Le droit à l’oubli : l’anonymat sur internet est il possible ?

(article écrit le 25 janvier 2010)

Un sondage IPSOS, commandé par la CNIL en octobre 2008, indiquait que 71% des français jugent insuffisante la protection des données individuelles sur Internet.

La croissance de ce taux est à mettre en relief avec le développement des nouvelles technologies et des nouvelles fonctionnalités d’Internet. Ces dernières impliquent pour l’internaute de fournir de plus en plus de données personnelles. Ces informations sont aujourd’hui très convoitées, que ce soit pour des objectifs commerciaux ou pour nuire.

Le profilage des internautes et son défaut d’anonymisation, associé à la diffusion mais aussi au stockage de ces données en inquiète certains. Les opinions, prises de position, erreurs passées, ou autres éléments de la vie privée d’une personne sont visibles sur Internet et sont susceptibles de lui être préjudiciable.

Les données numériques sont impalpables, c’est à la fois leur force et leur faiblesse. Leur suppression ne peut pas être contrôlée facilement et le respect de la vie privée des internautes est susceptible d’en souffrir sans vraiment qu’ils s’en rendent compte à temps.

Ces données représentent une véritable richesse pour ceux qui savent les exploiter. De nombreuses entreprises ont su optimiser leur potentiel à tel point que ces données participent aujourd’hui très activement à l’économie numérique. Compilées puis exploitées en base de données ou bien analysées pour profiler au mieux les destinataires de certains services, ces données ont une valeur, et c’est ce qui explique qu’elles sont aussi convoitées par des tiers peu scrupuleux.

S’il est à l’heure actuelle difficile de garder ces informations sous contrôle, il convient, au-delà de l’encadrement des données personnelles, de concrétiser l’idée d’un droit à l’oubli. Permettre aux internautes d’évoluer sereinement, sans craindre de se voir reprocher un évènement du passé.

Ce droit à l’oubli est reconnu et fonde une partie de l’arsenal juridique mis à disposition. Il reste cependant imparfait et fait l’objet de propositions visant à le rendre plus efficace.

I – La reconnaissance du droit à l’oubli

A – Les enjeux d’une telle reconnaissance

« L’homme numérique doit pouvoir compter sur la loi pour faire effacer des données sur le NET qui pourraient être attentatoires à son intégrité morale, à sa liberté individuelle, à celle de sa famille, qui limiteraient ou tenteraient d’influencer ses activités privées, publiques ou professionnelles ».

Cette mise en garde du chercheur Denis Ettighoffer (Denis Ettighoffer, « Les droits de l’homme numérique », Net Eco) synthétise tous les risques auxquels est exposé l’internaute qui se verrait reprocher certaines données passées le concernant.

Alex Türk, Président de la CNIL, explique que le stockage des données est une « bombe à retardement », notamment dans le domaine du recrutement ; les employeurs vérifient de plus en plus les données disponibles en ligne avant d’embaucher leur personnel : en 2009, ils étaient 49% à le faire, contre 22% en 2008. Si les réseaux sociaux permettent de cibler les bonnes compétences et de favoriser la diversité des profils, une étude américaine menée auprès des DRH laissent apparaître que ces réseaux ont tendance à jouer en la défaveur des candidats puisque 35% des DRH ont reconnu ne pas avoir embauché un candidat suite à ce qu’ils y avaient trouvé et qu’à l’inverse, seuls 18% s’étaient laissés convaincre de le recruter de cette manière (Béatrice Héraud, Novethic).

De la même façon, comment éviter qu’un bailleur refuse de louer un appartement à un jeune professionnel quand il aura trouvé sur lui des  preuves d’une vie étudiante agitée, mais aujourd’hui révolue ?

C’est là tout l’enjeu du problème. Garantir à l’individu d’évoluer comme il le ferait sans l’existence d’Internet et de la diffusion des informations stockées le concernant. Comme le souligne Alex Türk, l’enjeu est de « retraduire [électroniquement] une fonction naturelle, l’oubli, qui fait que la vie est supportable ».

