Ceci est une archive

Ce site n’est plus mis à jour depuis 2016. Il s’agit seulement d’une archive. Lire la suite

Publicités

La justice peut-elle obtenir de Google Switzerland l’identité de l’utilisateur d’un compte Gmail ?

Alors qu’il vient de déclarer que le Ministère public vaudois ne peut contraindre Facebook Switzerland Sàrl (Facebook Suisse) à produire les données d’un compte Facebook, le Tribunal fédéral refuse (provisoirement) de reconnaître une obligation pour Google Switzerland GmbH de donner l’identité du titulaire d’une adresse @gmail.com (1B_142/2016). L’affaire est renvoyée à l’autorité cantonale pour éclaircir les faits.

Un service fourni par Google Inc.
Le 16 juin 2015, le Ministère public central du canton de Vaud a ouvert une instruction pénale contre inconnu pour violation du droit d’auteur, suite à une plainte/dénonciation de la Société française des auteurs, compositeurs et éditeurs de musique (SACEM) dirigée contre l’administrateur d’un site web qui aurait diffusé à large échelle des œuvres musicales en proposant des liens de téléchargements illicites. Le Ministère public vaudois a alors requis de la société Google Switzerland GmbH la production de l’identité du détenteur d’un compte Gmail, les adresses IP utilisées pour créer le compte, le log de connexions et les adresses IP en relation avec ces logs dès 2008 ainsi que le contenu privé du compte.

Google Switzerland explique que les informations demandées sont en mains de la société américaine Google Inc.. Google Switzerland GmbH exerce un contrôle de la compatibilité avec le droit suisse du contenu des blogs hébergés par un site dont elle est l’administratrice, ainsi que d’autres activités en lien avec les annonces publicitaires, mais elle n’intervient pas en lien avec l’exploitation d’un compte Gmail, le système de messagerie électronique Gmail étant exploité en Californie par la société américaine Google Inc.. Le Tribunal fédéral a considéré que ce point n’était pas suffisant établi et a renvoyé l’affaire pour compléter l’état de fait.

Une situation différente en matière de protection des données
Le Tribunal fédéral a profité de rappeler, comme dans la décision concernant Facebook rendue le même jour (lien), que la situation différait de l’affaire Google Street View qui concernait une cause de droit public relative à la protection des données: la société suisse impliquée était en lien direct avec l’activité concernant Google Street View (en particulier la production et le traitement des images, le traitement des demandes d’effacement), même si on ne pouvait retenir un rapport de représentation entre les sociétés suisse et américaine. Pour le TF, cette jurisprudence de droit public ne saurait s’appliquer dans le cadre d’une demande de preuve en matière pénale.

Commentaire
Le raisonnement est le même que pour la décision Facebook du même jour. On peut néanmoins regretter sincèrement dans ces deux décisions que le Tribunal fédéral soit resté très lacunaire sur certaines questions essentielles, comme la raison pour laquelle un traitement différent s’impose en droit pénal et en droit public (protection des données), ou sur la question du fournisseur de services de télécommunication. Si l’on peut éventuellement discuter s’agissant d’un réseau social, la question ne fait pas de doute concernant un fournisseur de messagerie…

On s’étonnera finalement que ces deux décisions importantes, dont au moins l’une sera publiée au recueil officiel, ne contiennent aucune référence à la doctrine.

Le Préposé s’écarte du Safe Harbor suisse

Par une modification non datée sur son site Web, vraisemblablement le 22 octobre 2015, le PFPDT indique que «tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD)».

Cette analyse n’est pas incohérente avec la décision de la CJUE, mais elle est surprenante pour plusieurs raisons :

  • elle a lieu au travers d’une modification du site web ;
  • le PFPDT n’a apparemment pas dénoncé l’accord qui demeure juridiquement valable ;
  • aucune décision judiciaire n’a été rendue ;
  • ce changement de position entre immédiatement en vigueur, alors que l’état de la législation américaine et les conditions de l’accord sont connues depuis longtemps.

