Vie privée et télétravail : la consécration des VPN

En fait. Le 5 mai, la fondation Mozilla – créée dans la foulée du développement il y a vingt ans du navigateur Firefox – a rendu disponible en France sa solution de réseau privé virtuel, Mozilla VPN, pour permettre aux internautes de sécuriser et de masquer leurs connexions à Internet et de ne pas être géolocalisés.

En clair. Les VPN – Virtual Private Network – sont plus connus par les internautes des pays autoritaires ou dictatoriaux qui pratiquent la censure de contenus en ligne et les blocages d’accès à des plateformes étrangères. Mais échaudés par les atteintes en ligne à leur vie privée, le pistage de leurs navigations et géolocalisations à des fins publicitaires (sans parler des cookies), voire la fuite de leurs données personnelles, les internautes des pays démocratiques sont de plus en plus demandeurs de VPN. Le sigle fait même son entrée dans le Larousse 2022 !
« Pour vivre heureux vivons cachés » est le nouveau credo du Web, dont les connexions sécurisées « https » ne suffisent pas. Le VPN est une sorte de camouflage numérique et de bouclier en ligne, qui offre une sécurisation par chiffrement des données et masque l’adresse IP de l’internaute (une de ses données personnelles) pour ne pas être détecté, pisté ou identifié. Pratiqué de longue date par les technophiles, les réseaux privés virtuels se démocratisent au fur et à mesure que les offres de VPN grand public faciles d’utilisation sont proposées (NordVPN, IPVanish, Cyberghost VPN, Surfshark, etc). Et ce, moyennant paiement sur un mois (de 5 à 12 euros) ou sur six à trois ans (de 2 euros à 10 euros par mois selon la durée de souscription). Pour Mozilla VPN lancé le 5 mai en France et en Allemagne (1), les tarifs sont de 9,99 euros pour un mois, 6,99 par mois sur six mois ou de 4,99 euros pour douze mois (2). L’utilisation du navigateur Firefox n’est pas nécessaire, mais un compte Mozilla si. La fondation californienne à but non lucratif s’appuie pour cela sur la société suédoise Amagicom qui opère un réseau mondial de 750 serveurs (dans 30 pays) fonctionnant sur leur solution open-source de VPN, Mullvad, et sécurisé de bout-enbout (3) par le protocole de cryptage WireGuard. « Surfez, jouez, travaillez et streamez tout en préservant votre confidentialité sur Internet », promet la fondation Mozilla.
Depuis mars 2020, confinements successifs oblige, la Cnil (https://lc.cx/Cnil-VPN) et l’Arcep (https://lc.cx/Arcep-VPN) recommandent d’utiliser des VPN pour télétravailler ou se former en distanciel, et « éviter l’exposition directe sur Internet » (dixit la Cnil). Mais attention, « la combinaison de celui-ci [le VPN de l’employeur] avec votre Wifi peut engendrer un débit ralenti » (dixit l’Arcep). @

Fini les cookies, place aux « intérêts communs »

En fait. Les 3 mars, Google a annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage « personnalisé » – au profit de « centres d’intérêts » de groupes d’individus. Des tests débuteront au second trimestre. Coup de grâce aux mouchards ?

