Microsoft n’a pas à transmettre au gouvernement américain les données hébergées en Europe

La Cour d’Appel du 2e Circuit est arrivée à la conclusion que le mandat accordé par un juge ne permettait pas d’obliger Microsoft Corporation (société américaine) à produire les données d’un de ses clients hébergées en Europe (Décision du 14 juillet 2016, Microsoft Corporation v. Government of the United States of America, Docket No. 14‐2985).  Cette décision est sujette à recours devant la Cour Suprême.

Le cadre de l’affaire
Dans le cadre d’un affaire de stupéfiants, un juge américain a émis un mandat («warrant») à la demande du gouvernement ordonnant à Microsoft Corporation, dont le siège est à Redmond (Etat de Washington), de produire les courriels de l’utilisateur d’une adresse @msn.com. Microsoft a remis les métadonnées (informations qui ne concernent pas le contenu) qui étaient hébergées aux USA, mais a refusé de transmettre le contenu hébergé sur les serveurs en Irlande. On ignore la nationalité et le domicile de l’utilisateur.

Les données sont en principe hébergées dans la région où le client est situé, ce qui est déterminé automatiquement en fonction du pays. Certaines données sont néanmoins toujours hébergées aux USA: des métadonnées dans un but de test et contrôle de qualité, certaines informations au sujet du carnet d’adresse de l’utilisateur et certaines informations de base comme le nom de l’utilisateur et son pays.

Pour la Cour comme pour les parties, il ne fait pas de doute que les données visées étaient bien hébergées en Irlande et qu’il aurait fallu les collecter en Irlande pour pouvoir les fournir au gouvernement américain. Microsoft a cependant admis qu’à certaines conditions, il lui était possible de télécharger les données hébergées hors USA depuis certains bureaux aux USA.

Un mandat SCA
Le mandat a été accordé sur la base du Stored Communication Act (SCA) de 1986, soit le titre II du Electronic Communications Privacy Act (ECPA). Le SCA a été adopté par le Congrès pour accorder aux documents électroniques une protection similaire à celle du IVe Amendement (exigence d’un mandat pour procéder à une perquisition).

Le SCA ne contient aucune mention d’une application extraterritoriale. Quant à la compétence de délivrer un mandat, elle permet au juge d’un district de délivrer un mandat qui devra être exécuté dans d’autres districts (mais elle ne mentionne pas d’autres pays).

La Cour mentionne une décision de 1983 dans la cause Marc Rich où elle avait admis qu’un Grand Jury pouvait, sur la base d’une assignation («subpoena»), exiger la production par le défenseur de documents qu’il détenait à l’étranger (en l’occurrence en Suisse). Si la Cour considère qu’il est justifié d’obliger une partie à produire des documents qu’elle détient à l’étranger dans un cause qui a des effets aux USA, il en va différemment lorsque les documents sont confiés à un tiers qui est le destinataire de la demande. Au surplus, la Cour Suprême a eu l’occasion de confirmer qu’un client ne peut pas se prévaloir d’un intérêt digne de protection s’agissant des dossiers concernant ses comptes (il s’agit de documents de la banque et non de papiers privés).

Etant arrivée à la conclusion qu’un mandat basé sur le SCA ne permet pas d’obtenir de Microsoft Corporation la production de données hébergées en Irlande, la Cour devait encore vérifier si le SCA ne permettait pas d’obtenir les données sans mandat. Elle a considéré que le but même du SCA était de protéger la sphère privée des utilisateurs et qu’en accédant aux courriels en Irlande depuis les USA, Microsoft Corporation devrait agir depuis les USA et était donc soumis au droit américain (et qui donc exige un mandat). Il n’est donc pas possible de considérer que la protection du SCA ne s’applique pas à la transmission des données par une société aux USA, même si les données sont initialement à l’étranger.