Le PFPDT demande aux entreprises concernées de convenir de garanties contractuelles au sens de l’art. 6 al. 2 lit. a LPD d’ici fin janvier 2016, bien qu’il admette que ces clauses standards ne règlent pas le problème d’accès disproportionnés des autorités (soit la raison principale pour laquelle le transfert est illégal).

Il recommande finalement d’informer les personnes concernées lorsque les autorités US accèdent (concrètement) aux données.

Commentaire
Pour les individus concernés, on peut se réjouir que le PFPDT suive le mouvement européen et veuille exiger des USA plus de garanties.

En revanche, les entreprises suisses sont mises dans une situation difficile alors que rien n’obligeait le PFPDT à prendre cette décision aujourd’hui, sans avoir de solution de rechange à proposer.

Il admettait jusqu’à présent que le transfert sur la base du Safe Harbor était légale. C’est sur ses recommandations que de nombreuses entreprises ont pris la décision d’y recourir. Alors que la situation américaine n’a pas changé ces derniers mois, il déclare soudainement que le transfert est illégal. Les moyens de rechange proposés pourraient d’ailleurs bien être déclarés insuffisants par un tribunal, ce qui signifie que les maîtres de fichiers suisses doivent trouver une solution alors que le PFPDT (et ses homologues européens) n’en n’ont pas.

Affaire à suivre…

Rapport 2014-2015 du Préposé fédéral à la protection des données et à la transparence

Le Préposé fédéral à la protection des données et à la transparence Hanspeter Thür a présenté au mois de juin son dernier rapport annuel 2014/2015 dont la densité démontre à elle seule l’étendue des questions à traiter. Contrairement aux années précédentes, le ton est moins consensuel et rappelle les violations fréquentes des principes fondamentaux de la protection de la sphère privée, soulignant le «monopole néo-féodal de Google, Facebook, Amazon et consorts», le besoin d’un débat social profond quant à une «stratégie de la société numérique» et le caractère «quelque peu préoccupant» du «“Patriot Act” suisse».

Le numéro AVS (NAVS13)
Le PFPDT avait déjà fait part de ses inquiétudes l’année dernière, en particulier du fait que son utilisation dans des domaines sans lien avec les assurances sociales permet de dresser un profil de la personnalité très complet et de relier des informations qui ne devraient pas l’être. Tout recours systématique à un identificateur unique et universel tel que le numéro AVS représente des risques majeurs pour la sphère privée des personnes concernées et il faut préférer l’utilisation d’un numéro sectoriel (comme cela est envisagé pour le dossier électronique du patient).

Cette année le numéro AVS sera introduit dans le registre foncier, contre l’avis du Préposé. Il sera également utilisé dans le registre du commerce, mais ne devrait pas être publiquement accessible. La révision partielle de la loi sur la radio et la télévision prévoit également un registre national de toutes les personnes enregistrées en Suisse avec leur numéro AVS, qui sera utilisé par Billag.

D’autres projets en cours pourraient également voir l’utilisation du numéro AVS, par exemple le projet de Loi fédérale relative à l’application des principes du débiteur et de l’agent payeur à l’impôt anticipé, le projet de registre national des maladies oncologiques, le projet d’échange de données personnelles entre les contrôles des habitants, la Poste et d’autres détenteurs de données, ou encore le projet d’utilisation d’un identifiant personnel administratif dans la cyberadministration. Le numéro AVS ne devrait en revanche pas être utilisé comme identifiant unique pour le dossier électronique du patient ou comme numéro d’identification fiscale (NIF).

Dans le cadre de la consultation des offices sur la Stratégie Open Governement Data, le PFPDT a recommandé que le document stratégique prévoie des procédures incluant des mesures techniques et organisationnelles afin de prévenir toute divulgation accidentelle de données personnelles.