En clair. Demain, on ne dire plus « cookies » mais « cohortes ». Les petits mouchards publicitaires installés – jusqu’alors sans le consentement express des internautes trackés et ciblés – vont bientôt relever de la préhistoire du Web. Controversés depuis longtemps, car portant souvent atteinte à la vie privée des internautes et des mobinautes, les cookies laisseront un goût amer. Et l’obligation récente faite aux sites web et plateformes numériques, notamment en France avec les contrôles et sanctions de la Cnil qui vont démarrer à partir du 1er avril 2021, ne changera rien à l’affaire. Google – déjà épinglé en France (1) – va leur donner le coup de grâce au niveau mondial, en abandonnant les cookies tiers au profit des « cohortes » : ce que les développeurs du Web appellent « FLoC », pour Federated Learning of Cohorts (2). Potentiellement, tous les navigateurs (Chrome de Google, Fixefox de Mozilla, Edge de Microsoft, Safari d’Apple, etc.) peuvent tourner le dos aux cookies pour miser sur les centres d’intérêts sur le Web. La « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaire. Et ce, sans ne plus avoir à identifier les individus un par un mais ensemble de façon non indentifiable. « Pour que l’Internet reste ouvert et accessible à tous, nous devons tous faire davantage pour protéger la vie privée, ce qui signifie la fin non seulement des cookies tiers, mais aussi de toute technologie utilisée pour tracker les personnes qui naviguent sur le Web », a prévenu David Temkin, directeur de gestion de produit « Ads Privacy and Trust » chez Google, dans un post publié le 3 mars (3).
La filiale d’Alphabet ne va plus suivre à la trace les utilisateurs sur non seulement ses propres services mais aussi sur d’autres sites web. Fini les cookies : place aux foules segmentées par audiences anonymes. Il s’agit aussi de restaurer la confiance sur le Web, mise à mal par ces cookies utilisés sans consentement préalable. « Nos tests de FLoC montrent une façon efficace de retirer les cookies tiers de l’équation publicitaire et de cacher les individus au sein de grandes foules de personnes ayant des intérêts communs », explique David Temkin. En avril, Chrome commencera à redonner le contrôle à ses utilisateurs. Puis, à partir du second trimestre, des tests « FLoC » seront menés, à partir du deuxième trimestre, avec des annonceurs publicitaires dans Google Ads. @

Anonymisation des données personnelles : un enjeu de taille, notamment en matière de santé

Alors qu’une deuxième vague de coronavirus menace, le gouvernement croit en l’utilité des données « pseudonymisées » de son application mobile StopCovid malgré le peu d’utilisateurs. Mais le respect de la vie privée ne suppose-t-il pas une « anonymisation » ? Le dilemme se pose dans la santé.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

La crise sanitaire liée au covid-19 et le développement concomitant des outils de surveillance de l’évolution de l’épidémie ont mis en lumière les enjeux liés à l’anonymisation des données à caractère personnel et, en particulier, des données de santé. Souvent présenté par la Commission nationale de l’informatique et des libertés (Cnil) comme un moyen indispensable pour préserver la vie privée des personnes, le procédé d’anonymisation aboutit cependant nécessairement à une perte d’informations, parfois contestée par les professionnels de santé.

Pseudonymisation ou anonymisation ?
Les recommandations publiées le 19 mai dernier par la Cnil (1) à ce sujet et les débats entourant l’application mobile StopCovid – mise à disposition par le gouvernement dans le cadre de sa stratégie globale de « déconfinement progressif » – permettent de mieux appréhender ces problématiques. Si cette application mobile ne dispose d’aucune information directement identifiante comme le nom ou le prénom, elle n’est pas pour autant « anonyme » au sens de la règlementation relative à la protection des données (2). La confusion entre « données pseudonymes » et « données anonymes » demeure répandue, alors que le règlement général européen sur la protection des données (RGPD) – en vigueur depuis le 25 mai 2018 – a entériné la distinction entre ces deux notions en son considérant 26.
Comme le rappelle la Cnil, la pseudonymisation consiste à traiter les données personnelles de façon à ce que celles-ci ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations complémentaires. De manière plus concrète, ce processus consiste par exemple à remplacer des données personnelles directement identifiantes telles que le nom ou le prénom par des données indirectement identifiantes te l les qu’un alias, un numéro ou un code. La pseudonymisation constitue ainsi un outil utile pour conserver des données tout en préservant la vie privée des personnes, puisque celles-ci ne sont plus directement identifiantes. Néanmoins, l’opération de pseudonymisation étant réversible, il est possible de réidentifier ou identifier indirectement les personnes sur la base de ces données. En conséquence, les « données pseudonymes » demeurent des « données personnelles » auxquelles s’applique l’ensemble des exigences de la règlementation sur la protection des données personnelles. Au contraire, les « données anonymisées » au sens du RGPD exclut toute possibilité de réidentification des personnes. Il s’agit d’appliquer un procédé aux données personnelles pour rendre toute individualisation et toute indentification, directe ou indirecte, impossible et ce de manière irréversible et définitive. Cette distinction constitue un enjeu central, puisque les « données anonymes » ou « rendues anonymes », lesquelles, contrairement aux « données pseudonymes », ne sont pas ou plus des « données personnelles », ne sont pas soumises aux exigences du RGPD. Ce règlement européen indique, en effet, expressément qu’il ne s’applique « pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche » (3). A cet égard, il faut veiller à distinguer que, lorsqu’un procédé d’anonymisation est appliqué, c’est bien uniquement le résultat obtenu – les « données anonymisées » – qui peut être exclu du champ d’application matériel du RGPD mais non les données à caractère initialement collectées. De même, le processus d’anonymisation constitue un « traitement » qui, effectué sur des données personnelles, n’échappe pas en tant que tel aux exigences de la règlementation sur la protection des données à caractère personnel. Quelles sont au juste les techniques d’anonymisation ?

