Archives par mot-clé : Données

Pourquoi Mark Zuckerberg aurait dû démissionner

Publié le par

En fait. Le 8 mai, Facebook a confirmé avoir procédé au plus vaste remaniement de son top-management depuis ses 14 ans d’existence – information révélée
par Recode.net. Mais son fondateur Mark Zuckerberg reste en place malgré le scandale historique de la fuite des données de millions d’utilisateurs.

En clair. Le fondateur de Facebook, groupe aujourd’hui constitué de Facebook, WhatsApp, Instagram ou encore Messenger, reste intouchable et tout-puissant. Le jeune dirigeant, qui aura 34 ans le 14 mai prochain, n’a pas à s’inquiéter pour son poste de PDG malgré le scandale planétaire de l’affaire historique « Cambridge Analytica », du nom de la société britannique qui a fait main basse sur les données de près de 100 millions d’utilisateurs du premier réseau social mondial. Alors qu’il est directement mis en cause et jugé responsable en tant que dirigeant, Mark Zuckerberg n’a pas voulu démission ni endosser la responsabilité de cette faillite dans la protection des données d’une grande partie des 2,2 milliards d’utilisateurs.
Plus jeune multimilliardaire de la planète – avec un patrimoine personnel de 70,7 milliards de dollars en 2018, selon Forbes –, le patron hyermédiatique a en outre été accusé de légèreté. En avril, des investisseurs américains tels que Open Mic ou le fonds de retraite de la ville de New York lui ont demandé de démissionner. D’autres voix se sont prononcées pour qu’il parte. D’autant que l’action Facebook a chuté de 15 % – soit quelque 100 milliards de volatilisés ! – depuis le début de cette affaire, laquelle laissera des traces et aura des suites. Cette déroute intervient après que le réseau social ait été accusé d’avoir été manipulé par la Russie pour l’élection de Trump et d’être un média social de fake news. Mais celui qui est aussi l’actionnaire de référence du groupe (1), entré en Bourse il y aura six ans le 18 mai prochain, et président du conseil d’administration (lequel n’a pas jugé bon de le destituer), a clairement dit dès
le début du scandale – notamment dans une interview au mensuel culturel américain The Atlantic (2) – qu’il n’avait pas l’intention remettre sa démission.
Pas plus que son bras droit, la DG du réseau social Sheryl Sandberg qui reste en place dans cette nouvelle organisation, n’a envisagé de partir de son propre chef : « Je suis à la disposition de Mark et de notre conseil d’administration », avait-t-elle pourtant dit le 6 avril dernier. « Zuck », lui, s’en tire à bon compte, du moins pour l’instant, après s’être contenté de présenter ses excuses devant le Congrès des Etats-Unis. Cela sera-t-il suffisant devant la Commission européenne, plus sourcilleuse sur la protection des données personnelles ? @

Dégrouper la « box » des opérateurs aux Etats-Unis : idée transposable aux objets connectés en Europe

Publié le par

Le régulateur américain des communications, la FCC, s’apprête à changer
de président pour être « Trump » compatible. Du coup, ses propositions de dégrouper les set-top-boxes des câblo-opérateurs risquent d’être enterrées
avant d’avoir existé. Pourtant, elles méritent réflexion – y compris en Europe.

Par Winston Maxwell*, avocat associé, Hogan Lovells

La prise de fonctions le 20 janvier 2017 du nouveau président des Etats-Unis, Donald Trump, sera suivie de la démission du président actuel de la FCC (1), Tom Wheeler. Le successeur
de ce dernier, issu du Parti républicain, sera nommé pour le remplacer. Le départ de Tom Wheeler (2) signifie l’abandon probable de l’idée de dégrouper le décodeur des câblo-opérateurs américains. Cette idée, qui a fait l’objet d’une proposition adoptée par la FCC le 28 février dernier, mérite néanmoins notre attention car elle illustre les enjeux liés à la télévision connectée et plus généralement au partage de données collectées dans le cadre des objets connectés.