Postfinance, CFF, Migros et Coop
Postfinance a introduit une nouvelle plateforme d’e-banking comprenant un logiciel d’analyse obligatoire afin d’assurer la planification du budget et la représentation des flux monétaires. L’analyse des transactions permet aux clients de Postfinance de recevoir des offres spéciales d’entreprises tierces sur leur page e-banking. Depuis l’intervention du PFPDT, les clients sont informés et peuvent choisir, ce qui signifie qu’aucune analyse n’est possible sans leur consentement.

Si le Conseil fédéral a abandonné l’idée d’un échange automatique d’adresses entre la Poste et les registres des habitants, il a néanmoins chargé le Département fédéral de justice et police d’examiner les solutions permettant un échange automatique d’adresses entre les différents organes publics.

Le PFPDT a vérifié les conditions d’utilisation du service de WiFi gratuit proposé par le CFF dans différentes gares. Il a constaté que le traitement des données à des fins de marketing n’était pas encore mis en œuvre. Les conditions d’utilisation étaient formulées de manière trop imprécise et ne détaillaient pas quelles données étaient utilisées à quelles fins. Par conséquent, le consentement requis pour un traitement à des fins de marketing et pour l’analyse de flux de personnes ne serait pas valable sur la base de ces conditions d’utilisation. Les conditions générales ont donc été adaptées.

En ce qui concerne les cartes clients de Migros, le PFPDT a émis une recommandation formelle selon laquelle Migros doit répondre à un client qui fait valoir son droit d’accès, dans quel segment il est classé sur la base des analyses liées aux données clients. Cette classification représente une composante centrale du traitement des données et sa communication est indispensable pour se faire une idée des critères d’analyse, évaluer leur exactitude et se comporter en conséquence. Migros a accepté la recommandation. S’agissant de Coop, la procédure de contrôle est encore en cours.

Vente aux enchères de dossiers médicaux
Le fait que les données des patients possèdent une valeur marchande a été confirmé par un office des faillites qui envisageait la vente forcée du fichier de patients d’un dentiste avec les dossiers médicaux, sans en informer les patients concernés au préalable. Cela n’est pas possible, car l’accord des patients est une condition indispensable. S’agissant de données sensibles, un consentement explicite, donné librement et après avoir été informé est nécessaire.

De manière plus générale, le Préposé rappelle qu’un médecin doit prendre des mesures techniques appropriées pour protéger les données de ses patients contre un accès non autorisé. Pour des informations médicales, la simple protection par identifiant et mot de passe ne suffit pas. Il faut faire appel à des technologies de chiffrement adaptées. En cas d’utilisation de services informatiques en nuage, seul le médecin doit avoir accès à la clé de déchiffrement.

Les assurances
Le PFPDT a constaté à plusieurs reprises que quelques assurances-maladies complémentaires n’effacent pas les données concernant la santé de personnes dont la demande d’adhésion n’a pas abouti à un contrat. Elles ont pourtant une obligation d’effacer spontanément ces données. L’assurance peut avoir un intérêt (justifié) à conserver pendant un certain temps les données d’identification du demandeur ainsi qu’une brève motivation du refus, mais en aucun cas les formulaires de demande contenant les renseignements médicaux ou d’autres informations médicales rassemblées.

En matière de procuration, des améliorations sont nécessaires. Les assurances doivent demander une nouvelle procuration pour chaque nouvel événement assuré. En effet, une procuration ne peut se référer à tous les événements futurs et une procuration standard remise à la conclusion du contrat ne serait pas valable. Elle doit au contraire nommer l’objet de la recherche, par exemple en lien avec le sinistre survenu à une date précise et limiter le traitement aux données nécessaires dans ce contexte. Celui qui transmet des données à l’assurance est responsable de vérifier, malgré la présence d’une procuration, que les données souhaitées sont requises par l’objectif visé et qu’aucun intérêt particulier prépondérant de la personne concernée ne s’oppose à une communication des données. Malheureusement les assurances n’acceptent pas que les assurés modifient la procuration et menacent immédiatement d’une réduction des prestations pour non-respect du devoir de collaboration. Dans les faits, les assurés sont obligés de signer la procuration, ce qui peut néanmoins enlever toute validité au consentement obtenu de manière contrainte.