Le lieu du serveur
Cette décision permet donc à un client, y compris américain, de choisir que ses données seront hébergées à l’étranger et soustraites au gouvernement américain. Ce sont les termes du contrat entre client et fournisseur qui indirectement posent les limites à l’accès de l’Etat. Le lieu du serveur est d’une certaine manière plus importante que le lieu du siège de la société. Dans ce cas précis, la Cour a posé des limites strictes à l’application extraterritoriale du droit américain. Ces limites ne découlent pas du principe que le droit américain ne doit pas s’appliquer hors des USA, mais simplement que ce n’était pas le but visé par cette loi en particulier.

Cela ne signifie pas pour autant que le gouvernement américain ne peut pas obtenir ces données, mais simplement qu’il doit construire sa demande sur une autre loi, par exemple un traité d’entraide judiciaire. Il est aussi imaginable que le Congrès modifie le SCA pour permettre à un mandat de viser des données hébergées à l’étranger.

Finalement un simple choix commercial du fournisseur de modifier l’emplacement de ses serveurs ou de réorganiser les allocations au sein de ses différents serveurs pourrait aussi exposer le client.

Responsabilité civile des fournisseurs de services Internet

Dans son rapport intitulé «Cadre juridique pour les médias sociaux»  publié à l’automne 2013, le Conseil fédéral confirmait que le droit suisse ne présente pas de lacunes importantes et rappelle que même s’il n’y a pas une loi particulière pour les réseaux sociaux ou Internet, il ne s’agit pas d’une zone de non-droit. Parmi les questions ouvertes, il y avait celle de la responsabilité civile des intermédiaires, en particulier des fournisseurs de services qui permettent l’accès à un réseau et à des contenus. Encore une fois, le Conseil fédéral est arrivé à la conclusion qu’il n’est pas nécessaire, dans les conditions actuelles, d’édicter des dispositions de portée générale sur la responsabilité des fournisseurs.

Distinguer cessation d’une atteinte et responsabilité pour le dommage
Le Rapport du Conseil fédéral du 11 décembre 2015 sur la responsabilité civile des fournisseurs de services Internet dresse un panorama assez complet des dispositions légales applicables en distinguant les actions défensives (prévention et cessation d’une atteinte) des actions en réparation (paiement d’un dommage intérêt y compris tort-moral et remise de gain) dans les domaines de la protection de la personnalité, de la protection des données, de la concurrence déloyale et de la propriété intellectuelle. Une partie importante est consacrée au droit étranger, en particulier avec un avis de droit de l’Institut suisse de droit comparé consacré à la situation en Allemagne, France, Danemark, Royaume-Uni et États-Unis d’Amérique.

Le rapport présente un état de la situation et n’apporte malheureusement guère de réponses lorsque la doctrine est partagée. Ce sera bien aux tribunaux de trancher, même si l’on constate qu’il y a encore peu de jurisprudence. Les affaires les plus importantes ont d’ailleurs déjà été abordées sur ce blog comme l’arrêt «Tribune de Genève» du Tribunal fédéral, l’arrêt jurassien «Google Suggest» ou l’arrêt «Delfi» de la Cour européenne des droits de l’Homme.

Le Conseil fédéral considère que le droit en vigueur fournit d’ores et déjà aux tribunaux les instruments nécessaires pour écarter une légitimation passive dans le cas où la participation à l’atteinte n’est pas dans un lien de causalité adéquate, ce qui serait selon lui le cas pour les fournisseurs d’accès. Ce dernier point est à mon avis discutable.

Des mesures spécifiques seront examinées dans le cadre de la révision du droit d’auteur et une mesure de blocage est aussi prévue dans le projet de loi fédérale sur les jeux d’argent pour les offres de jeux d’argent enregistrées à l’étranger.

S’agissant de la responsabilité à l’égard des contenus mis en ligne, le critère déterminant est celui de la proximité du fournisseur avec le contenu. Un manque de diligence ne devrait être reproché au fournisseur d’hébergement que s’il est resté inactif après avoir reçu des indications précises d’une violation flagrante du droit et s’il n’a pas pris les mesures que l’on pouvait attendre de lui. Si le fournisseur n’a reçu aucune indication, une obligation spontanée ne devrait être retenue que pour les fournisseurs proches du contenu, comme les portails d’actualités ou les hébergeurs de forums et de blogs, et si des atteintes paraissent probables compte tenu des circonstances particulières.