Des set-top-boxes peu performantes
D’abord examinons la notion de « dégroupage » d’un décodeur, appelé aux Etats-Unis set-top-box. Les services de transmission d’un câblo-opérateur se divisent en deux
« tuyaux » logiquement distincts. Le premier tuyau consiste en la transmission de programmes utilisant de la bande passante réservée à cet effet. Il s’agit de services de transmission gérés de bout en bout par le câblo-opérateur. Le deuxième tuyau consiste en la fourniture d’un service d’accès à Internet. Cette deuxième partie du service est ouverte et soumise aux règles sur la neutralité de l’Internet. Pour accéder à l’offre télévisuelle sur la partie gérée du service, le téléspectateur doit utiliser un décodeur fourni par le câblo-opérateur. Aux États-Unis, la fourniture de cette « box » est payante, le téléspectateur s’acquittant d’un loyer mensuel. Selon la FCC, ce décodeur est non seulement cher, mais il est aussi peu performant, la technologie ayant peu évolué depuis une décennie. Les téléspectateurs américains semblent donc prisonniers d’une situation où le câblo-opérateur leur impose la location d’un décodeur peu performant. En 2015, la FCC, a lancé une première consultation publique pour mettre fin au monopole de fait qui existe en faveur des câblo-opérateurs pour la fourniture de leurs décodeurs. L’idée était de créer un marché dynamique où les développeurs indépendants pourraient proposer des fonctions qui aujourd’hui sont regroupées au sein du décodeur. Car cette « box » agrège plusieurs fonctions distinctes. La fonction
la plus basique consiste à transformer les signaux vidéo en images et sons lisibles par le téléviseur. Mais elle gère également l’accès aux programmes payants. Pour ce faire, elle a une fonction d’authentification et de gestion des conditions d’accès. Ces systèmes font régulièrement l’objet d’attaques par des pirates qui essayent de contourner le système afin d’organiser un marché noir d’accès aux programmes payants. C’est pour cette raison que les câblo-opérateurs et les ayant droits ne souhaitent pas que cette fonction soit séparée du décodeur, car l’existence d’un décodeur physique permet d’augmenter les mesures d’anti-piratage. Une autre fonction de la « box » est de fournir le guide électronique de programmes – Electronic Program Guide (EPG) – et de gérer les fonctions de recherches de programmes et de navigation. Les décodeurs actuels semblent archaïques comparé à l’interface d’une tablette ou d’un smartphone. C’est pour cette raison que la FCC a souhaité envisager de dégrouper les différentes fonctions du décodeur afin de permettre plus d’innovation et de choix au bénéfice du téléspectateur. La première proposition de la FCC aurait contraint les câblo-opérateurs à fournir des flux de données selon un standard ouvert, de manière à permettre à n’importe quel développeur d’intégrer ces fonctions dans différents types de terminaux. Ces fonctions pourraient être intégrées par exemple
dans le logiciel de navigation d’une tablette, ou d’une télévision connectée. La FCC
a rencontré une forte résistance de la part des câblo-opérateurs et des ayant droits. Dégrouper la fonction d’authentification et de gestion des conditions d’accès augmenterait le risque de piratage. La FCC a ainsi fait marche arrière et a proposé
une solution de compromis par laquelle le câblo-opérateur fournirait une application téléchargeable sur une tablette ou télévision connectée. Cette application resterait
sous le contrôle du câblo-opérateur permettant un niveau plus élevé de sécurité que
s’il s’agissait d’une application tierce.

Les enjeux de l’interface et des données
Mais la sécurité n’est pas le seul enjeu. La FCC souhaitait également ouvrir à la concurrence les fonctions du décodeur liées à l’interface avec les utilisateurs.
Cette proposition s’est également heurtée à une opposition des câblo-opérateurs
qui craignaient la perte de leurs relations commerciales avec leurs abonnés. L’enjeu était ici commercial. La maîtrise de l’interface de navigation permettrait à un prestataire tiers d’organiser la page d’accueil, d’apposer ses propres marques, et surtout de collecter des données sur les habitudes des téléspectateurs. Aux yeux des câblo-opérateurs, le décodeur reste un rempart contre la captation de la valeur des données par les grands prestataires d’Internet.