Les caméras embarqués
Le PFPDT rappelle que l’utilisation de caméras embarquées (dashcams) contrevient en général au droit de la protection des données et qu’elles ne doivent pas être utilisées. Même si ces enregistrements peuvent avoir une certaine utilité, ils n’en demeurent pas moins problématiques car une caméra embarquée filme en continu. Le traitement de données ne se limite pas aux personnes qui sont impliquées dans un événement spécifique (par exemple un accident) ou se comportent de manière fautive, mais concerne toutes les personnes présentes dans le champ de la caméra. De plus, les personnes concernées ne savent pas qu’elles sont filmées. L’utilisation de caméras embarquées est donc contraire aux principes de transparence et de proportionnalité. A noter que cela ne se limite pas seulement aux caméras embarqués dans une voiture, mais s’applique à toutes les caméras utilisées dans l’espace publique (caméras embarqué sur un casque à ski ou à vélo, drones, etc.).

La situation pourrait être différente lorsque la caméra est enclenchée uniquement lorsque survient un accident: tous les utilisateurs de la route ne sont pas considérés comme des suspects potentiels et il n’y a pas de traitement de données à titre préventif. Si l’enregistrement est limité à un événement concret, le traitement de données pourrait être justifié par un intérêt prépondérant.

Transparence
En matière de transparence, le PFPDT a traité 85 demandes de médiation qui ont abouties à 49 recommandations. Le Préposé a rejeté le projet de nouvelles dispositions dans la Loi sur l’aviation selon laquelle les documents concernant les activités de surveillance de l’Office fédéral de l’aviation civile devraient être soustraits à la Loi sur la transparence.

Dans le cadre de l’évaluation de la Loi sur la Transparence, les évaluateurs partagent le sentiment du Préposé que le changement de paradigme régulièrement demandé depuis l’entrée en vigueur de la LTrans n’a toujours pas été mis en œuvre dans l’ensemble de l’administration fédérale et que certaines autorités s’opposent régulièrement à la transmission des documents.

Publications
Au titre des explications et autres publications du PFPDT, on peut relever les explications sur les systèmes de contrôle d’accès dans les centre de loisirs (y compris les stations de ski), les explications sur la vidéosurveillance au moyen de caméras embarquées, les explications sur les mégadonnées (big data), les explications sur le droit à l’oubli, les explications sur l’utilisation de drones, les explications sur les systèmes de localisation de personnes, les explications sur le Bring Your Own Device, les explications sur la protection des données et la recherche et un feuillet thématique sur les systèmes de contrôle d’accès aux centres de loisirs.

C’est quoi des Big Data

La notion de «Big Data» (données massives ou mégadonnées) se réfère à un ensemble de données tellement volumineux qu’il est difficile de le traiter avec les outils classiques. Il s’agit souvent de données provenant de sources diverses et qui sont enregistrées en vue de permettre leur exploitation et leur analyse sans but prédéterminé et sans limite de temps.

Deux éléments ont été déterminants dans l’apparition des Big Data. Il y a d’une part le développement d’Internet et l’augmentation du nombre d’objets connectés qui contribuent à la création de gros volumes de données et d’autre part le développement des capacités de stockage et de calcul qui permettent leur traitement à des coûts toujours plus réduits.

Les Big Data répondent en principe à quatre caractéristiques: volume, vitesse, variété et valeur.