Randomisation et généralisation
Dans un avis en date du 10 avril 2014, le groupe dit de l’Article 29 – ce « G29 » ayant été remplacé depuis l’entrée en application du RGPD par le Comité européen de la protection des données (4) – proposait trois critères pour s’assurer que des données personnelles faisaient bien l’objet d’un procédé d’anonymisation et non de pseudonymisation : l’individualisation (il doit être impossible d’isoler un individu dans l’ensemble de données), la corrélation (il ne doit pas être possible de relier deux ensembles distincts de données concernant un même individu) et l’inférence (il doit être impossible de déduire une information sur un individu). Pour éliminer toute possibilité d’identification, la Cnil rappelle que deux grandes techniques d’anonymisation sont possibles. La « randomisation » qui consiste à rendre moins précises les données, par exemple en permutant certaines informations dans l’ensemble de données tout en conservant la répartition globale. La seconde technique dite de « généralisation » consiste quant à elle à modifier l’échelle ou l’ordre de grandeur des données (par exemple en ne conservant que l’année de naissance au lieu de la date précise) afin d’éviter l’individualisation ou la corrélation avec d’autres ensembles de données. Ces méthodes d’anonymisation doivent cependant être réévaluées régulièrement car les techniques et possibilités de ré identification évoluent rapidement, à mesure des avancées technologiques.

Impacts sur la vie privée
A cet égard, dans son avis « Techniques d’anonymisation » (5), le G29 indiquait déjà que « le résultat de l’anonymisation, en tant que technique appliquée aux données à caractère personnel, devrait être, dans l’état actuel de la technologie aussi permanent qu’un effacement, c’est-à-dire qu’il devrait rendre impossible tout traitement de données à caractère personnel ». En effet, des données publiées comme « anonymes » à un instant T peuvent, grâce par exemple à une nouvelle technique développée par un tiers, redevenir indirectement identifiantes. Leur publication à titre de « données anonymes », sans veiller au respect du RGPD, pourrait ainsi constituer une violation de données. Si ces procédés d’anonymisation permettent de conserver et de réutiliser des données pour des durées étendues tout en assurant le respect des droits et libertés des personnelles, reste la question de l’utilité de données anonymes, notamment dans le secteur de la recherche scientifique et médicale. Comme le démontrent les débats entourant les traitements de données personnelles mis en œuvre par le biais de l’application mobile StopCovid, l’intérêt scientifique des données anonymes – qui ont perdu tout caractère individualisant – est plus limité.
Depuis toujours la problématique d’anonymisation est très présente dans le secteur de la santé. En effet, les données relatives à la santé des personnes constituent à la fois des données personnelles particulièrement risquées en termes d’impacts sur la vie privée, mais elles constituent également un enjeu important dans le cadre de la recherche scientifique et médicale. Par exemple, dès 2004, la Cnil s’était prononcée sur la volonté de la Fédération nationale de la mutualité française (FNMF) – regroupant 540 mutuelles adhérentes dont 266 mutuelles santé – d’avoir accès sous un format anonymisé à des données figurant sur des feuilles de soins électroniques. Ce traitement devait être mis en œuvre à des fins statistiques pour étudier l’impact d’un remboursement en fonction du service médical rendu pour les médicaments. La Cnil avait autorisé le traitement en donnant des précisions et recommandations strictes sur les modalités d’anonymisation des données, les mesures de sécurité et le respect des droits des personnes concernées (6).
Dans cette lignée, fin avril 2020, la Cnil s’est prononcée favorablement à l’application mobile StopCovid déployée par le gouvernement dans le cadre de sa stratégie de déconfinement progressif – sous réserve que les données personnelles collectées soient traitées sous un format pseudonymisé, puis supprimées de 15 jours ou 6 mois selon les catégories. « La [Cnil] prend acte de ce que l’article 4 du projet de décret [décret du 29 mai 2020 publié au J.O. du 30 mai dernier (7), ndlr] prévoit une conservation des clés et des identifiants associés aux applications pendant la durée de fonctionnement de l’application StopCovid et au plus tard six mois à compter de la fin de l’état d’urgence sanitaire, et une conservation des historiques de proximité des personnes diagnostiquées ou testées positives pendant quinze jours à compter de leur émission » (8).
Cependant, le 21 juin dernier, le Conseil scientifique covid- 19 a publié un avis afin d’indiquer qu’il considérait essentiel d’appliquer l’option prévue par l’article 2 du projet de loi organisant la sortie de l’état d’urgence sanitaire permettant de conserver les données personnelles collectées par StopCovid pour une durée plus longue. Ce conseil scientifique (9) précise en outre que ces données devraient être conservées « sous une forme pseudonymisée et non simplement anonymisée, de façon à ce que les données d’un même individu, non-identifiantes, puissent tout de même être reliées entre elles (ex : documentation d’une ré-infection), ou chaînées avec des données d’autres bases » (10). Cette position illustre parfaitement les enjeux liés à l’articulation entre exploitation des données, durées de conservation et anonymisation ou pseudonymisation.