Dégroupage des objets connectés ?
A première vue, le dégroupage des « box » semble similaire à l’ouverture à la concurrence des téléphones dans les années 1990. Le dégroupage des téléphones a conduit à une vague d’innovation sans précédent, aux extrémités des réseaux. Cette innovation se perpétue encore aujourd’hui sur l’Internet, où il est possible d’« innover sans permission » – pour emprunter les termes de Yochai Benkler (3) – aux extrémités du réseau. Le droit d’innover aux extrémités du réseau est aujourd’hui garantie par la régulation sur la neutralité de l’Internet. Mais les règles sur la « Net Neutrality » ne s’appliquent pas aux services « gérés », comme la télévision accessible sur les « box ». S’agissant d’un opérateur de télécommunications bénéficiant d’un monopole juridique, imposer le dégroupage des terminaux en 1990 semblait logique. La question devient plus complexe lorsque l’opérateur en cause évolue dans un marché concurrentiel.
La proposition de la FCC fournit un exemple des complexités qui se transposent facilement à l’Internet des objets, où l’accès aux données est devenu un enjeu clé
pour l’innovation : compteurs électriques intelligents, maisons connectées, ou encore véhicules connectés. Obliger une entreprise privée à ouvrir à des tiers l’accès aux données de ses clients peut sembler à première vue attrayant pour encourager l’innovation. Mais vue de plus près, la question est complexe (4) et la notion
d’« innovation » incertaine (voir encadré ci-dessous), sans même parler de la protection des données à caractère personnel, un enjeu crucial. L’étude de l’Autorité de la concurrence (France) et de la Competition and Markets Authority (Grande-Bretagne) sur les écosystèmes et leurs effets sur la concurrence – analyse conjointe publiée en décembre 2014 (5) – montre que l’existence d’un écosystème fermé ne se traduit pas forcément par une diminution de la concurrence et de l’innovation. Chaque situation doit être examinée séparément. La même conclusion découle de l’étude récente conduite par la même Autorité de la concurrence avec cette fois la Bundeskartellamt (Allemagne) sur la collecte de données par les plateformes – analyse conjointe publiée en mai 2016 (6). Cette collecte de données ne conduit pas forcément à une diminution de l’innovation et de la concurrence.
La Commission européenne s’est exprimée le 10 janvier dernier sur le partage de données collectées dans le contexte des terminaux, compteurs ou encore véhicules connectés. Selon sa communication intitulée « Construire une économie européenne de la donnée » [« Building a European Data Economy », lire l’article pages 6 et 7, ndlr], la Commission européenne souligne la nécessité d’encourager le partage tout en respectant les négociations commerciales, la sécurité des systèmes, et l’investissement des entreprises ayant permis la production des données. Le débat sur le dégroupage des « box » et autres plateformes d’objets connectés promet de rester vif. @

* Winston Maxwell a eu l’occasion d’exposer la question du
dégroupage des « box » aux Etats-Unis au CSA Lab lancé
14 juin 2016, dont il est l’un des neuf membres experts,
ainsi qu’au Conseil d’Etat lors du colloque « Concurrence et
innovation à l’ère du numérique » le 9 décembre 2016.

ZOOM

Encourager l’innovation par la régulation, mais quelle « innovation » ?
Pour élaborer un système réglementaire qui favorise l’innovation, encore faut-il pouvoir la mesurer. Or, mesurer le niveau d’innovation est compliqué. Dans les années 1990, des recherches ont été faites aux Etats-Unis sur le lien entre la régulation sur la protection de l’environnement et l’innovation. A l’époque, certains disaient que la régulation favorisait l’innovation : cela s’appelait « l’hypothèse de Porter ». Valider cette hypothèse nécessite de se mettre d’accord sur ce que l’on entend par « innovation ».
Si l’on mesure l’innovation par les dépenses de recherches dédiées aux problèmes
de conformité (on parle de compliance innovation), alors, oui, la régulation conduit généralement à une augmentation de l’innovation. En revanche, si l’on mesure l’innovation par d’autres critères, par exemple le nombre de brevets déposés ou le nombre de start-up levant des fonds de capital risque, la réponse sera différente. Sans pouvoir mesurer l’innovation, on navigue à l’aveugle. La régulation peut elle-même innover. Certains auteurs prônent une régulation « adaptative » et « expérimentale »
qui s’adapterait en fonction des résultats observés. Préconisée dans la dernière étude annuelle du Conseil d’Etat, la réglementation expérimentale serait particulièrement bien adaptée aux marchés numériques, où le risque d’erreur est élevé. Mais cette forme de régulation nécessiterait des mécanismes de suivi sur l’efficacité de la régulation, et ces mécanismes sont rares. @

La Commission européenne est décidée à favoriser, tout en l’encadrant, l’économie de la data

Publié le par

Dans une communication publiée le 10 janvier 2017, la Commission européenne prévoit de favoriser – tout en l’encadrant – le commerce des données numériques. Cette régulation de la data suppose notamment de réviser dès
cette année la directive de 1996 sur la protection des bases de données.