  • Volume: les Big Data représentent de grosses quantités de données. On dit généralement que 90% des données disponibles aujourd’hui ont été créées ces deux dernières années.
  • Vitesse: les données sont générées, capturées et partagées à une vitesse toujours plus importante Les délais d’actualisation et d’analyse des données sont toujours plus courts et elles sont le plus souvent traitées en temps réel ou quasi réel.
  • Variété (ou hétérogénéité): les données analysées ne sont pas forcément structurées. Elles peuvent provenir de sources différentes (et avoir un format différent comme du texte, des images, du contenu multimédia, des traces numériques, etc.) et être combinées entre elles. Des données enregistrées dans un fichier clients interne peuvent être combinées avec des données externes provenant de réseaux sociaux, de moteurs de recherche, de feuilles d’avis officielles ou de portails de données ouvertes gérés par des autorités publiques.
  • Valeur: la dernière caractéristique est la plus-value que l’analyse des données représentent et les usages qu’il est possible d’en faire.

Quelques exemples
Les usages sont extrêmement variés. On peut citer par exemples l’analyse des mouvements de foule à l’aide des données de téléphones cellulaires pour faciliter la distribution de l’aide à la suite du tremblement de terre qui s’est produit en Haïti en 2010, l’adaptation du discours du Président Obama lors de la campagne 2012 en fonction des réactions publiées sur Twitter, ou encore l’identification de zones et d’heures dans une ville donnée où des délits seront le plus vraisemblablement commis afin de mieux affecter les ressources.

Un autre exemple célèbre est celui des magasins américains Target capables d’identifier les femmes qui attendent un enfant pour leur proposer des produits pour nourrisson. Pour cela, l’entreprise a analysé des millions de données provenant de cartes de fidélité de femmes ouvrant une liste de cadeaux de naissance. Ils ont par exemple observé qu’elles commençaient à acheter des crèmes sans parfum à environ trois mois de grossesse, et certains suppléments alimentaires à un autre stade de la grossesse. En appliquant ces critères (cumulés à d’autres) à toute sa clientèle, Target est capable d’identifier les femmes enceintes avec une efficacité redoutable.

Et la protection des données dans tout cela ?
Les Big Data posent un véritable défi à la protection des données car de nombreux principes de base sont mis en danger. Les exigences de la protection des données ne s’appliquent qu’au traitement de données personnelles, soit des données liées à une personne identifiée ou identifiable. Sont donc exclues les données anonymes. Le problème est ici que lorsque des données anonymes sont combinées à d’autres données, elles peuvent rapidement redevenir identifiables.

Des données ne peuvent être traitées que dans le but dans lequel elles ont été collectées et elles doivent être détruites une fois ce but atteint. Les Big Data reposent au contraire sur l’exploitation de données dans d’autres buts, voire dans la conservation de données pour une utilisation ultérieure éventuelle (et dans un but non encore déterminé).

La personne concernée doit consentir au traitement de ses données, y compris leur transmission à un tiers, ce qui implique une information claire et précise sur les modalités et les buts du traitement. Ces droits sont difficiles à respecter avec le traitement de Big Data. L’exactitude des données, ainsi que la garantie d’un droit d’accès peuvent aussi être problématiques.

Cela ne signifie pas pour autant que les normes de protection des données ne sont pas applicables ou qu’il faille les changer. Simplement celui qui procède à la collecte et l’analyse de Big Data doit faire preuve de bonne foi et de transparence. Il prendra également les mesures utiles pour garantir autant que possible l’anonymat des données et s’assurer de leur sécurité.

Pour aller plus loin
Préposé fédéral à la protection des données et à la transparence (Suisse), Explications relatives aux Big Data (données massives)

Commissariat général à la stratégie et à la prospective (France), Analyse des Big Data: quels usages, quels défis ?

Information Commissioner’s Office (Angleterre), Big Data and data protection

Certains termes sont couramment utilisés sans que l’on prenne vraiment le temps d’expliquer de quoi il s’agit, ce qui n’est pourtant pas inutile. Nous avons également présenté les notions de Do not track/ne me trace pas, Privacy by design/protection intégrée de la vie privée, les puces RFID, Open Data et le skimming.

