) en charge de la Justice, Martine Reicherts, s’est engagée à ce que la réforme de la protection des données – entreprise depuis deux ans et demi par Viviane Reding (à laquelle elle succède) – aboutisse « rapidement » malgré ses « détracteurs ».

En clair. « Juste au moment où la réforme sur la protection des données monte en puissance et de façon urgente, des détracteurs tentent d’y mettre des battons dans
les roues. Ils essaient d’utiliser la récente décision [arrêt daté du 13 mai 2014, ndlr]
de la Cour de justice de l’Union européenne [CJUE] en faveur du droit à l’oubli pour saper notre réforme. Ils le font mal. Et je ne les laisserai pas abuser de cette décision cruciale pour nous empêcher d’ouvrir le marché unique numérique pour nos entreprises et mettre en place une plus forte protection pour nos citoyens », a prévenu avec détermination la Luxembourgeoise Martine Reicherts, lors de sa première intervention publique.

C’était à Lyon, devant un congrès organisé le 18 août. Premier dans ligne de mire de son discours : Google, lequel a dû se plier à cette décision européenne en mettant en ligne un formulaire à remplir (1) par les candidats au droit à l’oubli. Google, qui estime que la décision de la CJUE est « difficile à appliquer », a indiqué mi-juillet au G29 – groupement des « Cnil » européennes – avoir reçu plus de 91.000 demandes. La plus grande partie vient de la France : 17.500 demandes. Le géant du Net laisse entendre que si le droit à l’oubli est impossible à respecter (en raison du flou de certaines demandes ou du risque de censure), les futures nouvelles règles attendues le seront tout autant. Mais la nouvelle commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, qui a succédé le 16 juillet dernier à Viviane Reding, n’en démord pas : la vaste réforme de la protection des données personnelles dont elle hérite aboutira « d’ici 2015 », conformément au calendrier fixé par les représentants des Etats membres le 4 juin dernier. Car cette réforme cruciale ne peut plus tarder.
Il y a deux ans et demi, Viviane Reding présentait deux propositions législatives : un règlement définissant un cadre général pour la protection des données et une directive sur la protection des données personnelles (2). Mais le lobbying des acteurs du Net et d’organisations professionnelles de services en ligne n’a eu de cesse depuis d’exiger des assouplissements, notamment en matière de consentement préalable des internautes (avant d’utiliser leurs données personnelles ou d’installer des cookies)
et de droit à l’oubli. En mars dernier, le Parlement européen avait adopté le projet de règlement. @

Le géant américain Google s’adapte de plus en plus à l’Union européenne, de gré ou de force

Droit à l’oubli, protection des données, respect de la vie privée, concurrence sur son moteur de recherche, fiscalité numérique, investissement dans la culture, … Plus de quinze ans après sa création aux Etats-Unis, Google s’européanise – volontairement ou par obligation – chaque jour un peu plus.

Par Charles de Laubier

Carlo d'Asaro BiondoIl ne se passe plus une semaine sans que Google ne défraie la chronique européenne, souvent sur des sujets de fond, parfois sensibles. Bien que disposant de longue date d’un siège européen
à Dublin (Irlande) et ayant parmi ses dirigeants des Européens – comme depuis près de cinq ans maintenant le Franco-italien Carlo d’Asaro Biondo (photo), patron de Google pour le Sud et l’Est de l’Europe, le Moyen-Orient et l’Afrique (Seemea), basé et habitant à Paris –, ces « affaires » européanisent encore un peu plus chaque fois le géant du Net américain.

Formulaire pour le droit à l’oubli : une première mondiale
C’est le cas du droit à l’oubli confirmé par la Cour de justice de l’Union européenne (CJUE), dont un arrêt daté du 13 mai dernier permet aux internautes des Vingt-huit d’exiger de Google de supprimer toutes pages web et informations personnelles les concernant sur son moteur de recherche.
Le géant du Net a dû se plier à cette décision européenne en mettant en ligne le 29 mai
un formulaire à remplir par les candidats au droit à l’oubli ou soucieux de leur e-réputation. Lors d’une recherche, un message pourra signaler que les résultats ont été modifiés conformément l’arrêt de la CJUE et à la directive européenne de 1995 sur la protection des données personnelles.

