Explications sur le droit à l'oubli

Le développement des nouvelles technologies et l’utilisation de plus en plus courante d’Internet dans tous les domaines de la vie a accru le stockage des données sur Internet et les possibilités d’interconnexions. Au travers des blogs, réseaux sociaux et autres les internautes laissent de nombreuses traces sur la Toile. Le droit à l’oubli numérique peut être défini comme la possibilité de maîtriser ses traces numériques et sa vie (privée et publique) en ligne. L’apparition de programmes de recherche et d’analyse toujours plus performants conduit à la constatation que l’oubli – dans le sens d’un effacement complet et définitif – devient souvent illusoire.

Qu'est-ce que le «droit à l'oubli»? Le droit à l'oubli, ses contours et ses limites

Le «droit à l'oubli» n'est pas un concept nouveau. Des dispositions légales intègrent déjà cette notion; ainsi, par exemple, la loi prévoit un délai d'effacement pour les antécédents du casier judiciaire ou dans la plupart des registres officiels.

Cette limitation, dans la durée, du traitement des données, n'est rien d'autre qu'une application concrète du principe de proportionnalité, qui est également consacré par la loi fédérale sur la protection des données  (LPD). Les principes de finalité et de proportionnalité exigent ainsi que le traitement des données ne dépasse pas la durée nécessaire à sa finalité. Autre application du droit à l'oubli: le retrait du consentement préalablement donné ou le droit d'opposition. Le droit à l'oubli est alors mis en œuvre par l'effacement des données ou leur anonymisation.

Le droit à l'oubli n'est pas un droit absolu. Selon les circonstances, d'autres intérêts peuvent également entrer en jeu. Il conviendra alors, dans le cas d'espèce, d'effectuer une pesée des intérêts entre le respect de la sphère privée (le droit à l'oubli) et l'intérêt au traitement des données (dans le cas d'une publication d'un contenu sur Internet par exemple, la liberté d'expression et le devoir d'information ou de mémoire sont notamment en jeu). L'appréciation des intérêts varie selon les circonstances du cas d'espèce. En d'autres mots, l'atteinte à la personnalité de la personnalité liée au traitement des données, respectivement à la publication, est-elle, en l'occurrence, justifiée par un intérêt supérieur?

Lorsqu'ils ne sont pas définis par la loi, les droits ou devoirs relatifs au droit à l'oubli sont cependant souvent complexes à mettre en œuvre en pratique, lorsqu'ils ne sont pas tout simplement ignorés. Les données personnelles n'étant pas en mains de la personne concernée, cette dernière ne peut pas simplement les supprimer mais doit - avec des moyens souvent limités - entreprendre des démarches parfois longues et fastidieuses pour faire respecter ses droits.

Le «droit à l'oubli» à l'ère d'Internet

Aujourd'hui, les nouvelles technologies replacent le «droit à l'oubli» dans un nouveau contexte qui ne cesse d'évoluer. Le droit à l'oubli numérique peut être défini comme la possibilité de maîtriser ses traces numériques et sa vie (privée et publique) en ligne.

Au travers des blogs, réseaux sociaux, plateformes ou forums de discussions, les internautes laissent de nombreuses traces sur la Toile. Commentaires, textes, photos, vidéos ou autres documents, sont publiés et rendus ainsi accessibles de manière quasi instantanée à un nombre indéfini de personnes dans le monde entier. Au travers de sa navigation sur le Web, l'internaute laisse aussi involontairement de nombreuses traces: adresses IP, cookies, requêtes effectuées sur des moteurs de recherche.

Ces contenus peuvent même être publiés sans l'accord des personnes concernées, voire à leur insu - le plus souvent même sans volonté de nuire. 

Même si les personnes privées sont les plus promptes à publier des contenus sur Internet, l'Etat n'est pas en reste et alimente aussi l'Internet de données personnelles (par exemple les données du registre du commerce).

Quantité de données sont ainsi stockées sur la Toile et accessibles à un large public. Si la publication des données sur Internet présente de nombreux avantages, elle comporte également des risques. Dans la vie réelle, l'homme oublie; Internet, par contre, n'oublie pas. Dans le monde virtuel, sur Internet, les contenus déposés sont non seulement accessibles quasi instantanément à un nombre indéfini de personnes dans le monde entier, mais présents de manière permanente: car une fois les données mises en ligne, elles peuvent difficilement être retirées une fois pour toutes.