Publication de photos, drones, big data et droit à l’oubli: les dernières explications du Préposé

Ces derniers jours, le Préposé fédéral à la protection des données et à la transparence (PFPDT) a publié plusieurs nouvelles explications concernant la publication de photographies, les données massives (Big Data), les drones et le droit à l’oubli.

Publication de photographies
La publication de photographies n’est pas seulement limitée par le droit d’auteur, mais également par la loi fédérale sur la protection des données. Le principe est qu’une photo ne peut être publiée qu’avec l’accord des personnes identifiables. Cela concerne aussi les photos d’archives. Un refus ou un retrait de consentement doit être respecté. Un intérêt public ou privé prépondérant ne pourra être invoqué que dans des cas limités.

Pour les photos de groupe, il n’y a pas de nombre au-delà duquel les personnes reconnaissables n’auraient plus besoin de consentir. On admet toutefois qu’une information sur le but et le lieu de publication est suffisant. En revanche, s’agissant de la photo d’une personne en particulier, le PFPDT considère que la personne concernée doit pouvoir consulter la photo avant de consentir à la publication.

En ce qui concerne les prises de vue effectuées dans l’espace public, le PFPDT recommande une approche pragmatique: si les photos sont prises au su de toutes les personnes présentes et qu’elles ne constituent pas le sujet principal (même si elles demeurent reconnaissables), il est suffisant de supprimer la photo sur demande de la personne photographiée ou de renoncer à sa publication. Il n’y a pas lieu cependant de les aborder exprès pour les informer de leurs droits.

Big Data
Dans le cadre du traitement de données massives (Big Data), la protection des données trouve application essentiellement lorsque les données ne sont pas anonymisées ou pas suffisamment anonymisées (contrairement aux apparences, une ré-identification est possible).

Pour le PFPDT, l’accent doit être mis sur le recours à des techniques et à des procédures respectueuses de la protection des données déjà lors de la phase conceptuelle. Les données massives liées à des personnes entrent en contradiction avec des principes fondamentaux de la loi sur la protection des données (LPD). Il faut notamment respecter l’assignation d’un but précis, la retenue quant à la quantité de données collectées (proportionnalité), le consentement des personnes concernées et la transparence.

Drones
Nous avions déjà abordé la question des drones. Le PFPDT rappelle que pour qu’une vidéo-surveillance (ce qu’est l’usage d’un drone muni d’une caméra) soit légale, il faut un motif justificatif. Il prend une dizaine d’exemples et indique les conditions à respecter. Par exemples:
– lors de la surveillance d’un site archéologique, des images de personnes identifiables ne peuvent être captées que si elles ont donné leur consentement ou si l’utilisation des drones s’effectue à des fins ne se rapportant pas à des personnes et les résultats sont rendus anonymes lors de la publication;
– survoler un jardin privé ou longer un bâtiment doté de fenêtres n’est licite que si le propriétaire, le locataire et les personnes qui s’y trouvent ont été informés et ont donné leur consentement;
– lorsqu’un bâtiment fait l’objet d’une vidéo-surveillance à l’aide d’un drone, un pictogramme le précisera, ainsi qu’une adresse ou un numéro de téléphone du responsable du traitement des demandes d’accès.

De plus, les principes généraux de finalité (les clichés ne peuvent être utilisés que dans le but prévu initialement), proportionnalité (on préférera un moyen qui atteint le même but en portant moins atteinte à la personnalité), de sécurité et le droit d’accès doivent être respectés.

Droit à l’oubli
Nous avons également abordé cette question récemment suite à l’arrêt de la CJUE. A juste titre, le PFPDT souligne que le droit à l’oubli n’est pas un concept nouveau mais qu’il s’agit d’une application concrète du principe de proportionnalité (le traitement des données ne doit pas dépasser la durée nécessaire à son but) ainsi que du retrait du consentement préalablement donné. Le droit à l’oubli n’est cependant pas absolu et des intérêts de tiers ou le droit à l’information peuvent s’y opposer.