Formulaire pour le droit à l’oubli : une première mondiale
C’est sans précédent pour le numéro un mondial des moteurs de recherche. Google s’étant engagé à traiter les demandes au cas par cas et non automatiquement, cela risque d’être fastidieux puisque 12.000 requêtes avaient été enregistrées dès le premier jour et plus de 40.000 au bout de quatre ! L’Europe compte 500 millions d’internautes potentiels… Le comité consultatif d’experts (2) mis en place par Google, et censé rendre son rapport
« début 2015 », risque d’être très vite débordé. Reste à savoir si le « G29 », le groupement des « Cnil » européennes (3) qui s’est réuni les 3 et 4 juin, trouvera le dispositif suffisant et conforme à l’arrêt de la CJUE, sachant que Google ne précise
pas dans quel délai il supprimera – uniquement sur le moteur en Europe… – les données concernées. Les « Cnil » veilleront aussi à ce que l’application du droit à l’oubli – par ce cénacle privé et en dehors de toute décision du juge – ne s’apparente à de la censure,
à de la violation de la liberté d’expression ni encore à de l’atteinte à la liberté de la presse.

Pas de « taxe Google » mais plus de TVA
Le G29 entend aussi amener Google à s’engager sur un « pacte de conformité » sur la protection des données personnelles, de façon à mieux informer les internautes. Et ce, depuis que le moteur de recherche américain a fusionné en mars 2012 une soixantaine
de règles d’utilisation en une seule – regroupant ainsi les données collectées de ses services auparavant séparés (Google, Gmail, Google+, YouTube, Picasa, Google Docs, Google Maps, …). La Cnil en France, qui pilote l’action du G29 vis-à-vis de Google, a
déjà infligé à ce dernier – le 8 janvier – une amende de 150.000 euros pour sa nouvelle politique de confidentialité des données jugée non conforme à la loi Informatique et Libertés (internautes mal informés, non respect du consentement préalable des utilisateurs avant tout cookie, absence de durées de conservation des données, combinaison illégale des données collectées). Google a dû afficher un temps sur la page d’accueil de Google.fr un encart sur sa condamnation. Là aussi, une première mondiale. Google a néanmoins saisi le Conseil d’Etat sur le fond contre cette sanction de la Cnil.

Autre domaine, et non des moindres, où Google va devoir s’européaniser un peu plus :
la fiscalité du numérique. Le géant du Net aura à se mettre en conformité – d’ici le 1er janvier 2015 – avec la nouvelle règle communautaire dite du « pays de consommation » (qui va progressivement remplacer celle du pays d’établissement du siège social). La
TVA sera en effet prélevée à partir de l’an prochain par le pays où l’internaute utilise les services en ligne. En fait, le compromis trouvé fin 2007 à la demande du Luxembourg prévoit un échelonnement progressive de cette règle du lieu de consommation, de 2015
à 2019, à savoir : 30 % conservés par le pays d’établissement en 2015-2016, 15 % en 2017-2018 et enfin 0% à partir du 1er janvier 2019. Cette nouvelle règle, applicable dans un peu plus de six mois maintenant, éloigne le spectre d’une « taxe Google » en Europe.
« L’économie numérique ne nécessite pas un régime fiscal distinct », a d’ailleurs conclu un groupe d’experts dans leur rapport sur la fiscalité de l’économie numérique (4) commandité par la Commission européenne. Quoi qu’il en soit, déjà sous le coup d’une procédure de redressement fiscal en France depuis 2012 pour un montant qui serait de l’ordre de 1 milliard d’euros, Google ne pourra plus pratiquer l’évasion fiscale en profitant du « dumping fiscal » pratiqué par certains Etats de l’Union européenne. C’est ainsi qu’ont été popularisés deux montages financiers baptisés « double irlandais » et « sandwich hollandais » qui auraient permis à Google d’échapper en grande partie à l’impôt en Europe grâce à une filiale située dans le paradis fiscal des Bermudes (où est située sa filiale Google Ireland Holdings). Cette double pirouette fiscale, a priori légale, est décrite en détail dans le rapport français « Colin & Collin » de janvier 2013 sur la fiscalité de l’économie numérique. Pierre Collin est justement l’un des six experts du groupe de haut niveau qui vient de remettre son rapport. Google va devoir cesser cette optimisation fiscale. D’autant que l’Europe attend beaucoup du projet BEPS (Base Erosion and Profit Shifting, comprenez « érosion de l’assiette et déplacement des profits ») de l’Organisation de coopération et de développement économiques (OCDE), laquelle doit présenter un rapport lors de la réunion du G20 en septembre prochain.