Droit à connaître l’identité de l’auteur
Contrairement à la procédure pénale où une procédure peut être ouverte contre inconnu, cette possibilité n’existe pas en droit civil, d’où l’intérêt de pouvoir faire cesser toute atteinte par un participant même s’il n’en est pas l’auteur ou le responsable. Lorsque la commission par Internet d’un acte punissable est suspectée, les autorités de poursuites pénales ont la possibilité d’obtenir des fournisseurs de services de télécommunication et des fournisseurs de services de communication dérivés toute indication permettant d’identifier son auteur.

L’utilisation de la procédure pénale dans le seul but de bénéficier de la levée du secret des télécommunications pour connaître l’auteur de l’infraction en vue d’une procédure civile a été considéré comme un abus de droit dans les affaires Logistep. Le Conseil fédéral ne propose cependant pas de solution générale pour résoudre ce problème considérant qu’il n’est pas propre aux infractions commises sur Internet. S’agissant du droit d’auteur, des mesures seront étudiées séparément.

Le Préposé s’écarte du Safe Harbor suisse

Par une modification non datée sur son site Web, vraisemblablement le 22 octobre 2015, le PFPDT indique que «tant que la Suisse n’a pas renégocié un nouvel accord avec le gouvernement américain, l’accord «U.S.-Swiss Safe Harbor Framework» ne constitue plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD)».

Cette analyse n’est pas incohérente avec la décision de la CJUE, mais elle est surprenante pour plusieurs raisons :

  • elle a lieu au travers d’une modification du site web ;
  • le PFPDT n’a apparemment pas dénoncé l’accord qui demeure juridiquement valable ;
  • aucune décision judiciaire n’a été rendue ;
  • ce changement de position entre immédiatement en vigueur, alors que l’état de la législation américaine et les conditions de l’accord sont connues depuis longtemps.

Le PFPDT demande aux entreprises concernées de convenir de garanties contractuelles au sens de l’art. 6 al. 2 lit. a LPD d’ici fin janvier 2016, bien qu’il admette que ces clauses standards ne règlent pas le problème d’accès disproportionnés des autorités (soit la raison principale pour laquelle le transfert est illégal).

Il recommande finalement d’informer les personnes concernées lorsque les autorités US accèdent (concrètement) aux données.

Commentaire
Pour les individus concernés, on peut se réjouir que le PFPDT suive le mouvement européen et veuille exiger des USA plus de garanties.

En revanche, les entreprises suisses sont mises dans une situation difficile alors que rien n’obligeait le PFPDT à prendre cette décision aujourd’hui, sans avoir de solution de rechange à proposer.

Il admettait jusqu’à présent que le transfert sur la base du Safe Harbor était légale. C’est sur ses recommandations que de nombreuses entreprises ont pris la décision d’y recourir. Alors que la situation américaine n’a pas changé ces derniers mois, il déclare soudainement que le transfert est illégal. Les moyens de rechange proposés pourraient d’ailleurs bien être déclarés insuffisants par un tribunal, ce qui signifie que les maîtres de fichiers suisses doivent trouver une solution alors que le PFPDT (et ses homologues européens) n’en n’ont pas.

Affaire à suivre…

La CJUE annule le Safe Harbor, et en Suisse?

Dans une nouvelle décision majeure pour la protection des données, la Cour de justice de l’Union Européenne (CJUE) a invalidé la décision par laquelle la Commission européenne avait admis que les entreprises américaines ayant adhéré au Safe Harbor assurent un niveau de protection suffisant des données à caractère personnel européennes qui leur étaient transférées. Cette décision du 6 octobre 2015 fait suite à la demande de Max Schrems adressée à l’autorité irlandaise de protection des données de vérifier la légalité du transfert des données personnelles par Facebook de l’Irlande vers les USA.