Risque de seconde vague
La position de la Cnil et l’arbitrage qui sera opéré entre respect de la vie privée et le nécessaire suivi de l’épidémie de covid-19, en particulier avec le risque d’une seconde vague, permettra d’étayer davantage les critères d’application et la distinction entre pseudonymisation et anonymisation. Au 23 juin 2020, soit en trois semaines d’existence de StopCovid, seuls quatorze cas à risque de contamination ont été détectés par l’application mobile. A cette date de premier bilan, elle a été téléchargée 1,9 million de fois, mais désinstallée 460.000 fois. Le gouvernement se dit néanmoins convaincu de son utilité, surtout en prévision de cette seconde vague. @

Avec le « RGPD » californien, les GAFAM garderont le pouvoir en 2020 sur les données personnelles

Le partage des données des consommateurs avec les entreprises s’est généralisé en dix ans. Or le droit californien n’avait pas suivi cette évolution, laissant aux entreprises de la Silicon Valley la liberté d’exploiter la vie privée des individus sans contrainte. Ce que change partiellement le CCPA.

Dans le sillage du règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi applicable dans l’Etat américain le plus peuplé des Cinquante vient renforcer le contrôle des consommateurs californiens sur leurs données personnelles en leur octroyant de nouveaux droits. Et ce, afin de leur permettre de reprendre le contrôle de leurs vies privées.