Si nous sommes irrévocablement liés par ce que nous avons pu dire ou faire dans le passé, les plus pessimistes estiment ne pas vraiment être libres de faire ce que qu’ils veulent puisqu’ils pensent rester englués dans une posture qui n’est plus celle qu’ils veulent refléter.  Il en va, pour tous, de la protection de la liberté d’expression et de la liberté de pensée, mais aussi du droit de changer d’avis, de commettre des erreurs de jeunesse, puis de changer de vie. « Le droit de se contredire et de s’en aller ».

Des solutions ont alors été érigées de manière à protéger l’individu contre les autres et contre lui-même, contre celui qu’il a été.

B – La combinaison d’un arsenal juridique et technique

La reconnaissance du droit à l’oubli ne peut se faire qu’à travers le respect des lois et sa traduction pratique par des moyens techniques.

« Les lois européennes sont claires. On ne peut utiliser les informations personnelles d’un individu sans son consentement préalable ». Le principe est posé par Viviane Reding, commissaire européenne chargée de la Société de l’information et des Médias.

A l’échelon européen, un des éléments importants de la directive du 24 octobre 1995 (directive 95/46/CE) sur la protection de la vie privée est que les responsables de fichiers ne doivent pas conserver des données personnelles au-delà de la période nécessaire à leur traitement. Par exemple, les fournisseurs d’accès ne doivent pas stocker pendant plus d’un an les adresses IP de leurs clients.

Certains articles concourent ainsi à l’institution d’un droit à l’oubli. Les bases du traitement de données sont en effet conçues de manière à limiter la collecte et la dispersion des informations, à responsabiliser les personnes à l’origine du traitement, et à permettre aux intéressés de contrôler le sort des données qui les concernent.

  • C’est ainsi que l’article 6 de la directive limite la conservation de ces informations à une durée raisonnable (« n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement »).
  • L’article 12 institue pour les intéressés et de la part du responsable du traitement, le droit à :
    • la communication, sous une forme intelligible, des données faisant l’objet des traitements, ainsi que de toute information disponible sur l’origine des données ;
    • selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données;
    • la notification aux tiers auxquels les données ont été communiquées de toute rectification, tout effacement ou tout verrouillage effectué conformément au point b), si cela ne s’avère pas impossible ou ne suppose pas un effort disproportionné.
  • L’article 14 garantit à la personne intéressée le droit de :
    • s’opposer, sur demande et gratuitement, au traitement des données à caractère personnel la concernant envisagé par le responsable du traitement à des fins de prospection, ou,
    • d’être informée avant que des données à caractère personnel ne soient pour la première fois communiquées à des tiers ou utilisées pour le compte de tiers à des fins de prospection et de se voir expressément offrir le droit de s’opposer, gratuitement, à ladite communication ou utilisation.
  • L’article 17 impose aux Etats-membres de participer de veiller au bon déroulement de la collecte, puisque :
    • Les États membres prévoient que le responsable du traitement doit mettre en œuvre les mesures techniques et d’organisation appropriées pour protéger les données à caractère personnel contre la destruction accidentelle ou illicite, la perte accidentelle, l’altération, la diffusion ou l’accès non autorisés, notamment lorsque le traitement comporte des transmissions de données dans un réseau, ainsi que contre toute autre forme de traitement illicite.
    • Les États membres prévoient que le responsable du traitement, lorsque le traitement est effectué pour son compte, doit choisir un sous-traitant qui apporte des garanties suffisantes au regard des mesures de sécurité technique et d’organisation relatives aux traitements à effectuer et qu’il doit veiller au respect de ces mesures

Avec cette directive, le droit à l’oubli numérique devrait donc pouvoir être appliqué dans les 27 pays de l’Union européenne.

En France, des dispositions ont été ajoutées à la Loi informatique et liberté du 6 janvier 1978 afin de relayer à l’échelon national les principes érigés par la directive européenne.

Cette même loi, dans sa rédaction résultant de la réforme du 6 août 2004, institue une protection de la vie privée et des données à caractère personnel. Elle crée des droits au profit des personnes physiques à l’égard de tout type de « traitement » de données à caractère personnel, parmi lesquelles sont concernées celles traitées sur Internet.

Ce principe européen, relayé par le droit français, constitue la base juridique du droit à l’oubli : limiter la conservation des informations relatives aux internautes.