Des données personnelles peuvent être transmises (et traités) dans un pays tiers s’il offre un niveau de protection adéquat. C’est le cas pour les pays de UE et la Suisse. Dans les autres cas, des garanties supplémentaires sont nécessaires. Elles peuvent prendre la forme de clauses contractuelles (entre l’exportateur et l’importateur), parfois le consentement des personnes concernées, où encore l’adhésion au Safe Harbor.

Le Safe Harbor est un accord conclu entre l’UE et les USA qui prévoit un certain nombre de principes que les sociétés américaines qui choisissent de s’y soumettre s’engagent à respecter. Un contrôle est exercé par la FTC américaine. Le transfert de données vers ces sociétés était automatiquement considéré comme adéquat, alors qu’il ne l’est en principe pas vers les USA (en l’absence de garanties contractuelles spécifiques, consentement de la personne concernée, etc.).

La CJU a considéré premièrement que la Commission européenne ne pouvait pas retirer le pouvoir des autorités nationales de protection des données d’examiner la légalité d’un transfert international de données personnelles. Deuxièmement, elle retient que le cadre juridique actuel aux USA permet à l’Etat d’accéder de manière massive et indiscriminée aux données personnelles. Le Safe Harbor ne soustrait évidemment pas les entreprises américaines à leur devoir de respecter le cadre légal de leur pays.

Quelles conséquences ?
Le transfert de données sur la base de l’US-EU Safe Harbor n’est plus légal. Le Groupe de l’article 29 qui réunit les autorités européennes de protection des données a laissé un délai de grâce de trois mois aux législateurs et entreprises pour trouver une solution. Des garanties contractuelles (contrats-types notamment) peuvent toujours être utilisées.

La CJUE ne devait se prononcer que sur les questions qui lui étaient posées et qui concernaient la validité du Safe Harbor. Elle a cependant confirmé que c’est bien le cadre légal américain qui est problématique. Il n’est pourtant pas possible d’y déroger par contrat et à l’issue du délai de trois mois on peut s’attendre à ce que les autorités de protection des données interdisent tout transfert aux USA, indépendamment du cadre juridique choisi. Une telle solution n’est pratiquement pas envisageable et tant l’Europe que les USA ont intérêts à trouver un accord rapidement.

Et en Suisse ?
La Suisse a un accord séparé avec les USA et n’est pas membre de l’Union européenne. Elle n’est pas concernée par la décision de la CJUE et le US-Swiss Safe Harbor est toujours parfaitement valable. Le PFPDT a néanmoins déjà indiqué qu’un nouvel accord ne pourrait que être coordonné avec l’UE. Ainsi au regard du droit suisse le transfert demeure légal. Il pourrait cependant être interdit par un juge qui serait saisi d’une demande dans un cas d’espèce. Il n’y a guère de raisons pour qu’un tribunal suisse aboutisse à un raisonnement différent.

Le PFPDT pourrait aussi déclarer que le US-Swiss Safe Harbor n’offre pas un niveau de protection adéquat. Etant donné qu’il l’a lui-même signé (contrairement à l’UE où c’était la Commission et non les autorités nationales), cela semble plus délicat. De plus, autant que les raisons qui ont justifié la décision de la CJUE sont connues depuis plusieurs années et le PFPDT aurait aussi pu agir plus tôt.

Que faut-il faire ?
La situation est très incertaine. Les transferts depuis l’Europe ne peuvent plus être justifiés par le Safe Harbor et il convient de le remplacer par un accord contractuel. En Suisse cela n’est pas nécessaire.

Dans le cas de nouveaux transferts, on évitera de recourir au Safe Harbor. Finalement, les entreprises devraient vérifier sur quelles bases elles communiquent des données à l’étranger afin d’être en mesure de réagir rapidement en cas de modifications du cadre légal. C’est aussi l’occasion de s’assurer que les conditions de délégation du traitement sont bien réglées.

Même si le maître du fichier reste responsable du traitement, il serait particulièrement sévère de lui reprocher de s’être fié aux recommandations de l’autorité compétente. Dans tous les cas, une solution politique et pragmatique devra être apportée rapidement et il faut rester attentif aux évolutions à venir.