L’année 2017 sera placée sous le signe de la data. La Commission européenne veut encadrer l’exploitation des données dans une économie de plus en plus numérique.
La communication qu’elle a publiée le 10 janvier, sous le titre
« Construire une économie européenne de la donnée » (1), devait être rendue publique en novembre. Finalement, elle
l’a été avec deux mois de retard et fait l’objet d’une vaste consultation publique – jusqu’au 26 avril prochain.

Une loi européenne d’ici juin 2017 ?
Ces nouvelles règles sur la data utilisée à des fins commerciales doivent mieux encadrer la manière dont les entreprises s’échangent des données numériques entre elles pour développer leur chiffre d’affaires et générer des pro f i t s . I l s’agit d’év i ter que les consommateurs – internautes et mobinautes – soient pris au piège d’accords d’utilisation qu’ils ne pourraient pas refuser, donnant ainsi implicitement à d’autres entreprises que leur fournisseur numérique l’accès à leurs données personnelles. Toutes les entreprises sont potentiellement concernées. Si la communication n’a pas de caractère contraignant, la Commission européenne se réserve la possibilité de légiférer si les entreprises n’appliquaient pas ses suggestions sur le partage de données. Andrus Ansip (photo), viceprésident de la Commissaire européen en charge du Marché unique numérique et – depuis le 1er janvier 2017 – de l’Economie et de la Société numériques (2), a déjà laissé entendre qu’un texte législatif sur la propriété des données et l’accès à ces données pourrait être proposé d’ici juin 2017.
Tous les secteurs de l’économie – industries, services, e-commerce, … – sont en ligne de mire. Déplorant l’absence d’étude d’impact, un cabinet d’avocats (Osborne Clarke)
a recommandé à la Commission européenne de ne pas se précipiter à édicter une nouvelle loi. De nombreux secteurs économiques craignent cette régulation de la data et la perçoivent comme un frein à leur développement. Par exemple, dans l’industrie automobile, l’Association européenne des constructeurs d’automobiles (3) a fait savoir lors d’une conférence à Bruxelles le 1er décembre dernier sur le thème de
« Smart cars: Driven by data » que les données des conducteurs appartenaient aux constructeurs, lesquels pouvaient les vendre à d’autres entreprises. Au moment où la voiture connectée et/ou autonome démarre sur les chapeaux de roue, les industriels
de l’automobile entendent garder la maîtrise des données collectées et leur exploitation comme bon leur semble. Or la Commission européenne souhaite au contraire ne pas laisser faire sans un minimum de règles communes et en appelle à des expérimentations comme dans le cadre du programme CAD (Connected and Autonomous Driving). Les autres secteurs ne sont pas en reste. Cela concerne aussi
le marché de l’énergie (comme les compteurs intelligents), le domaine de la maison connectée, la santé ou encore les technologies financières. En outre, le potentiel de l’Internet des objets (des thermostats aux lunettes connectées), des usines du futur ainsi que de la robotique connectée est sans limite et le flux de données en croissance exponentielle.
Alors que la data constitue plus que jamais le pétrole du XXIe siècle, tant en termes d’économie de marché, de création d’emplois et de progrès social, elle est devenue centrale. L’économie de la donnée est créatrice de valeur pour l’Europe, avec 272 milliards d’euros de chiffre d’affaires généré en 2015 – soit 1,87 % du PIB européen.
Ce montant pourrait, selon les chiffres fournis par la Commission européenne, pourrait atteindre 643 millions d’euros d’ici 2020, soit 3,17 % du PIB européen (4).