Autre « affaire » dans laquelle Google doit s’adapter aux exigences de l’Union européenne : celle du respect de la concurrence sur son moteur de recherche. Le commissaire européen chargé de la Concurrence, Joaquín Almunia, a bien l’intention de conclure
« après l’été » son enquête ouverte en novembre 2010 – à la suite de plaintes d’une dizaine d’entreprises – contre Google pour « abus de position dominante ». Il est reproché au géant du Net de favoriser ses propres services, via son moteur de recherche, aux dépens de ceux de ses concurrents. Pour éviter une amende pouvant aller jusqu’à 5 milliards de dollars, Google a présenté en février dernier de nouvelles concessions que
la Commission européenne semble prête à accepter. Mais c’est sans compter de nouvelles plaintes de 400 entreprises françaises et allemandes qui, regroupées dans une organisation baptisée Open Internet Project (créée à l’initiative notamment de Lagardère, CCM Benchmark et Axel Springer), accusent Google d’atteinte à la neutralité d’Internet
et des résultats de recherche. « Le secteur digital européen demande aux gouvernements européens de garantir une compétition loyale face au monopole de Google, en séparant son moteur de recherche d’une part et ses services d’autre part », a déclaré l’OIP.
Par ailleurs, la firme de Mountain View de plus en plus eurocompatible est confrontée
– en France principalement – aux tenants de « l’exception culturelle » qui exigent sa contribution financière (5). Comme gage de sa bonne volonté, Google a ouvert dès
2011 à Paris son Institut culturel. Mais cela ne leur suffit pas.

Financement de la culture européenne ?
L’« appel de Chaillot » du 4 avril demande à ce que « les diffuseurs contribuent au financement de la création ». Aurélie Filippetti, ministre de la Culture et de la Communication, compte convaincre ses homologues européens d’adopter « une stratégie européenne pour la culture à l’ère numérique ». Une « feuille de route » sera proposée dans ce sens à la prochaine Commission européenne pour la période 2014-2019. @

Google condamné par la Cnil : une insécurité juridique pour les entreprises françaises

Alors que Google n’a pas fait appel dans d’autres pays qui l’ont condamné pour non respect de la protection des données (Pays-Bas, Espagne), il a en revanche contesté la décision de la Cnil devant le Conseil d’Etat. Avec cette dernière, les entreprises françaises pourraient être les victimes collatérales.

Par Etienne Drouard, avocat associé, cabinet K&L Gates LLP.

Etienne DrouardLe 3 janvier dernier, la Cnil (1) a prononcé une sanction pécuniaire de 150.000 euros à l’encontre de la société américaine Google Inc. Il s’agit de la plus forte amende prononcée jusque-là par l’autorité indépendante française,
qui estime que les nouvelles règles de confidentialité de Google ne sont pas conformes à la loi « Informatique et Libertés » du 6 janvier 1978.
En fusionnant les différentes règles de confidentialité applicables à une soixantaine de ses services (Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, …), Google applique une seule politique de confidentialité depuis mars 2012.

Les quatre griefs faits à Google
Si la Cnil comprend cette volonté de simplification, elle estime toutefois que Google ne respecte pas les quatre exigences posées par la loi « Informatique et Libertés ». A savoir que le géant du Net :
• n’informerait pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles, de sorte qu’ils ne sont pas en mesure d’exercer leurs droits ;
• ne respecterait pas l’obligation de recueil du consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux ;
• ne fixerait pas de durées de conservation pour l’ensemble des données qu’elle traite ;
• s’autoriserait, sans base légale, à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services.