Voir également: Le Préposé s’écarte du Safe Harbor suisse

Le séquestre de courriers électroniques chez le fournisseurs de télécommunications

Pour le tribunal fédéral (ATF 140 IV 181), les courriels qu’un prévenu a relevés sur le serveur du fournisseur de service de télécommunication peuvent être séquestrés chez le fournisseur, alors que ceux qui n’ont pas encore été relevés peuvent faire l’objet d’une surveillance en temps réel. Le secret de la correspondance disparaît dès que les courriels sont relevés, même s’ils restent accessibles sur le serveur et qu’ils n’ont pas été lus.

Séquestre ou surveillance de la correspondance ?
Un homme est accusé de meurtre et sa correspondance électronique contient des éléments nécessaires à l’enquête. La question qui se pose est de savoir quelle mesure (et donc quelles conditions) s’applique dans ce cas. De manière générale, lorsqu’une autorité pénale souhaite accéder à la correspondance électronique d’un prévenu, trois possibilités s’offrent à elle :

  • Le séquestre (263 CPP), qui permet de saisir les objets et valeurs patrimoniales appartenant au prévenu ou à des tiers lorsqu’il est probable qu’ils seront utilisés comme moyens de preuves. S’ils sont détenus par un tiers, ce dernier est soumis à une obligation de dépôt. Le prévenu est informé du séquestre par une ordonnance du ministère public.
  • La surveillance en temps réel (269 CPP) des télécommunications qui peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’une infraction contenue dans la liste de l’art. 269. al. 2 CPP a été commise et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. La surveillance porte sur le contenu et les données accessoires.
  • La surveillance rétroactive (273 CPP) qui se limite aux données relatives au trafic et à la facturation et identification des usagers (données accessoires). Elle peut être ordonnée par le ministère public lorsque de graves soupçons laissent présumer qu’un crime, un délit ou une contravention au sens de l’art. 179septies CP a été commis et que cette mesure est proportionnée. Elle doit être autorisée par le tribunal des mesures de contraintes. Cette mesure est secrète mais le prévenu peut ensuite la contester dans les 10 jours suivant son information. Il n’y a pas de surveillance rétroactive du contenu des courriels et les données accessoires peuvent être demandées avec effet rétroactif sur une période de six mois au plus.

Les limites du secret des télécommunications
La sphère privée de l’utilisateur est protégée par le secret des télécommunications qui s’applique durant le processus de communication. Ainsi un courrier postal est protégé pendant l’envoi, mais plus une fois qu’il est remis à son destinataire. On considère qu’il y a remise également lors du dépôt dans la boîte aux lettres du destinataire puisque l’on est dans sa sphère de maîtrise et que le fournisseur n’y a plus accès. Dans le cas d’une case postale, la maîtrise est partagée et le secret se prolonge jusqu’à ce que le destinataire accède à la case. Pour que l’autorité puisse obtenir le courrier qui est dans la boîte aux lettres (ou dans la case postale si le destinataire l’a ouverte et a choisi de l’y laisser), on appliquera les règles du séquestre, alors que pour le courrier dans la case non ouverte, ce sera celles de la surveillance de la correspondance (en temps réel).

Critique
L’analogie avec la case postale a ses limites en raison de l’ubiquité des données électroniques. Premièrement, relever un courriel ne signifie pas, selon le protocole utilisé, qu’il n’est plus sur le serveur. Le protocole POP3 généralement se connecte au serveur de messagerie, récupère le message et l’efface du serveur. En revanche, le protocole IMAP laisse les courriels sur le serveur dans le but de pouvoir les consulter de différents clients de messagerie. Pour le TF, celui qui utilise le protocole IMAP, pourtant très répandu car il permet d’accéder à sa messagerie depuis un téléphone et un ordinateur par exemple, renonce de fait à la protection du secret de la correspondance pour tous les messages qu’il a reçu.