Encadrer sans freiner l’innovation
La communication « Construire une économie européenne de la donnée » veut donner une impulsion à l’utilisation des données à des fins lucratives, tout en l’encadrant, sans attendre l’entrée en vigueur à partir du 25 mai 2018 de la nouvelle réglementation européenne sur la protection des données (5). Mais la Commission européenne ne veut pas non plus freiner les Vingt-huit dans le développement de l’économie de la donnée et creuser un peu plus l’écart avec les Etats- Unis. Aussi, voit-elle dans la régulation de la data une manière de contribuer au développement du marché unique numérique en donnant un accès le plus large aux bases de données – au Big Data – et en empêchant les barrières à l’entrée au détriment des nouveaux entrants et de l’innovation. Objectif : favoriser la libre circulation des données au sein de l’Union européenne, ainsi que la libre localisation de ces données dans des data centers, sans que ces échanges et ces stockages se fassent au détriment des consommateurs et de leur libre arbitre. Il s’agit aussi d’éviter la fragmentation du marché unique numérique par des réglementations nationales différentes selon les pays européens. La data se retrouve au cœur du marché unique numérique, que cela soit en termes de flux libres, d’accès, de transfert, de responsabilité, de sécurité, de portabilité, d’interopérabilité et de standardisation.

Pour la libre circulation des données
Dans sa communication « Construire une économie européenne de la donnée », dont un draft était disponible en ligne depuis décembre dernier, Bruxelles réaffirme la libre circulation des données (free flow of data) au sein de l’Union européenne et s’oppose aux barrières réglementaires numériques telles que l’obligation de localiser les données dans le pays concerné (6). Dans le prolongement de sa communication, la Commission européenne discutera avec les Etats membres sur les justifications et la proportionnalité des mesures réglementaires de localisation des données, ainsi que de leurs impacts sur notamment les petites entreprises et les start-up. Bruxelles est prêt à durcir le ton en cas de localisation abusive des données.
Partant du principe que les données peuvent être personnelles ou non personnelles, il est rappelé que la réglementation de 2016 sur la protection des données personnelle (en vigueur à partir de fin mai 2018), s’applique aux premières. Et quand un appareil connecté génère de la donnée qui permet d’identifier une personne, cette donnée est considérée comme étant à caractère personnel jusqu’à ce qu’elle soit anonymisée.
Or, constate la Commission européenne, l’accès aux données au sein des Vingt-huit est limité. La plupart des entreprises utilisant une grande quantité de données le font en interne. La réutilisation des données par des tiers ne se fait pas souvent, les entreprises préférant les garder pour elles-mêmes. De plus, beaucoup d’entreprises n’utilisent pas les possibilités des API (Application Programming Interfaces) qui permettent à différents services d’interagir avec d’autres en utilisant les données extérieures ou en partageant les siennes. Peu d’entreprises sont en outre équipées d’outils ou dotées de compétences pour quantifier la valeur économique de leurs données.
Quant au cadre réglementaire, au niveau européen ou à l’échelon national, il ne les incite pas à valoriser leur capital data. S’il y a bien le nouveau règlement sur la protection des données personnelle, les données brutes impersonnelles produites
par les machines échappent à l’actuel droit sur la propriété intellectuelle faute d’être
« intelligentes ». Tandis que la directive européenne du 11 mars 1996 sur la protection juridique des bases de données permet, elle, aux auteurs de bases de données le droit d’empêcher l’extraction et/ou la réutilisation de tout ou partie de leurs bases de donnés. Sans parler de la nouvelle directive européenne sur le secret des affaires, à transposer par les Etats membres d’ici juin 2018, qui limite l’accès à certaines informations capitales pour l’entreprise. Difficile de s’y retrouver dans ce dédale de textes législatifs. Un cadre réglementaire plus lisible et compréhensible est donc nécessaire, aux yeux de la Commission européenne, pour les données générées par les machines et les objets connectés, sur leur exploitation et leur traçabilité. Faute de quoi, l’économie de la data continuera de relever le plus souvent de relations contractuelles. Or, Bruxelles estime que cela ne suffit pas et qu’il faut un cadre adapté pour les nouveaux entrants et éviter les marchés verrouillés. Ceux que la Commission européenne appelle les propriétaires de facto de données que leurs écosystème génère ont un avantage compétitif sur leur marché, surtout en l’absence de réglementation ou de cadre juridique appropriés.

Afin que les réglementations nationales différentes ne s’imposent au détriment d’une harmonisation communautaire et des services de données transfrontaliers, une législation sur l’accès aux données pourrait voir le jour en Europe afin : d’encadrer le commerce de données générées par les appareils connectés, de faciliter et d’inciter
au partage de telles données, de protéger les investissements et les actifs, d’éviter la divulgation de données sensibles ou confidentielles, et de minimiser les effets de blocage (lockin) dans l’accès aux données.
La Commission européenne prévoit notamment : de réviser en 2017 la directive
« Bases de données » de 1996, de favoriser le développement les API pour faciliter
la création d’écosystèmes numériques, d’édicter des contrats-type portant sur l’exploitation de données, de contrôler les relations contractuelles B2B (7) et d’invalider des clauses abusives, de donner accès aux données d’intérêt général ou issues des services publics (8), d’instaurer un droit des producteurs de données à accorder des licences d’utilisation de ces données, et, enfin, de donner accès à la data contre rémunération.