Les professionnels ont entendu le législateur et ont répondu à son inquiétude en concevant des systèmes qui garantissaient la protection de la vie privée et en érigeant en principe incontournable, le principe de la transparence.

Microsoft vante son dispositif qui permet de scinder dans ses serveurs le traitement des données personnelles de l’historique de navigation. Skyblog offre « gratuitement » la suppression des comptes. Facebook met en avant la possibilité récente de supprimer totalement son profil des serveurs (et non une simple désactivation) sans préciser que cette avancée a été obtenue par le Commissariat à la protection de la vie privée du Canada, qui menaçait de poursuites judiciaires le réseau social s’il ne respectait pas sa législation sur la protection des données personnelles.

Dans un souci de transparence, Peter Fleischer, responsable de la protection des données personnelles chez Google, vante à son tour le nouveau service Dashboard. Ce tableau de bord agrège en un seul endroit tous les contenus postés par l’internaute sur une vingtaine de services du Géant américain (Google, Gmail, Gtalk, Picasa, youtube). Depuis le Dashboard, l’internaute peut supprimer les données qu’il veut effacer des serveurs ou encore restreindre leur accès, quand il a oublié de le faire. Selon son concepteur, ce service permet à l’internaute de savoir quelles sont les données stockées sur les serveurs de Google, ainsi que leur degré d’accessibilité et de confidentialité, et d’y remédier selon son envie.

Ce même Google a par ailleurs accepté de fixer à un an la durée de stockage des données personnelles alors que la CNIL et ses homologues européens préconisent une période de six mois au maximum.

S’il s’agit de solides bases à la protection des données personnelles et au droit à l’oubli des internautes, il n’en reste pas moins que leur mise en pratique est imparfaite et nécessite une concrétisation.

II – La difficile concrétisation du droit à l’oubli

A – Des propositions complémentaires

Pour répondre à la question du droit à l’oubli numérique plusieurs pistes sont étudiées.

Deux sénateurs, Anne-Marie Escoffier et Yves Détraigne ont déposé le 6 novembre 2009 une proposition de loi visant à « mieux garantir le droit à la vie privée à l’heure du numérique ».

  • Le texte propose de rendre obligatoire « une information claire, accessible et spécifique » des internautes sur la durée de conservation de leurs données personnelles.
  • Il préconise « l’exercice plus facile du droit à la suppression des données en le rendant gratuit et faisable par voie électronique (jusque là, les responsables des sites pouvaient exiger que les demandes de ce type passent par le courrier postal, afin de décourager les personnes concernées). Ce droit de suppression se distinguerait donc du droit d’opposition commerciale, qui permet déjà à toute personne d’interdire la transmission de données le concernant à une entreprise tierce (prévu à l’article 38 de la loi Informatique et libertés)
  • Il entend également clarifier le statut de l’adresse IP en la considérant comme une donnée à caractère personnel.
  • La proposition de loi prévoit également la possibilité de « tracer » les données personnelles figurant sur un site : le responsable devra être capable de justifier de l’origine des données, ce qui permettra de remonter au fichier d’origine.
  • Par ailleurs, les sanctions financières de la Cnil seraient doublées (jusqu’à 600 000 euros), et il serait plus aisé de saisir la justice en cas d’impossibilité pour les personnes d’exercer leur droit à la suppression des données.

Nathalie KOSCIUSKO-MORIZET a organisé le 12 novembre 20009 un atelier su le droit à l’oubli numérique afin de donner des orientations pour que l’internaute garde le contrôle de l’information qu’il diffuse sur Internet. Cette table ronde rassemblait des juristes ainsi que des professionnels de l’Internet.

  • NKM imagine un Internet séparé en trois types d’espaces : un où l’utilisateur serait anonyme, un autre où certaines données seraient collectées et un dernier où l’internaute devrait décliner son identité exacte. Chaque site serait ainsi labellisé en fonction de sa zone d’appartenance et des engagements qu’il prendrait.
  • « L’objectif est d’aboutir avant la fin du premier trimestre 2010 à une charte commune d’engagements visant à renforcer le respect de la vie privée sur internet ». Toujours selon NKM, cette charte serait complémentaire de la proposition de loi déposée par les deux sénateurs.