Les contenus mis à disposition sur Internet peuvent en effet être copiés par des tiers et sont vite relayés et structurés par les moteurs de recherche selon des logiques échappant aux personnes concernées ou de celles qui les ont publiées sur la Toile.

La multiplication des contenus à l'échelle globale, le développement des technologies (par exemple les systèmes de reconnaissance faciale, les techniques de géolocalisation ou encore le passage du papier au numérique), le fonctionnement des moteurs de recherche, viennent accentuer encore un peu plus la perte de la maîtrise sur les données. Nous n'avons ainsi pas toujours conscience de l'utilisation qui est faite de nos données, voire qui pourrait l'être dans le futur, et des interconnexions possibles entre les diverses données mises à disposition. L'apparition de programmes de recherche et d'analyse toujours plus performants, eux-mêmes combinés à des capacités de stockage quasi illimitées («Big Data»), conduit à la constatation que l'oubli - dans le sens d'un effacement complet et définitif - sur internet devient souvent illusoire.

Même des faits ou des événements qui se sont produits avant l'avènement d'Internet sont concernés: les archives papier des journaux - ou d'autres documents - sont numérisés et se retrouvent sur la Toile. Et des événements «oubliés» peuvent ainsi refaire surface, confrontant les personnes concernées plusieurs années après les faits.

Cette perte de maîtrise peut avoir des conséquences diverses pour la personne concernée, selon les cas seulement embarrassantes, dans d'autres cas désastreuses. Une information donnée dans un contexte bien particulier peut être réutilisée à une toute autre finalité. Ainsi, une anecdote ou un fait divers qui a été un jour publié (volontairement ou non) sur internet peut un jour porter préjudice à la personne concernée.

Internet ne connaissant pas de frontières, non seulement les informations sont diffusées à l'échelle mondiale, mais l'aspect international vient également compliquer encore dans une large mesure la possibilité de faire valoir juridiquement ses droits. Des questions complexes de procédure se posent, telles que la détermination du for et du droit applicable.

Compte tenu du développement des nouvelles technologies, de la multiplication et de la diversité des traitements de données, des obstacles législatifs et procéduraux dans un contexte international, la mise en œuvre du «droit à l'oubli numérique» devient ainsi un véritable défi.

Les solutions

Face à ce constat, il convient de trouver des solutions permettant d'accompagner le développement des nouvelles technologies tout en préservant la dignité des personnes et de respecter le droit à la vie privée également sur Internet.
 

Solutions techniques

En particulier, des stratégies peuvent et doivent être mises en place sur le plan technique pour permettre la maîtrise effective de chacun sur ses données. Le «privacy by design» (respect de la vie privée dès la conception) ainsi que le «privacy by default» (protection de la vie privée par défaut) devraient à notre sens devenir la norme. Le «privacy by design» consiste à prendre compte les aspects liés à la protection de la vie privée et des données à caractère personnel dès la conception de nouvelles technologies ou applications. Il implique également le respect de ces valeurs tout au long du cycle de vie de la technologie concernée. Le «privacy by default» consiste à instaurer une configuration des paramètres de confidentialité dès l'inscription à un service en ligne. Le but est d'éviter une exploitation abusive des données mais également une réutilisation des données à des fins autres que celles pour lesquelles une personne avait initialement donné son consentement. Le consentement explicite de la personne doit être ainsi demandé pour chaque traitement de données.

Il convient également d'inciter les administrateurs de site web à désindexer leurs pages internet (ou certaines d'entre elles) et/ou d'inviter les moteurs de recherche à revoir leur fonctionnement ou leur système d'indexation, par exemple en mettant en place une procédure en ligne permettant la désindexation.
 

Solutions juridiques

La loi actuelle sur la protection des données (LPD) se limite à énoncer les principes généraux (finalité, proportionnalité) et des règles générales. La personne concernée peut quant à elle faire valoir ses droits de rectification ou d'opposition (auprès du responsable du traitement), dans les cas où le traitement ne serait pas (ou plus) justifié par un motif justificatif (art. 12 et 13 LPD). Si cette démarche n'aboutit pas, elle peut porter le litige devant la justice civile, par le biais de l'art. 15 LPD, et demander en particulier que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Le Préposé fédéral à la protection des données et à la transparence (PFPDT) dispose quant à lui de compétences de conseil et a, sous certaines conditions (en particulier si un nombre important de personnes sont concernées), également la possibilité d'intervenir dans le cadre de son activité de surveillance.