Deuxièmement, lorsqu’un message est partiellement téléchargé, par exemple lorsqu’il est automatiquement poussé («push») sur un téléphone portable mais que seuls l’expéditeur et l’objet sont affichés (le corps du message étant encore exclusivement sur le serveur), le TF considérera-t-il qu’il est déjà entièrement dans la sphère du destinataire ?

Troisièmement, le TF retient que la consultation des messages déposés (mais pas encore relevés) dans la boîte électronique est une surveillance en temps réel et non rétroactive (ce qui permet l’accès au contenu). Sachant que les messages peuvent avoir été déposés plusieurs semaines auparavant, on peut se demander si l’on n’aurait pas déjà dû considérer que ce qui est arrivé dans la boîte est soumis à une surveillance rétroactive.

A mon avis, il aurait certainement été plus simple de considérer que toute acquisition directement chez le fournisseur est une surveillance des télécommunications, par opposition à l’acquisition chez le prévenu qui serait un séquestre. Cela éviterait aussi au ministère public de devoir savoir à l’avance si le prévenu a déjà relevé ou non un message qu’il souhaite obtenir et au fournisseur de séparer les messages sur le serveur qui ont déjà été relevés de ceux qui ne l’ont pas été (ce qui est une question indépendante de savoir s’ils sont marqués comme lus ou non lus!). Aux Etats-Unis, le Stored Communications Act prévoit un régime différent selon que les messages ont plus ou moins 180 jours, ce qui offre au moins un critère objectif.

La neutralité du Net

La question de la neutralité des réseaux n’a pas suscité de grands débats en Suisse jusqu’à présent, contrairement aux USA ou en Europe. L’Office fédéral de la communication (OFCOM) vient pourtant de rendre un premier rapport.

De quoi s’agit-il ?
Le principe de neutralité du Net est un principe de non-discrimination qui régit le fonctionnement d’Internet depuis son origine: chacun doit avoir accès au même Internet. Cette règle empêche le fournisseur d’accès à Internet (FAI) de sélectionner les contenus auxquels son client peut accéder ou en favoriser certains. Selon ce principe, le FAI ne peut pas limiter la vitesse à laquelle sont transmis les paquets de données sur le réseau ou limiter l’accès à certain sites ou services. Le fournisseur d’accès doit rester neutre et se contenter de mettre à disposition le conduit qui permet d’accéder aux services. Il ne doit pas élargir ce conduit (et augmenter le débit) pour favoriser des sites qu’il soutient (les siens par exemple) ou réduire, voire fermer ce conduit pour les sites qu’il n’aime pas (ses concurrents par exemple). En revanche, le fournisseur peut évidemment limiter de manière neutre le débit maximal ou le volume de données compris dans un abonnement. Mais ce volume de données ne doit pas être réservé à certains sites ou services.

Pas de réponse, mais le début d’une discussion
A ce jour, il n’y a en Suisse guère de règle qui interdit à un FAI de limiter ou dégrader la qualité de certains services. La loi sur les télécommunications ne contient pas d’obligations autres que celle pour le titulaire de la concession de service universel (actuellement Swisscom), d’assurer un service téléphonique public qui inclut la transmission de données faisant appel à des débits compatibles avec les voies de transmission de la parole. Le Conseil fédéral pourrait cependant, par voie d’ordonnance, obliger les fournisseurs à publier des informations précises sur la qualité du service fourni.

Le rapport de l’OFCOM a pour objectif de poser des bases de discussion sur la neutralité des réseaux en Suisse. Il présente le fonctionnement d’Internet, la situation en Suisse et à l’étranger. Il retient que la question de savoir à quel point il est nécessaire et opportun de traiter toutes les données de la même manière est controversée. Certains considèrent qu’il faut laisser les fournisseurs gérer le réseau et définir leurs produits, alors que d’autres demandent un traitement équitable de toutes les données. Le rapport présente les différents arguments et les prises de position adoptées par différents groupes d’intérêts. Le Conseil fédéral donnera son point de vue dans un rapport à venir sur le marché des télécommunications.