Le droit à l’oubli implique des solutions à plusieurs niveaux. Au niveau juridique, c’est principalement le droit d’opposition et de rectification ainsi que le droit de demander, au besoin à un juge, que le traitement des données, notamment la communication à des tiers, soit interdit ou que les données soient rectifiées ou détruites. Au niveau technique, les principes de «privacy by design» (respect de la vie privée dès la conception) et de «privacy by default» (protection de la vie privée par défaut) devraient devenir la norme. Les administrateurs de sites Web ne devraient pas non plus indexer systématiquement et indéfiniment toutes les pages. Il importe finalement que chacun fasse des choix conscients et dans le cadre de sa participation à la vie sur le Web, arbitre entre son désir d’exposition/de visibilité et son besoin de confidentialité.

Un moteur de recherche est un responsable de traitement (maître de fichier)

Après avoir annulé la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) vient de rendre une nouvelle décision importante en matière de protection des données (arrêt de la Cour du 13 mai 2014 dans l’affaire C‑131/12, Google Spain SL et Google Inc. Contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González).

La Cour devait répondre à des questions soumises par une autorité judiciaire espagnole, qui elle-même avait à traiter de la demande d’un citoyen Espagnol qui exigeait qu’un journal local et Google retirent les liens vers deux pages sur lesquelles figurait une annonce, mentionnant son nom pour une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale. Cette saisie était conforme à la réalité au moment de la parution de l’annonce en 1998, mais elle a maintenant été réglée.

Un moteur de recherche est un responsable de traitement
Pour la Cour, il convient de constater que, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche collecte de telles données qu’il extrait, enregistre et organise par la suite dans le cadre de ses programmes d’indexation, conserve sur ses serveurs et, le cas échéant, communique à et met à disposition de ses utilisateurs sous forme de listes des résultats de leurs recherches. Il s’agit chaque fois d’un traitement de données au sens de la directive 95/46/CE. La CJUE avait d’ailleurs déjà retenu dans un arrêt Lindqvist (C‑101/01) que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement de données. Que les données aient déjà fait l’objet d’une publication sur Internet et ne soint pas modifiées par le moteur de recherche n’y change rien. On a donc deux responsables de traitement (ou responsable de fichier pour reprendre la terminologie du droit suisse) étant donné qu’il y a deux traitements différentes: celui effectué dans le cadre de l’activité du moteur de recherche et celui effectué par l’éditeur du site web (où les données sont hébergées la première fois).

La CJUE a également insisté sur le rôle décisif des moteurs de recherche qui rendent accessibles aux internautes des données qu’ils n’auraient pas trouvées autrement. L’aperçu structuré des résultats constitue en outre un profil plus ou moins détaillé de la personne concernée.

Ce raisonnement doit être suivi car un moteur de recherche fait généralement bien plus que reprendre des liens sans aucune maîtrise sur leur contenu (comme cela a pourtant parfois pu être admis). Et quand bien même ce serait le cas, l’agrégation et la mise en structure de ces données constituent un traitement de données, puisque le simple affichage de données personnelles sur une page de résultats d’une recherche est déjà un traitement de telles données.

Le rattachement territorial
Le moteur de recherche est exploité par Google Inc. (USA), la société-mère du groupe. Le groupe Google a recours à sa filiale espagnole pour la promotion des ventes d’espaces publicitaires générés sur le site web www.google.com et elle a désigné auprès de l’AEPD cette filiale comme responsable du traitement de fichiers enregistrés par Google Inc.

Pour la CJUE, Google Spain se livre à l’exercice effectif et réel d’une activité au moyen d’un établissement stable en Espagne. Il n’est pas nécessaire que le traitement de données soit effectué par l’établissement concerné lui-même, mais uniquement qu’il le soit dans le cadre des activités de celui-ci. En l’espèce, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement sont indissociablement liées. Cette approche n’est pas nouvelle et le Tribunal fédéral suisse avait déjà appliqué un raisonnement similaire dans l’affaire Google Street View.