Responsabilité et assurance
La responsabilité juridique liée à l’exploitation de toutes ces données devra aussi être clarifiée – quitte à envisager la révision de la directive européenne de 1985 sur la responsabilité du fait des produits défectueux (9) – pour prendre en compte les nouveaux écosystèmes tels que l’Internet des objets ou encore la voiture autonome, sans parler des implications au niveau des assurances. @

Charles de Laubier

Pourquoi le droit au déréférencement est une « forme » de droit à l’oubli

Publié le par

Alors que le règlement européen sur la protection des données personnelles est attendu pour janvier 2016, le droit à l’oubli numérique n’en finit pas de susciter la controverse. La solution du déréférencement apparaît comme une voie de compromis mais la question de son champ territorial reste posée.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le droit à l’effacement est inscrit dans la loi « Informatique et Libertés » depuis 1978. On le retrouve également dans la directive européenne de 1995 sur la protection des données à caractère personnel (1). En effet, toute personne a la faculté d’exiger l’effacement des données personnelles la concernant qui seraient
« inexactes, incomplètes, équivoques, périmées ou dont la collecte, l’utilisation, la communication ou la conservation est interdite » (2)
ou « dont le traitement n’est pas conforme à la présente directive [de 1995], notamment en raison du caractère incomplet ou inexact des données ».

Droit à l’effacement bientôt élargi
Ce droit à l’effacement découle du principe selon lequel les données à caractère personnel doivent être traitées pour une finalité déterminée, légitime et transparente. C’est à ce titre que le responsable du traitement est tenu de les conserver « sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement » (3). Les données doivent ensuite être soit supprimées, soit « anonymisées ».

Cette notion d’effacement devrait s’élargir significativement avec la proposition de règlement européen (4) qui prévoit, dans sa dernière version, à l’article 17, que la personne concernée pourra également demander l’effacement lorsqu’elle aura retiré son consentement au traitement. Le projet européen indique que chaque personne disposera d’un contrôle renforcé de ses propres informations personnelles, pouvant ainsi décider quelles informations la concernant peuvent être communiquées à qui et
à quelles fins, lui offrant ainsi, comme le précise la Cnil (5), « la possibilité (…) de maîtriser ses traces numériques et sa vie – privée comme publique – en ligne » (6).
Ce “contrôle” recouvre également le droit d’être au courant du sort des données,
d’être informé de qui sait quoi sur soi et pour en faire quoi.
Faut-il y voir la consécration d’un droit à l’oubli numérique ? Ce sujet n’en finit pas
de susciter la controverse. Ses partisans font valoir que ce droit doit permettre à l’internaute d’« être oublié » afin que certaines données le concernant cessent de resurgir sur Internet. On peut comprendre qu’un individu ne souhaite plus que certains éléments de sa vie privée, publiés volontairement mais à un âge où l’on peut être inconscient des conséquences ou tout simplement dans un moment d’égarement, ou à son insu, puissent lui nuire, dans sa vie personnelle comme dans sa vie professionnelle (7). Les opposants au droit à l’oubli dénoncent quant à eux une invitation pour chacun
à réécrire son passé, à effacer les éléments gênants, à gommer les imperfections de
« son » histoire, sans tenir compte des autres intérêts en présence, notamment ceux
de la personne qui traite ou publie les données en cause, voire certains intérêts publics. Ils considèrent que le droit à l’oubli entre en conflit avec le droit à l’information et au traitement de données nécessaire à des fins statistiques, de recherche historique ou scientifique ou d’archive. Il peut heurter la liberté d’expression et la liberté de la presse. Il conduit également à déresponsabiliser l’internaute, lequel doit, selon eux, assumer pleinement les conséquences de ses actes, notamment la publication des informations le concernant.