Alex Türk, Président de la CNIL désire aller plus loin et a réclamé la « reconnaissance d’un droit constitutionnel à l’oubli ». Il faut selon lui « appliquer à Internet le même type de raisonnement que pour l’écologie, dont la charte a été adossée à la Constitution en mars 2005 ». Cette constitutionnalisation aurait pour objectif que le juge n’ait pas à trancher entre différentes lois (exemple : droit à l’oubli et liberté de la presse), et participerait également à un élan d’harmonisation puisque 13 pays d’Europe ont déjà inscrit ce principe dans leur constitution.

La Commission a également émis une recommandation pour que les données soient anonymisées  dès leur création à l’instar des décisions de justice. Marc Mossé, directeur des affaires publiques et juridiques de Microsoft a dans cet esprit, suggéré de faire en sorte, dès la conception des solutions informatiques, que l’on puisse distinguer les données personnelles pour les rendre anonymes.

Des initiatives internationales telles que la 31ème Conférence Internationale « Informatique et libertés » qui s’est tenue à Madrid en Novembre 2009 visent à établir des standards internationaux sur la protection des données personnelles et le droit à l’oubli. Ces initiatives sont à saluer, car l’absence d’uniformisation législative à l’échelon mondial est un frein à l’effectivité du droit à l’oubli.

B – Les obstacles à l’effectivité du droit à l’oubli

L’éventuelle nouvelle législation française n’aurait aucun effet sur les leaders américains du Web. Ainsi et en pratique, les informations collectées par Google ou Facebook, dont le siège social est installé aux Etats-Unis, pourraient théoriquement rester stockées indéfiniment.

Comme le souligne Peter Fleischer à propos de Google, « nous sommes présents dans 180 pays, et nous ne pouvons pas nous adapter à 180 législations différentes ». Il est en effet difficile de règlementer la problématique du droit à l’oubli numérique au sein d’un cyberespace où les lois sont multiples et répondent à des conceptions différentes de la notion de liberté d’expression.

Le principe de l’extraterritorialité fait qu’il est inutile de mettre en place des initiatives uniquement nationales ; il importe ainsi de mettre en œuvre une batterie de principes applicables mondialement, capables de s’accorder aux législations et conceptions nationales et de s’adapter aux évolutions technologiques, pour constituer un dispositif global en la matière.

Au-delà du problème de conservation des données par les géants du web, figure le problème du « copier coller ». Il se peut en effet que des informations transmises aient été recopiées ailleurs, et que même si le site « source » ait été condamné et ait retiré l’article litigieux, il est possible de trouver ces informations sur d’autres sites ou blogs.

Il convient aussi de trouver un juste équilibre entre le respect de la vie privée et les exigences en matière judiciaire où il est nécessaire, plus qu’ailleurs, de conserver la trace de certaines informations. Le droit à l’oubli ne doit pas occulter le devoir de responsabilité individuelle en cas de commission d’infractions via le net.

Il est également difficilement envisageable que les moteurs de recherche et autres réseaux sociaux consentent à se débarrasser aussi rapidement et sans contrepartie, des données concernant les internautes, puisque le modèle économique de la majorité des sites repose sur la publicité ciblée, génératrice de revenus pour ces derniers. Or, elle postule de fournir aux annonceurs tout un tas d’informations concernant le comportement des internautes lors des mois précédents. Réduire la durée de conservation des données nuirait à la seule source de revenus de la plupart des acteurs de l’Internet : la publicité.

Cette question fait aujourd’hui débat, et nombreux sont ceux qui pensent que la clef du problème est détenue par les internautes eux-mêmes, et que la seule manière d’être anonyme sur Internet, c’est bel et bien de le rester en se responsabilisant (utilisation d’un pseudo sur les réseaux sociaux, limiter la fourniture d’informations personnelles…). Il serait sans doute plus simple de prévenir ces maux par la sensibilisation des Internautes plutôt que de les guérir à coups de législations indigestes pour les acteurs du web ou de chartes dépourvues d’engagement.

Jérôme GIUSTI

Avocat au Barreau de Paris
Spécialiste en droit de la propriété intellectuelle

Avec la participation de Pierre Miriel

.