Le droit à l’oubli
La Cour n’apporte pas vraiment de réponses sur la question du droit à l’oubli et ses limites. Elle rappelle que chacun peut obtenir du responsable du traitement, selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement viole la personnalité en raison du caractère incomplet ou inexact des données.

Même un traitement initialement licite de données exactes peut devenir, avec le temps, illicite lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé. Le traitement doit évidemment être licite durant toute la période pendant laquelle il est effectué.

Il n’y a toutefois pas de réponse absolue sur la portée du droit à l’oubli et même si en règle générale la protection des données doit prévaloir, il se peut que la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information puisse renverser la balance.

En Suisse, le Tribunal administratif fédéral (TAF) avait retenu au contraire en 2008 (ATAF208/16) que la fonction du registre du commerce s’opposait au droit à l’oubli, au vu de l’intérêt public prépondérant à la publicité de ces informations, même longtemps après leur parution dans la Feuille officielle suisse du commerce. Le TAF avait également souligné que la limite de temps imposée aux recherches en ligne dans la Feuille officielle ne s’appliquait pas aux sites privés. Cet intérêt presque perpétuel retenu par le TAF tranche singulièrement avec l’approche de la CJUE qui considère que des informations liées à une saisie 16 ans auparavant ne sont plus pertinentes au regard des finalités du traitement en cause réalisé par l’exploitant du moteur de recherche et doivent être effacées.

Les motifs justificatifs
Il faut procéder à une pesée d’intérêts entre l’intérêt de la personne à la suppression de ses données et un intérêt légitime du moteur de recherche à les traiter.

La CJUE souligne que l’atteinte se trouve démultipliée en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne (caractère ubiquitaire des informations contenues dans une liste de résultats) et que les données peuvent être répliquées facilement sur d’autres sites web (y compris dans des pays n’offrant pas les mêmes garanties légales). Les motifs justificatifs qui profitent à l’éditeur d’une page web ne sont pas forcément valables pour le moteur de recherche. L’inclusion dans la liste de résultats affichés à la suite d’une recherche effectuée à partir du nom d’une personne est susceptible de constituer une atteinte plus grande que la publication par l’éditeur de cette page web.

L’exploitant d’un moteur de recherche peut donc être obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne, même si le nom ou ces informations ne sont pas effacés de ces pages web elle-même (y compris lorsque cette publication-là serait licite).

Les conséquences concrètes
La CJUE a affirmé le rôle de responsable de traitement (maître du fichier) du moteur de recherche et son obligation de respecter les normes de protection des données. Il ne peut plus prétendre à un statut d’hébergeur sans maîtrise du contenu, ce qui pourrait le disculper lors de l’application d’autres normes juridiques. Dans le même ordre d’idées, le Tribunal fédéral a rappelé que toute personne qui participe à l’atteinte peut être tenu de la faire cesser (en cessant sa participation), même s’il n’en est pas à l’origine ni n’a commis aucune faute.

Un moteur de recherche ne pourra désormais plus présumer qu’il effectue un traitement licite de données par ce que les données personnelles proviennent d’autres sites. Il devra aussi donner suite aux demandes qui lui sont adressées au-cas par cas et vérifier s’il y a des motifs suffisants pour justifier son traitement ou s’il doit supprimer le contenu.

Reste encore la question la plus intéressante (et celle à laquelle la CJUE n’a que peu répondu), qui est celle de savoir dans quelle mesure le droit à l’oubli peut permettre à chacun de demander la suppression d’informations  (et après combien de temps), voire  si celui qui traite des données doit en tenir compte spontanément et supprimer certaines données (lesquelles ?).

Mises à jour 30 mai et 24 juillet 2014
Google et Bing ont mis en ligne des formulaires de demande de suppression de résultat de recherche au titre de la législation européenne relative à la protection des données. A noter que la Suisse figure parmi les pays concernés.