La Cnil a également enjoint à Google de publier un communiqué (voir zoom) relatif à cette décision sur le site Google.fr pendant 48 heures, sous huit jours à compter de la notification de la décision. Il est important, pour comprendre le raisonnement suivi par la Cnil, d’analyser cette délibération indépendamment de la société à laquelle elle se rapporte. La Cnil justifie l’application de la loi française au motif que la société américaine Google Inc tire des bénéfices commerciaux de ses activités publicitaires en France. Ce critère économique semblait logique. Cependant, ce raisonnement ne repose pas sur les règles de protection des données permettant
de désigner la loi applicable. En effet, la loi « Informatique et Libertés » a vocation à s’appliquer aux sociétés qui sont établies en France ou qui collectent des données à caractère personnel, en recourant à des moyens techniques situés en France. Sur ce point, la Cnil voulait se déclarer compétente, coûte que coûte, mais sa démonstration de l’application de la loi française à Google Inc paraît très fragile ou, à tout le moins, laborieuse.

Après une phase de rumeurs diffusées dans les médias, un porte-parole de Google a confirmé le 15 janvier dernier, auprès de l’AFP, avoir fait appel de la décision de la Cnil devant le Conseil d’Etat – en référé – pour contester l’injonction de devoir publier durant deux jours la condamnation prononcée par la Cnil, puis au fond. Selon Le Figaro, Google a déposé le 15 janvier justement un recours en référé devant le Conseil d’Etat, ainsi qu’un recours sur le fond. Ce recours en référé étant suspensif, Google n’aurait pas à faire état de cette condamnation sur son moteur de recherches. Ce qu’il aurait dû mettre en ligne à partir du 16 janvier.
Les condamnations récentes prononcées à l’encontre de Google dans d’autres pays européens, n’ont pas fait l’objet d’appel, Google se contentant de payer une amende qui, au regard de sa taille, est symbolique. Ainsi, le 19 décembre 2013 en Espagne, Google écopait de trois amendes simultanées pour un montant total de 900.000 euros (3). Fin novembre 2013, l’autorité néerlandaise rendait des conclusions similaires à l’encontre du géant du Net.

Autant de règles que de services ?
En tout état de cause, quelles peuvent être pour les sociétés françaises les leçons
à tirer de la condamnation prononcée par la Cnil ? Elles sont au nombre de deux :
• Lorsqu’une entreprise fournit divers services régis par autant de conditions d’utilisation, mais obéissant à une seule privacy policy, la Cnil semble estimer que
la juxtaposition des diverses finalités d’utilisation des données, serait illicite. Selon la Cnil, les utilisateurs devraient pouvoir accepter des finalités propres au service qu’ils souscrivent, et rejeter d’autres finalités pour les services qu’ils n’ont pas encore utilisés. Si les entreprises françaises devaient tirer les conséquences d’une telle opinion, elles devraient élaborer autant de privacy policy qu’elles ont de services. Pourtant, aucune disposition française ou européenne de protection des données à caractère personnel, n’exige d’une même entreprise qu’elle s’interdise l’usage croisé des données de ses clients ayant souscrit tel ou tel service qu’elle fournit.