Droit local d’inspiration populaire
A la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, concernant 143 millions de personnes, soit près de la moitié de la population américaine (1), a été formulée en 2018 une proposition de loi d’initiative populaire visant à protéger les données personnelles des Américains. Deux militants pour la protection de la vie privée, issus de la société civile, l’homme d’affaires Alastair Mactaggart et une juriste spécialiste de droit à la protection de la vie privée, Mary Stone Ross, ont rédigé dès 2017 un projet de loi sous le nom de California Consumer Privacy Act (CCPA) soumis aux électeurs californiens par la voie pétitionnaire (2). Le droit californien permet en effet aux citoyens de cet Etat de faire adopter des textes législatifs ou de provoquer un référendum au niveau local en recueillant 366.000 signatures. Le CCPA a recueilli 600.000 signatures, révélant par là une véritable volonté des Californiens de reprendre le contrôle de leurs vies privées et d’empêcher les intrusions répétées des GAFAM dont ils ont été victimes ces dernières années.
Mise sous pression, la Silicon Valley – dont la collecte des données personnelles est le fer de lance de son modèle économique – a milité auprès des chambres législatives californiennes pour que ces dernières concluent un accord avec les promoteurs du texte et que soit évité un référendum. Le 28 juin 2018, et après moins d’une semaine de débat, la loi initialement proposée a alors été adoptée par le législateur californien sous une version plus timorée que le projet initial. Le texte continue cependant à se heurter à la résistance des entreprises de nouvelles technologies qui militent pour l’adoption d’un texte fédéral moins contraignant. En effet, des lois prises par le Congrès à Washington s’imposeraient sur le droit des Etats fédérés et empêcheraient le CCAP de s’appliquer. Dans le sillage du CCPA, d’autres projets de loi se sont faits jour au niveau fédéral visant à réglementer la collecte des données personnelles des citoyens américains. Certaines propositions sont spécifiques et visent uniquement les données transmises via les réseaux sociaux. D’autres projets sont plus ambitieux dans leur champ d’application et cherchent à imposer un traitement loyal, équitable et non discriminatoire aux responsables de traitements, à l’instar du RGPD. Si aucun de ces projets n’a l’ambition portée par le texte européen, ils s’en inspirent dans la forme et constitueraient néanmoins une avancée considérable dans la conquête des droits des internautes quant au respect de leurs vies privées. Le CCPA intégré dans le Code civil de Californie (3) s’applique à toutes les informations à caractère personnel collectées, électroniquement ou non, auprès de consommateurs.
Les consommateurs sont définis comme des personnes physiques résidant en Californie, ce qui confère un champ d’application aux bénéficiaires du texte aussi large que le RGPD. La loi californienne s’applique donc très largement et pas seulement aux données collectées sur Internet. Toutefois, de façon plus pragmatique que le RGPD, les assujettis du CCPA sont uniquement des entreprises d’envergure. Ces dernières doivent en effet réaliser un chiffre d’affaires annuel supérieur à 25 millions de dollars, ou acheter, vendre ou partager à des fins commerciales des informations personnelles de plus de 50.000 consommateurs, ou encore obtenir plus de 50 % de leurs revenus annuels de la vente d’informations personnelles du consommateur.

Champ d’application du CCPA
Ainsi, les associations comme les petites et moyennes entreprises ne sont pas concernées par le texte. Les pouvoirs publics peuvent également continuer à collecter les données personnelles des individus sans que ceux-ci puissent s’y opposer, même s’il est prévu que les données issues de ces traitements et réutilisées pour d’autres finalités sont des informations sur lesquels les citoyens californiens pourront exercer les droits prévus par le texte. Le texte de loi californien vise les informations à caractère personnel comme les noms, les adresses, le numéro de sécurité sociale, les adresses IP, les renseignements commerciaux (registre de la publicité foncière, historique de crédit, …), les informations biométriques, les historiques de navigation, les données de géolocalisation, les informations audio, électroniques, visuelles, thermiques, olfactives, les informations professionnelles ou liées à l’emploi, ou encore les informations sur l’éducation. Sont également concernées toutes déductions tirées de ces différentes informations afin de créer un profil. Toutefois, un certain nombre de domaines sont exclus du champ d’application de la loi. Il en va ainsi du domaine financier, des agences de notation des consommateurs ou encore des informations visant les conducteurs.