Malheureusement, le rapport ne contient pas d’état de la situation actuelle en Suisse. Des indications chiffrées sont toutefois données globalement pour 32 pays européens (dont la Suisse). Il en ressort que la majorité des FAI ne prennent pas de mesures d’exclusion ou de limitation de certains services (notamment P2P ou VoIP). Ces limitations ou restrictions touchent toutefois plus de 20% des abonnés lors de l’utilisation de connections paires-à-paires (P2P) dépassent le 20% sur les réseaux fixes et 27% sur les réseaux mobiles. Près d’un utilisateur sur deux subit également des restrictions à l’utilisation de la téléphonie sur IP (VoIP) au moyen de son abonnement mobile.

Un moteur de recherche est un responsable de traitement (maître de fichier)

Après avoir annulé la directive 2006/24/CE sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications le 8 avril 2014, la Cour de justice de l’Union européenne (CJUE) vient de rendre une nouvelle décision importante en matière de protection des données (arrêt de la Cour du 13 mai 2014 dans l’affaire C‑131/12, Google Spain SL et Google Inc. Contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González).

La Cour devait répondre à des questions soumises par une autorité judiciaire espagnole, qui elle-même avait à traiter de la demande d’un citoyen Espagnol qui exigeait qu’un journal local et Google retirent les liens vers deux pages sur lesquelles figurait une annonce, mentionnant son nom pour une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale. Cette saisie était conforme à la réalité au moment de la parution de l’annonce en 1998, mais elle a maintenant été réglée.

Un moteur de recherche est un responsable de traitement
Pour la Cour, il convient de constater que, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche collecte de telles données qu’il extrait, enregistre et organise par la suite dans le cadre de ses programmes d’indexation, conserve sur ses serveurs et, le cas échéant, communique à et met à disposition de ses utilisateurs sous forme de listes des résultats de leurs recherches. Il s’agit chaque fois d’un traitement de données au sens de la directive 95/46/CE. La CJUE avait d’ailleurs déjà retenu dans un arrêt Lindqvist (C‑101/01) que l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un traitement de données. Que les données aient déjà fait l’objet d’une publication sur Internet et ne soint pas modifiées par le moteur de recherche n’y change rien. On a donc deux responsables de traitement (ou responsable de fichier pour reprendre la terminologie du droit suisse) étant donné qu’il y a deux traitements différentes: celui effectué dans le cadre de l’activité du moteur de recherche et celui effectué par l’éditeur du site web (où les données sont hébergées la première fois).

La CJUE a également insisté sur le rôle décisif des moteurs de recherche qui rendent accessibles aux internautes des données qu’ils n’auraient pas trouvées autrement. L’aperçu structuré des résultats constitue en outre un profil plus ou moins détaillé de la personne concernée.

Ce raisonnement doit être suivi car un moteur de recherche fait généralement bien plus que reprendre des liens sans aucune maîtrise sur leur contenu (comme cela a pourtant parfois pu être admis). Et quand bien même ce serait le cas, l’agrégation et la mise en structure de ces données constituent un traitement de données, puisque le simple affichage de données personnelles sur une page de résultats d’une recherche est déjà un traitement de telles données.

Le rattachement territorial
Le moteur de recherche est exploité par Google Inc. (USA), la société-mère du groupe. Le groupe Google a recours à sa filiale espagnole pour la promotion des ventes d’espaces publicitaires générés sur le site web www.google.com et elle a désigné auprès de l’AEPD cette filiale comme responsable du traitement de fichiers enregistrés par Google Inc.

Pour la CJUE, Google Spain se livre à l’exercice effectif et réel d’une activité au moyen d’un établissement stable en Espagne. Il n’est pas nécessaire que le traitement de données soit effectué par l’établissement concerné lui-même, mais uniquement qu’il le soit dans le cadre des activités de celui-ci. En l’espèce, le traitement de données est fait pour les besoins du moteur de recherche exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre. Il est donc effectué dans le cadre des activités de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par le moteur de recherche. Les activités de l’exploitant du moteur de recherche et celles de son établissement sont indissociablement liées. Cette approche n’est pas nouvelle et le Tribunal fédéral suisse avait déjà appliqué un raisonnement similaire dans l’affaire Google Street View.