Le « tout ou rien » critiqué par la Cnil
• D’après la Cnil, Google s’autoriserait, « sans base légale », à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services. Or, l’exigence d’une « base légale » formulée par la Cnil ne repose sur aucun fondement juridique. En filigrane, la Cnil conteste le souhait d’une fusion simplificatrice des finalités
de traitement des données portées à la connaissance des personnes. En l’espèce, Google a remplacé des centaines de pages de privacy policies cumulées pour 65 services différents, en un document transversal de seize pages (4) (*) (**) propre à l’ensemble des services fournis par le groupe Google et une vidéo d’information. Selon la Cnil, simplifier à outrance reviendrait à désinformer et favoriserait une logique du
« tout ou rien ».
Paradoxalement, la Cnil, avec ses homologues européens du groupe dit « G29 » (5), critique l’inefficacité des explications trop longues qui dissuaderaient les utilisateurs
de prendre connaissance du fonctionnement des services et de leurs droits. Ainsi, par exemple, en matière de cookies, les autorités de protection des données en Europe,
dont la Cnil en France, ont travaillé à réduire les textes d’information des personnes et
à simplifier à outrance la description des finalités d’utilisation des cookies. Poursuivant une logique simpliste, ces autorités tendent à suggérer une distinction binaire entre les finalités liées exclusivement à la fourniture d’un service et celles – qui seraient dangereuses et soumises à l’autorisation préalable des personnes – liées à la publicité. En conclusion, il ne s’agit pas, ici, de prendre une position pour ou contre la Cnil, ni pour ou contre Google. Il s’agit essentiellement de relever qu’en extrapolant le raisonnement intellectuel suivi par la Cnil pour condamner Google, de nombreuses entreprises françaises pourraient tomber sous le coup d’une condamnation pécuniaire au motif qu’elles fournissent plusieurs types de services régis par une privacy policy commune, réalisant une synthèse dans un souci de simplification.
Enfin, l’exigence d’une publication d’un communiqué sur le site Google.fr – à savoir sur la page d’accueil française du célèbre moteur de recherche – révèle que la Cnil, elle-même, poursuit une logique de communication, plutôt que de rigueur juridique. En effet, en droit français, la publication d’une condamnation est une peine complémentaire qui doit être expressément prévue par la loi. Une telle obligation de publication n’est pas prévue par la loi « Informatique et libertés ». La logique de communication et de polémique médiatique entre Google et la Cnil ne présente aucun intérêt pour les entreprises françaises. En revanche, si l’appel formé par Google devant le Conseil d’Etat ne permettait d’approfondir le raisonnement suivi par la Cnil et, si cet appel était rejeté sur des motifs de fond confortant ce raisonnement, la sécurité juridique des entreprises françaises pourrait s’en trouver affaiblie. Quoi qu’on pense de la puissance hégémonique de Google et des risques internationaux qui pèsent sur la vie privée des personnes, on ne saurait se réjouir d’une telle insécurité juridique. Gageons que le Conseil d’Etat ne sera pas aveuglé par la cible de la Cnil (6), faute de quoi les entreprises françaises pourraient, à l’avenir, suivre le chemin de condamnations ou devoir bouleverser leurs modèles contractuels et économiques, de crainte de se voir appliquer une « jurisprudence Google » qui ne leur serait pas aussi indolore qu’elle le serait pour le géant américain. @

ZOOM

Ce que Google n’a pas (encore) publié
« Communiqué : la formation restreinte de la Commission nationale de l’informatique
et des libertés a condamné la société Google à 150.000 euros d’amende pour manquements aux règles de protection des données personnelles consacrées par
la loi ‘’Informatique et libertés’’. Décision accessible à l’adresse suivant : http://www.cnil.fr/linstitution/missions/sanctionner/Google/ ». Ce texte que la Cnil
a demandé au géant du Net de publier sur Google.fr ne l’a pas encore été (à la date
où nous bouclons ce numéro).
La délibération n°2013-420, prononçant une sanction pécuniaire à l’encontre de Google, a aussi « ordonné » à ce dernier la publication durant 48 heures de ce texte en le justifiant, « compte tenu du caractère massif des données collectées par la société [Google], du nombre important et indéterminé des personnes concernées, qui pour nombre d’entre elles ne sont pas en mesure de s’y opposer ni même d’en être informées ». @

Un droit à l’oubli universel applicable à l’Internet mondial semble hors de portée

Il existe plusieurs aspects du droit à l’oubli où les Américains et les Européens pourraient s’entendre, notamment sur l’obligation des plates-formes numériques d’effacer des données personnelles. Mais les différences législatives et culturelles rendent un droit à l’oubli universel illusoire.