Droits nouveaux pour les Californiens
Pâle copie du RGPD, le CCPA impose des obligations aux entités assujetties et des droits aux citoyens bénéficiaires. L’entreprise qui collecte des données doit informer le consommateur californien sur les catégories de données collectées, les sources auprès desquelles les données sont collectées, les finalités de la collecte et les catégories de tiers avec lesquelles l’entreprise partage les données. Les consommateurs doivent pouvoir exercer leurs droits dans des conditions faciles et gratuites : description du droit d’accès, du droit à l’effacement, du droit à l’égal accès aux services, description des méthodes pour présenter les requêtes. La loi californienne donne aussi aux consommateurs la possibilité de refuser la vente de leurs informations personnelles à des tiers, obligeant les entreprises concernées à publier un lien clair et visible intitulé « Ne pas vendre mes informations personnelles » sur leur site web national ou leur page spécifique à la Californie.
Un consommateur a le droit de demander à une entreprise de supprimer toute information personnelle le concernant que l’entreprise a collectée auprès de lui, et l’entreprise doit répercuter la demande auprès de ses sous-traitants. Toutefois, l’entreprise peut refuser cet effacement pour des raisons légitimes telles que l’exécution du contrat conclu entre l’entreprise et le consommateur. Enfin, la loi californienne confère le droit à un égal accès aux services, interdisant en principe toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu de la loi. Les entreprises peuvent cependant être autorisées à appliquer des tarifs différents ou à fournir différents niveaux de service, si ces différences sont en lien raisonnable avec la « valeur fournie au consommateur par les données du consommateur », conférant un droit à la discrimination. Enfin, et à la grande différence du RGPD, les entreprises peuvent proposer des incitations financières – notamment des paiements aux consommateurs à titre de compensation – pour la collecte de leurs données personnelles. Cette option, pour laquelle de nombreux think tank militent en Europe, est à ce stade exclu par l’Union européenne pour qui les données personnelles sont des droits extrapatrimoniaux, incessibles. En cas de non-respect du CCPA, une amende de 2.500 dollars par violation, et de 7.500 dollars si la violation est intentionnelle, est infligée. Ce qui est peu, au regard du chiffre d’affaires des entreprises visées par le texte. Néanmoins, la loi californienne prévoit des dommages et intérêts dans le cadre d’une action intentée par un consommateur, compris entre 100 et 700 dollars par infraction et par consommateur, ce qui peut s’avérer important à l’aune du système de la class action. La procédure des actions collectives, bien éprouvée aux Etats-Unis, devrait en effet pouvoir contraindre les entreprises à respecter cette nouvelle loi, moins pour la sanction financière que pour la mauvaise publicité que représenterait une sanction prononcée à la demande de centaines de milliers de plaignants. A noter qu’en Europe, la commission des Affaires juridiques (JURI) a confirmé en janvier dernier (4) la position de négociation du Parlement européen sur une nouvelle législation introduisant des règles de recours collectif (5). En France, l’action de groupe a été introduite par la loi du 17 mars 2014 sur la consommation (loi dite « Hamon »).
Si le CCPA est timide au regard de l’enjeu que représentent les données personnelles pour les entreprises du numérique, il marque néanmoins un réel progrès quant à la protection des droits des données personnelles des citoyens californiens. Déjà, cette initiative a conduit d’autres Etats à réfléchir à une législation dans ce sens, et une loi fédérale devra inévitablement voir le jour pour éviter des législations disparates au sein d’un même pays. Dans le même temps, le parti communiste chinois a annoncé vouloir protéger les données personnelles de ses citoyens.

Vers des règles internationales unifiées
La collecte des données personnelles représente l’or noir du XXIe siècle et constitue un outil de concurrence majeur au sein du commerce international. Les législations nationales ne manqueront donc pas de s’affronter afin de contraindre les entreprises extérieures à limiter leur pouvoir d’intrusion de la vie privée de leurs citoyens tout en cherchant à poursuivre cette conquête des données, outil indispensable de la compétitivité économique. A moins qu’en guise d’apaisement, le G20 qui se tiendra à Riyad en novembre 2020 mette à son ordre du jour la recherche de règles internationales unifiées, seuls moyens de réguler la tentation intrusive des GAFAM. @

* Alexandre Lazarègue est avocat au Barreau de Paris,
spécialisé en droit du numérique.

Décisions de justice à l’heure du RGPD : délicat équilibre entre liberté de la presse et vie privée

Jusqu’à maintenant, la jurisprudence favorise habituellement – mais pas toujours –
le droit à l’information en cas de différends sur la publication de données issues de comptes-rendus de procès ou de décisions de justice. Depuis l’entrée en vigueur du RGPD, la recherche d’un juste équilibre s’impose.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) s’applique aussi aux comptesrendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès. Le RGPD confie aux Etats membres de l’Union européenne le soin de concilier « […] par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire » (1).