Dans ce contexte, la solution du déréférencement ordonnée par la Cour de justice de l’Union européenne (CJUE) dans son arrêt du 13 mai 2014 (8) apparaît comme une voie de compromis, en quelque sorte une « forme » de droit à l’oubli. Il serait en effet inexact de parler de « droit à l’oubli » car la CJUE n’a pas ordonné à l’éditeur du journal espagnol en cause de supprimer l’information qui avait été publiée, mais elle a demandé à Google la désindexation du lien contenant l’information, considérant que l’internaute qui revendiquait l’effacement a droit « à ce que l’information (…) relative
à sa personne ne soit plus (…) liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom (…) » à certaines conditions.

L’arrêt de la CJUE : un compromis
Dans cette affaire très médiatisée, la CJUE, saisie de questions préjudicielles en interprétation par la juridiction espagnole, a procédé à un raisonnement en plusieurs étapes qu’il est intéressant de rappeler. Tout d’abord, la Cour a considéré que l’indexation et le stockage temporaire des données personnelles par un moteur de recherche afin de les mettre à disposition de ses utilisateurs, sous forme de listes de résultat, constituent un « traitement » de données personnelles au sens de la directive de 1995. Elle a ensuite retenu que Google est « responsable de traitement » dans la mesure où l’entreprise détermine les finalités et les moyens utilisés. Enfin, concernant le champ d’application géographique, les activités des filiales européennes de Google (dont Google Spain) sont indissociablement liées à la maison mère – de droit américain – étant donné que ces activités, relatives à la promotion et à la vente d’espaces publicitaires, contribuent à la rentabilité économique du moteur de recherche.

Les données ne sont pas effacées
Dans ces conditions, la Cour a admis qu’un particulier peut s’adresser directement à Google afin de demander la suppression des liens vers les pages de sites Internet tiers comportant des informations relatives à ces personnes. Cette décision suscite plusieurs observations. Tout d’abord, il faut constater que la mesure ordonnée n’exige pas d’effacer les données mais uniquement d’effacer le résultat affiché par le moteur de recherche de manière à ce que les informations relatives à un individu ne soient plus liées à son nom dans la liste des résultats du moteur de recherche. Dès lors, c’est simplement l’accès à l’information qui devient plus difficile mais l’information en elle-même est toujours disponible.
Par ailleurs, les juges invitent à apprécier, au cas par cas, si la demande de désindexation est légitime et justifiée. Ainsi, si l’information litigieuse, objet de la demande de déréférencement, présente un intérêt prépondérant pour le public, il ne faut pas faire droit à la demande de l’intéressé. Il en est de même si la conservation des données en cause s’impose à des fins historiques, statistiques ou scientifiques. Dès lors, on peut constater, à l’instar du député français Patrice Verchère (Les Républicains, ex-UMP), que : « Les responsabilités que la Cour fait peser sur Google sont capitales.
Il revient en effet au moteur de recherche d’examiner lui-même le bien-fondé de chaque demande, en recherchant l’équilibre entre droit à l’information du public et protection de la vie privée. Cette situation laisse transparaître un risque réel de substitution du juge par un acteur privé alors même que le respect de droits fondamentaux est en jeu » (9). Il s’ensuit inévitablement des risques de censure comme le démontre la suppression des articles publiés sur les sites web de The Guardian et de la BBC. Le premier concernait un arbitre qui aurait menti quant à la justification d’un pénalty. Le second visait un ancien patron qui aurait fait perdre à sa banque plusieurs milmilliards de dollars… Des articles pour lesquels on peut considérer que la question du droit du public à l’information se pose. Enfin, la question du champ territorial du déréférencement est ouverte, le moteur de recherche ayant décidé de supprimer uniquement les résultats de recherche qui apparaissent sur le site de l’Etat de la nationalité du requérant. Cette interprétation restrictive de l’arrêt de Strasbourg est vivement contestée, notamment par la Cnil qui considère que : « (Afin) d’assurer l’effectivité du droit au déréférencement tel que reconnu par la CJUE, le déréférencement devra être effectif dans toutes les extensions pertinentes, y compris .com. En effet, limiter le déréférencement aux extensions européennes des moteurs
de recherche en considérant que les utilisateurs effectuent généralement des requêtes à partir des extensions nationales du moteur ne garantit pas de manière satisfaisante
le droit des personnes tel que retenu par la CJUE » (10). Mais Google entend résister
à cette analyse et a déclaré le 30 juillet 2015 refuser de déférer à la mise en demeure qui lui a été délivrée par la Cnil en juin 2015 (11), lui contestant au demeurant toute compétence pour contrôler les informations mondialement accessibles. Google estime en effet que « aucun pays ne devrait avoir l’autorité de décider à quel contenu peut accéder quelqu’un, dans un autre pays ». La Cnil a indiqué, pour sa part, qu’elle regardera les arguments présentés par Google dans son recours gracieux et se réserve « la possibilité d’une phase répressive ». Afin de montrer sa bonne foi, Google n’a pas hésité à mettre en ligne un « rapport de transparence » dans lequel il recense les demandes de déréférencement « reçues et traitées » (12).