Par Winston Maxwell, avocat associé Hogan Lovells LLP

Winston MaxwellL’Etat de Californie vient d’adopter une loi sur le droit à l’oubli numérique. La loi californienne, surnommée la loi Eraser Button (ou loi « gomme ») et promulguée par le gouverneur Jerry Brown le 23 septembre dernier, va moins loin que la proposition européenne sur le droit à l’oubli, mais elle démontre qu’un timide rapprochement entre les Etats-Unis et l’Europe est possible sur ce sujet ultra sensible.
La loi californienne vise le cas spécifique des mineurs de moins de 18 ans qui souhaitent effacer les données postées sur Facebook ou sur d’autres plates-formes numériques. La loi « gomme » obligerait les plates-formes du Net à fournir un moyen efficace pour assurer cet effacement.

Loi « gomme » de Californie : un droit à l’oubli à partir du 1er janvier 2015
Le législateur californien cite le problème des photos postées sur Facebook ou sur d’autres réseaux sociaux qui peuvent gêner lors de la recherche d’un emploi ou lors d’une demande d’admission à une université.
Les plates-formes ont jusqu’au 1er janvier 2015 pour mettre ce mécanisme d’effacement en oeuvre. Les auteurs de la loi californienne indiquent que certaines d’entre elles, dont Facebook, fournissent déjà un mécanisme permettant la suppression de données postées par les utilisateurs.
L’objectif de la loi est de rendre ce mécanisme obligatoire pour l’ensemble des plates-formes utilisées par les résidents californiens de moins de 18 ans.
Contrairement à la proposition européenne sur la protection des données et de la vie privée, la loi californienne n’obligerait pas les plates-formes à aller chercher des informations ailleurs sur Internet. La proposition européenne les obligerait à prendre toutes les mesures raisonnables, y compris les mesures techniques, pour informer d’autres prestataires de la demande d’effacement. Le législateur californien reconnaît qu’un nettoyage total d’Internet serait impossible. Une fois qu’une photo est reprise par d’autres internautes, sa suppression totale devient impossible. L’autre grande différence entre la loi californienne et le projet de règlement européen est que la première ne s’applique qu’aux mineurs de moins de 18 ans, alors que le projet de règlement s’appliquerait à l’ensemble des citoyens européens. Le droit à l’oubli comporte plusieurs facettes. Le droit d’un individu d’exiger l’effacement des données qu’il a lui-même fournies est l’aspect le moins controversé du droit à l’oubli. Ce droit existe déjà dans la directive européenne 95/46/CE (1) et dans la loi française informatiques et libertés (2).

Les choses se compliquent lorsqu’il s’agit de données fournies par un tiers. S’il s’agit
de données publiées par un journaliste, une demande de retrait se heurtera à la liberté d’expression. C’est l’avis de l’avocat général de la Cour de Justice de l’Union européenne (CJUE) dans l’affaire « Google Espagne c/ AEPD ». Dans cette affaire, un individu a souhaité rendre moins visible sur Internet des articles de presse sur ses problèmes financiers antérieurs. L’autorité espagnole de protection des données a ordonné à Google de dé-référencer ces articles au sein de son moteur de recherche. L’avocat général Niilo Jääskinen a estimé qu’une telle demande de dé-référencement constitue une forme de censure qui serait contraire à l’article 10 de la Convention européenne des droits de l’homme et des libertés fondamentales (3). La CJUE rendra sa décision en décembre 2013, et cette décision pourrait avoir un impact sur le futur règlement européen.

Le droit à l’image et à la vie privée
Un autre aspect délicat du droit à l’oubli concerne les photos postées par des personnes autres que l’individu lui-même. Si une personne poste une photo de groupe, est-ce que chaque personne prise dans la photo pourra exiger son retrait ? Cette question n’est pas tranchée par la proposition de règlement européen, et nécessitera forcément un examen au cas par cas par un juge. Ce problème n’est pas nouveau : la jurisprudence est riche d’exemples où la publication d’une photo est en violation du droit à l’image d’une personne ou en violation de son droit au respect de la vie privée. Cet aspect de la protection de la vie privée est reconnu aux Etats-Unis depuis le début du XXe siècle. En 1890, deux éminents juristes américains ont écrit un article intitulé The Right to Privacy (4).