Jurisprudence et droit à l’information
De même, le RGPD prévoit des règles similaires pour le « traitement et l’accès du public aux documents officiels » (2) afin de concilier les intérêts liés à la communication au public des documents administratifs et la protection des données à caractère personnel. Cela changera-t-il la jurisprudence qui jusqu’alors favorise habituellement – mais pas toujours – le droit à l’information ? Six mois après l’entrée en vigueur du RGPD, un arrêt de la cour d’appel de Paris daté du 28 novembre 2018 a confirmé une décision du président du tribunal de grande instance de Paris disant qu’il n’y avait pas lieu à référé concernant une demande de déréférencement à l’encontre de Google France de liens pointant vers un article publié sur le site Internet d’un journal – en l’occurrence Le Parisien (3). Les juges ont retenu que « l’information donnée au public sur la mise en cause pénale d’une personne et sa condamnation définitive participe du droit à l’information, particulièrement lorsqu’il s’agit d’infractions pénales sérieuses ». Elle a également relevé que « l’information communiquée quant à la mise en examen (…) ne constitu[ait] pas une atteinte à [la] vie privée s’agissant de la relation de faits publics et particip[ait] du droit du public à être informé ». Les juges, qui procèdent à une analyse de contexte pour apprécier l’intérêt de l’information sur un sujet d’actualité pour le public, en ont conclu que le demandeur « ne justifi[ait] pas de raisons prépondérantes et légitimes prévalant sur le droit d’expression et d’information ».
Toujours après la promulgation du RGPD, mais cette fois huit mois après, la Cour européenne des droits de l’homme (CEDH) s’est prononcée – dans un arrêt du 10 janvier 2019 – sur une décision par laquelle les juges allemands avaient interdit la publication dans la presse d’une photographie représentant une célébrité suisse alors incarcérée. La CEDH a précisé qu’il convenait d’apprécier « la notoriété de [l’intéressé], la contribution de la photo à un débat d’intérêt général, les circonstances dans lesquelles la photo litigieuse a été prise, le comportement antérieur de [l’intéressé] vis-à-vis des médias, la forme, le contenu et les répercussions pour [l’intéressé] de la publication de la photo litigieuse ainsi que la gravité de la sanction prononcée à l’encontre des requérantes ». Elle a notamment considéré en l’espèce que la photo litigieuse « n’avait pas de valeur informative supplémentaire par rapport à celle du texte de l’article », relatant « un fait connu du public depuis longtemps ». Il n’y avait « dès lors aucun motif d’en rendre compte de nouveau ». La CEDH a ainsi considéré qu’elle n’avait « aucune raison sérieuse de substituer son avis à celui des juridictions allemandes ».
Publier ou ne pas publier dans un contexte judiciaire : telle est la question au regard de la vie privée. La Cour de cassation, dans un arrêt du 12 mai 2016, a ainsi rejeté la demande de deux personnes ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et Libertés », la suppression d’informations identifiantes les concernant sur le moteur de recherche du site Internet d’un journal, en l’occurrence Lesechos.fr (4), qui donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre il y a plusieurs années. La Cour a considéré que « le fait d’imposer à un organe de presse […] de supprimer du site Internet dédié à l’archivage de ses articles […] l’information elle-même contenue dans l’un de ces articles […] privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».

Article en ligne et intimité de la vie privée
La notion d’« actualité » s’apprécie au cas par cas, à l’exemple de cette ordonnance de référé du 8 janvier 2016 (5) : le tribunal de grande instance de Paris a également rejeté la demande de suppression des nom et prénom d’une personne condamnée pour violence aggravée, dans un article paru en 2004 dans le quotidien 20 Minutes et toujours en ligne dix ans après les faits incriminés. Après avoir procédé à une analyse du contexte, le juge a notamment considéré « qu’il n’est donc nullement illégitime, dans ce contexte, pour la société 20 Minutes France, de mentionner l’identité du demandeur ». Donc « que dans ces conditions, il n’apparaît pas, avec l’évidence requise en matière de référé, que (le requérant) puisse se prévaloir d’une quelconque atteinte à l’intimité de sa vie privée ».