Comme nous l'avons déjà souligné, le droit à l'oubli (ou le droit d'opposition) est parfois difficile à faire respecter dans la pratique. Il paraît dès lors nécessaire de renforcer, d'une part, les droits des personnes concernées, d'autre part, les obligations des responsables de traitement, notamment en concrétisant la notion de proportionnalité ou en faisant du privacy by design et du privacy by default une obligation pour tous les produits et services mis sur le marché.

Au niveau européen, des discussions sont en cours autour de la révision du cadre juridique existant, afin de prendre en compte l'évolution des nouvelles technologies, l'essor du numérique et le contexte international (la directive actuelle date de 1995). Le nouveau règlement européen vise en particulier le renforcement de l'effectivité des règles de protection des données. Dans ce contexte, la notion de «droit à l'oubli» est au cœur des débats. Nous suivons les développements de près, car les solutions adoptées au niveau européen le seront probablement également en Suisse et pourraient être intégrées dans le cadre de la révision de la LPD.

En attendant ou parallèlement à ces développements, il est possible que la jurisprudence précise certains contours du droit à l'oubli. Par décision du 13 mai 2014, la Cour européenne de justice a ainsi estimé que les moteurs de recherche sont responsables du traitement des données personnelles apparaissant sur leurs pages internet et qu'ils doivent, sur demande et à certaines conditions, supprimer des liens vers ces pages (à moins qu'il n'existe - dans le cas concret - un intérêt public prépondérant justifiant l'indexation de ces informations). Cette décision de justice aura sans doute des implications pour les internautes helvétiques également.
 

Solutions comportementales (sensibilisation et responsabilisation)

Enfin, au-delà des solutions techniques et juridiques présentées, il nous paraît fondamental, d'une part, de former et d'informer les internautes afin qu'ils puissent mieux maîtriser les outils d'Internet et gérer leur réputation en ligne, d'autre part de les rendre attentifs à leurs droits et à leurs devoirs, notamment en matière de publication de contenus sur Internet (sensibilisation et responsabilisation). La mise en œuvre du droit à l'oubli ne doit en effet pas non plus aboutir à une déresponsabilisation des individus.

Car il appartient finalement à chaque individu, dans le cadre de sa participation à la vie sur le Web, d'arbitrer entre son désir d'exposition/de visibilité et son besoin de confidentialité, par exemple en utilisant un pseudonyme (ou non), en (dés)activant les paramètres de confidentialité, en prenant conscience - autant que possible - des avantages et des risques (à plus long terme) de la diffusion d'un message, même à un cercle restreint de personnes. Au-delà des avantages immédiats d'un partage en ligne, chacun doit réfléchir avant de publier un contenu.

Conclusion

En conclusion, le développement des nouvelles technologies et l'utilisation de plus en plus courante d'Internet dans tous les domaines de la vie a accru les traitements de données, le stockage des données sur Internet et les possibilités d'interconnexions, et donc les risques de violations de la vie privée, de façon exponentielle. En pratique, en raison des développements technologiques et des obstacles législatifs et procéduraux, le «droit à l'oubli» est actuellement, dans bien des cas, mis à mal, respectivement difficile à mettre en œuvre et à faire respecter.

Les internautes doivent être conscients des risques présentés par les nouvelles technologies et les utiliser de façon responsable. La prudence s'impose donc en particulier en cas de publication de données personnelles - de soi ou d'autrui - sur Internet. Quant aux concepteurs et développeurs, ils doivent - de même que les responsables des traitements - prendre en compte les aspects de protection des données, notamment en évitant l'indexation systématique dans les moteurs de recherche. Finalement, des solutions juridiques et légales devraient renforcer les droits des personnes concernées et les obligations des responsables de traitement.

https://www.edoeb.admin.ch/content/edoeb/fr/home/protection-des-donnees/Internet_und_Computer/explications-sur-le-droit-a-l-oubli.html