Equilibre avec la liberté d’expression
Cité par l’avocat général dans l’affaire Google Espagne c/ AEPD, cet article historique préconise la création d’un nouveau droit sur la protection de la vie privée – notamment pour faire face à la nouvelle menace des petits appareils photos Kodak. Ces juristes voyaient dans les petits appareils photo, et la republication des photos dans la presse, une intrusion intolérable dans la vie privée des citoyens. Ils plaident pour un nouveau
droit de tranquillité pour un citoyen – the right to be let alone. Le droit américain reconnaît encore aujourd’hui la possibilité pour une personne d’obtenir le retrait d’informations
qui empiètent sur les aspects privés de sa vie. Ce droit est inscrit dans la constitution californienne. Il est reconnu dans la jurisprudence de la plupart des Etats américains. Cependant, puisque la frontière de la vie privée varie selon chaque individu, il n’est pas possible de donner aux internautes un droit d’oubli absolu en la matière. L’intervention
d’un juge est nécessaire afin d’équilibrer les droits parfois contradictoires en présence.

Un dernier aspect du droit à l’oubli concerne l’accessibilité par le public aux données collectées par l’Etat. Chaque pays reconnaît à ses citoyens le droit d’avoir accès à certains documents administratifs. En France, les demandes d’accès à ces documents sont gérées par la CADA (5), une autorité administrative indépendante qui tente de trouver un équilibre entre le droit à la transparence et le droit au respect de la vie privée. Chaque pays essaie d’établir un équilibre entre ces droits. Le niveau de transparence varie entre les pays, même au sein de l’Union européenne. Le droit à l’oubli pourrait menacer la disponibilité, voire l’existence, des archives publiques. C’est en tout cas la crainte de l’Association des archivistes français (AAF), pour qui le règlement européen risquerait d’imposer une « amnésie collective » s’il exigeait l’effacement d’archives par l’Etat. La disponibilité des archives publiques peut conduire à des situations choquantes. Le New York Times a révélé le cas de sites web qui collectent et publient sur Internet des photos de personnes prises lors de leur arrestation aux Etats-Unis (6). Ces sites font l’objet de contentieux aux Etats-Unis afin d’obtenir leur fermeture. Certains Etats envisagent de légiférer.
Le dernier aspect du droit à l’oubli concerne la création de « profils de solvabilité » des consommateurs. Les Etats-Unis ont imposé un droit à l’oubli en matière d’incidents de paiement, interdisant la création de fichiers afférant à ceux-ci incluant des faits négatifs datant de plus de sept ans (7). En France, ce délai est de cinq ans. Il y a là une convergence sur les principes, même si le délai varie un peu.
En conclusion, il existe plusieurs aspects du droit à l’oubli sur lesquels les Américains et les Européens pourraient s’entendre, y compris notamment sur la question de l’effacement de données postées sur les plates-formes numériques. Pour d’autres aspects du droit à l’oubli, un consensus sera difficile à trouver compte-tenu des différents droits en présence, et des différences de culture.
Un universitaire américain a publié fin septembre 2013 une étude sur le droit à l’oubli aux Etats-Unis et en Europe (8). Elle pose la question de l’éventuelle reconnaissance aux Etats-Unis d’un droit à l’oubli européen par rapport au premier amendement de la Constitution américaine (9). Cet universitaire voit une similitude avec l’affaire Yahoo!,
dans laquelle ce dernier a demandé à un tribunal américain de juger la légalité d’une décision française ordonnant le blocage d’un site de vente d’objets nazis.

Droit à l’oubli à géométrie variable
Le droit à l’oubli étant fortement lié à la culture de chaque pays, l’établissement d’un droit à l’oubli unique, reconnu partout en Europe et aux Etats- Unis, semble illusoire. On pourrait voir émerger un droit à l’oubli à géométrie variable selon le pays, et ce même au sein de l’Union européenne. Cela pourrait conduire à une situation insolite, où la mémoire numérique de chacun varie selon le pays à partir duquel on cherche l’information. Un utilisateur en Espagne ne verrait plus l’article de presse incriminé, en revanche un utilisateur en France ou aux Etats- Unis pourrait le lire… @