Actualité, intérêt légitime et droit à l’oubli
De même, s’agissant d’une demande de déréférencement de plusieurs liens sur Google Images pointant sur des articles faisant état de la condamnation du requérant, le juge a constaté en 2017 que le refus du moteur de recherche était fondé dès lors qu’il s’agissait d’une information exacte sur un sujet d’actualité récent (6). Ce parti pris n’est pas nouveau puisque, dans une affaire concernant la publication dans un journal d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu. Ce dernier avait sollicité du directeur de la publication l’insertion d’un droit de réponse. Le journal s’était contenté de mettre à jour l’article. L’individu en cause l’a assigné aux fins de voir supprimer l’article. Les juges ont considéré en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime « tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants », et qu’aucun abus de la liberté de la presse n’était établi (7). C’est le même raisonnement qui conduit des juridictions étrangères à refuser le retrait de résultats affichés sur des moteurs de recherche.
Parfois, les juges considèrent que le droit au déréférencement doit obéir au principe de proportionnalité. Certaines décisions – surtout étrangères – visent à concilier les intérêts de la personne concernée par le traitement de données personnelles avec les intérêts des autres parties en présence, et donc le droit du public à avoir accès à l’information en cause. En quelque sorte, le juge recherche un équilibre entre le droit au respect de la vie privée et aux données à caractère personnel et le droit à la liberté d’expression et à l’information. Deux arrêts américains assez anciens sont également particulièrement éclairants sur ce point. Le premier arrêt rendu par la Cour suprême des Etats- Unis en 1989 concernait un journaliste qui demanda au FBI (9) l’accès aux documents concernant les arrestations, inculpations et condamnations visant quatre individus. Pour le seul survivant des quatre individus ciblés par le journaliste, le FBI refusa de transmettre l’information qu’il détenait sous forme compilée, estimant que la communication porterait atteinte à la vie privée des individus en question. La Cour suprême soutint à l’unanimité cette argumentation (10). Elle rejeta l’argument retenu par la cour d’appel, selon lequel il n’y a plus de Privacy Interest en présence d’informations déjà rendues publiques. Pour la Cour, il y a une importante différence entre une communication « éparpillée » de fragments d’information et la divulgation de l’information dans son ensemble (11). Le second arrêt est issu de la cour d’appel de l’Etat de Californie (12) qui a considéré en 1994 que « c’est la nature agrégée de l’information qui lui donne de la valeur aux yeux du défendeur ; c’est la même qualité qui rend sa diffusion constitutionnellement dangereuse ».
De même, un arrêt de la Cour de cassation belge du 29 avril 2016 retient l’attention. Dans cette affaire, le demandeur, médecin de profession, avait provoqué un grave accident de la circulation ayant entraîné la mort de deux personnes, alors qu’il se trouvait sous l’emprise d’alcool. Ce fait avait été relaté dans l’édition papier du quotidien Le Soir, en 1994. L’article avait été ensuite rendu accessible en ligne non anonymisé. La Cour de cassation a confirmé tout d’abord que la mise en ligne de cet article doit être assimilée à « une nouvelle divulgation du passé judiciaire du défendeur portant atteinte à son droit à l’oubli ». Par ailleurs, elle a relevé que si l’article 10 de la CEDH confère aux organes de presse écrite le droit de mettre en ligne des archives et au public celui d’accéder à ces archives, ces droits ne sont pas absolus et qu’ils doivent, le cas échéant et dans certaines circonstances, céder le pas à d’autres droits également respectables. Aussi, la Haute juridiction a-t-elle considéré que l’arrêt attaqué a justifié léga-lement sa décision en considérant que « le maintien en ligne de l’article litigieux non anonymisé, de très nombreuses années après les faits qu’il relate, est de nature à […] causer un préjudice disproportionné [au médecin] par rapport aux avantages liés au respect strict de la liberté d’expression [de l’éditeur] » (13).

Cas particulier de déréférencement du lien
En France, on relève une ordonnance du tribunal de grande instance de Paris en date du 19 décembre 2014 qui a admis les « raisons prépondérantes et légitimes prévalant sur le droit à l’information » invoquées par la demanderesse (14). Le juge a considéré que la nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant – et l’absence de mention de la condamnation au casier judiciaire de l’intéressée justifiaient le déréférencement du lien renvoyant à un article de 2006. @

* Christiane Féral-Schuhl, présidente du Conseil national des
barreaux (CNB), est ancien bâtonnier du Barreau de Paris, et
auteure de « Cyberdroit », paru aux éditions Dalloz.