40.000 requêtes en France
Si l’on dresse le bilan (13) des opérations de déréférencement dans la suite de l’arrêt CJUE « Google Spain », Google aurait répondu favorablement à près de la moitié des 170.000 requêtes reçues – dont 40.000 pour la France. Par ailleurs, lorsqu’il répond négativement, le moteur de recherche précise que sa réponse serait motivée, dans
92 % des cas, par le fait que « l’information mise en ligne est en lien avec l’activité professionnelle de la personne ou qu’elle reste pertinente au regard de l’actualité ou
de la finalité du traitement ». Ainsi, la question centrale demeure : « Comment trouver
le juste équilibre entre le droit à l’oubli d’une personne et le droit à l’information du public ? ». C’est précisément la question posée au comité consultatif de Google qui tente d’y apporter des réponses dans un rapport remis le 6 février 2015 (14). @*

Christiane Féral-Schuhl, ancien bâtonnier du Barreau de Paris.
Elle est co-présidente de la Commission de réflexion sur le droit et les
libertés à l’âge du numérique, à l’Assemblée nationale.

Comment Google limite le droit à l’oubli en Europe

Publié le par

En fait. Le 6 février dernier, le conseil consultatif auprès de Google sur le droit
à l’oubli – où l’on retrouve parmi les huit experts Sylvie Kauffmann, directrice éditoriale du quotidien Le Monde, et Jimmy Wales, fondateur et président de Wikimedia Foundation – a publié son rapport sur le droit à l’oubli.

En clair. Le comité d’experts mis en place l’an dernier par Google (1) veut limiter les effets de l’arrêt du 13 mai 2014 de la Cour de justice de l’Union européenne (CJUE)
qui oblige les plateformes du Net – dont les moteurs de recherche – à déréférencer
les données personnelles des candidats à l’oubli. Dans leur rapport, les huit experts préconisent que Google supprime de son moteur de recherche uniquement les informations se situant sur ses sites européens – « google.fr », « google.de »,
« google.es », … – mais pas sur les autres tels que « google.com ». « La pratique générale en Europe est d’orienter les utilisateurs – tapant www.google.com sur leur navigateur – automatiquement vers une version locale du moteur de recherche. Google nous a dit que plus de 95 % de toutes les requêtes provenant d’Europe sont faites sur les versions locales », a expliqué le conseil consultatif.
Ce qui va à l’encontre des dispositions d’envergure mondiale prononcées par la CJUE
il y a neuf mois maintenant. Ces recommandations profitent des imprécisions de la directive européenne de 1995 sur « la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données » (2) quant à la responsabilité de celui chargé du traitement d’assurer et du respect entourant les données à caractère personnel (article 6 de la directive). Le comité d’experts a en outre identifié quatre critères pour supprimer – ou pas – les données : vie publique du demandeur, nature de l’information, la source, le temps au sens de
la date.
Pour l’heure, la firme de Mountain View se plie partiellement aux injonctions de la CJUE en accédant à une partie seulement des demandes de suppression qui lui sont faites.
A fin 2014, plus de 170.000 demandes ont déjà été soumises à Google en Europe,
dont environ 30 % provenant de France – le premier pays en nombre. Mais le géant du Web oppose en effet une fin de non-recevoir à plus de la moitié d’entre elles. Ce qui lui a valu une première condamnation le 19 décembre dernier, par le tribunal de grande instance de Paris, à retirer les liens concernant une plaignante. C’est que les demandes affluent depuis que Google a mis en ligne son formulaire (3) pour permettre à ceux qui le souhaitent d’exercer leur droit à supprimer des résultats de recherche leur nom et autres données personnelles. @