Le droit à l’oubli
La Cour n’apporte pas vraiment de réponses sur la question du droit à l’oubli et ses limites. Elle rappelle que chacun peut obtenir du responsable du traitement, selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement viole la personnalité en raison du caractère incomplet ou inexact des données.

Même un traitement initialement licite de données exactes peut devenir, avec le temps, illicite lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé. Le traitement doit évidemment être licite durant toute la période pendant laquelle il est effectué.

Il n’y a toutefois pas de réponse absolue sur la portée du droit à l’oubli et même si en règle générale la protection des données doit prévaloir, il se peut que la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information puisse renverser la balance.

En Suisse, le Tribunal administratif fédéral (TAF) avait retenu au contraire en 2008 (ATAF208/16) que la fonction du registre du commerce s’opposait au droit à l’oubli, au vu de l’intérêt public prépondérant à la publicité de ces informations, même longtemps après leur parution dans la Feuille officielle suisse du commerce. Le TAF avait également souligné que la limite de temps imposée aux recherches en ligne dans la Feuille officielle ne s’appliquait pas aux sites privés. Cet intérêt presque perpétuel retenu par le TAF tranche singulièrement avec l’approche de la CJUE qui considère que des informations liées à une saisie 16 ans auparavant ne sont plus pertinentes au regard des finalités du traitement en cause réalisé par l’exploitant du moteur de recherche et doivent être effacées.

Les motifs justificatifs
Il faut procéder à une pesée d’intérêts entre l’intérêt de la personne à la suppression de ses données et un intérêt légitime du moteur de recherche à les traiter.

La CJUE souligne que l’atteinte se trouve démultipliée en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne (caractère ubiquitaire des informations contenues dans une liste de résultats) et que les données peuvent être répliquées facilement sur d’autres sites web (y compris dans des pays n’offrant pas les mêmes garanties légales). Les motifs justificatifs qui profitent à l’éditeur d’une page web ne sont pas forcément valables pour le moteur de recherche. L’inclusion dans la liste de résultats affichés à la suite d’une recherche effectuée à partir du nom d’une personne est susceptible de constituer une atteinte plus grande que la publication par l’éditeur de cette page web.

L’exploitant d’un moteur de recherche peut donc être obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web publiées par des tiers et contenant des informations relatives à cette personne, même si le nom ou ces informations ne sont pas effacés de ces pages web elle-même (y compris lorsque cette publication-là serait licite).

Les conséquences concrètes
La CJUE a affirmé le rôle de responsable de traitement (maître du fichier) du moteur de recherche et son obligation de respecter les normes de protection des données. Il ne peut plus prétendre à un statut d’hébergeur sans maîtrise du contenu, ce qui pourrait le disculper lors de l’application d’autres normes juridiques. Dans le même ordre d’idées, le Tribunal fédéral a rappelé que toute personne qui participe à l’atteinte peut être tenu de la faire cesser (en cessant sa participation), même s’il n’en est pas à l’origine ni n’a commis aucune faute.

Un moteur de recherche ne pourra désormais plus présumer qu’il effectue un traitement licite de données par ce que les données personnelles proviennent d’autres sites. Il devra aussi donner suite aux demandes qui lui sont adressées au-cas par cas et vérifier s’il y a des motifs suffisants pour justifier son traitement ou s’il doit supprimer le contenu.

Reste encore la question la plus intéressante (et celle à laquelle la CJUE n’a que peu répondu), qui est celle de savoir dans quelle mesure le droit à l’oubli peut permettre à chacun de demander la suppression d’informations  (et après combien de temps), voire  si celui qui traite des données doit en tenir compte spontanément et supprimer certaines données (lesquelles ?).

Mises à jour 30 mai et 24 juillet 2014
Google et Bing ont mis en ligne des formulaires de demande de suppression de résultat de recherche au titre de la législation européenne relative à la protection des données. A noter que la Suisse figure parmi les pays concernés.