Les cookies de Google devant le Conseil d'État

Dans un arrêt du 28 janvier 2022, le Conseil d'État confirme les légalité des deux amendes d'un montant total de 100 millions d'euros infligées à Google par la Commission nationale de l'informatique et des libertés (CNIL). Dans sa délibération du 7 décembre 2020, l'autorité indépendante avait en effet estimé que la firme n'avait pas respecté les obligations en matière de recueil préalable du consentement des utilisateurs pour le dépôt de cookies. 

Rappelons qu'un cookie peut être rapidement défini, comme un petit fichier informatique, un traceur, déposé dans le système de l'utilisateur. Il permet de connaître ses consultations de sites internet, sa lecture de courriers électroniques, les logiciels ou applications qu'il installe. Google est évidemment un grand utilisateur de cookies, pratique qui lui permet de valoriser les données personnelles de ses utilisateurs en les vendant à diverses entreprises. Dans un contrôle réalisé au printemps 2020, la CNIL avait ainsi établi que 7 cookies étaient automatiquement installés sur les ordinateurs des utilisateurs dès leur arrivée sur le site Google, dont 4 qui n’avaient pas d'autre finalité que publicitaire.

Précisément, le droit français et européen impose le consentement des utilisateurs car les données auxquelles les cookies donnent accès sont des données personnelles. Mais Google s'est toujours efforcé de se soustraire à cette contrainte, estimant que les données personnelles de ses utilisateurs sont des biens de consommation, simple information qui peut se vendre et s'acheter. A cet égard, l'arrêt du 28 janvier 2022 a l'avantage de conforter un droit européen et français beaucoup plus protecteur de la vie privée que le droit américain. Il n'est donc guère surprenant que Google affirme depuis longtemps que ses activités relèvent du droit américain, et de lui seul.

La compétence de la CNIL

Cette revendication se heurte désormais au mur du droit européen. Les deux sociétés sanctionnées, Google LLC et Google Ireland Limited, estimaient que la CNIL n'était pas compétente pour leur infliger une sanction. A leurs yeux, cette procédure aurait dû être diligentée par le mécanisme de guichet unique européen organisé par le Règlement général de protection des données (RGPD). Il définit une autorité chef de file, chargée des questions transfrontières. Dans le cas présent, Google considérait que l'autorité chef de file était l'autorité irlandaise de protection des données. Nul n'ignore que les GAFA installent leur siège européen en Irlande, véritable paradis fiscal où l'impôt sur les sociétés ne dépasse pas 12, 5 % du chiffre d'affaires. Dans ces conditions, l'autorité irlandaise de protection des données n'est guère encline à prononcer des sanctions contre ces entreprises qui apportent au pays des revenus fiscaux importants. L'autorité de contrôle est alors plutôt une autorité d'absence de contrôle.

Certes, l'article 56 du RGPD prévoit la désignation d'une autorité chef de file, mais cette procédure ne concerne que les traitements transfrontaliers effectués par le responsable du traitement ou son sous-traitant. Mais, dans le cas présent, la CNIL n'a pas besoin de s'interroger sur le caractère transfrontalier ou non du système de gestion des cookies mis en oeuvre par Google.

La directive du 12 juillet 2002 vie privée et communications électroniques vient en effet offrir à la CNIL un fondement extrêmement solide à son pouvoir de sanction. Cette directive fait figure de texte spécial par rapport au RGPD, dans ce domaine particulier des communications électroniques. Aux termes de son article 5, "les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni (...) d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données". Cette obligation est reprise dans l'article 82 de la loi du 6 janvier 1978, et tout manquement peut susciter l'engagement d'une procédure de sanction. Aucun guichet unique et aucun chef de file ne sont alors prévus, puisque, précisément, ce n'est pas le RGPD qui s'applique.

Cette interprétation est celle affirmée à deux reprises par la Cour de justice de l'Union européenne (CJUE), d'abord dans son arrêt du 1er octobre 2019 Bundesverband des Verbraucherzentralen und Verbraucherverbände c. Planet 49 GmbH, puis dans son arrêt du 15 juin 2021 Facebook Ireland Ltd. Dans les deux cas, la CJUE affirme que le consentement au recueil de données personnelles ne saurait être exprimé au moyen d'une case pré-cochée. Et elle note que si la procédure de guichet unique a bien été prévue dans le RGPD pour les opérations de lecture et d'écriture dans le terminal d'un ordinateur, c'est la directive de 2002 qui s'applique pour les opérations d'accès et d'inscription d'informations. Le caractère transfrontalier ou non du fichier n'est pas une question pertinente dans ce cas. Cette jurisprudence est suffisamment solide pour que le Conseil d'État refuse à Google la saisine de la CJUE d'une question préjudicielle portant sur ce point.

Le Conseil d'État s'inscrit ainsi dans la ligne de la jurisprudence européenne. Mais cela ne signifie pas que, dans une hypothèse où la directive de 2002 ne serait pas applicable, il déclarerait la CNIL incompétente. Les articles 16 et 20 de la loi du 6 janvier 1978, dans son écriture postérieure au RGPD, autorisent en effet la Commission à prendre des sanctions à l'encontre des responsables de traitement qui ne respectent pas le texte européen. Cette disposition est suffisamment large pour faire de la CNIL l'autorité de contrôle du respect du droit européen en France.

Who took the cookie ? Nursery Rhyme

Le contrôle de proportionnalité

La suite de l'arrêt est sans grande surprise. Le Conseil d'État juge que les amendes infligées par la CNIL ne sont pas disproportionnées, compte tenu notamment de la manne financière que les cookies rapportent à Google. Le Conseil d'État observe à ce propos un véritable refus de coopération de l'entreprise, qui a toujours refusé de communiquer à la CNIL le montant de ses revenus publicitaires.

Cette persistance de Google dans son refus d'appliquer le droit européen apparaît aussi dans le caractère cosmétique des modifications apportées en matière de cookies. 

Au moment où la procédure de sanction est engagée, 7 cookies étaient déposés sur son terminal dès que l'utilisateur accédait au site. Sur la page Google.fr, un bandeau s'affichait en pied de page, intitulé "Rappel des règles de confidentialité de Google". L'internaute avait alors le choix entre deux boutons, l'un intitulé "Me le rappeler plus tard", l'autre "Consulter maintenant". Le malheureux qui souhaitait "consulter" prenait alors connaissance d'un texte qui ne mentionnait ni les règles de confidentialités annoncées ni la possibilité de refuser les cookies. Pour parvenir à ces informations, il devait aller au bout d'une longue fenêtre de texte, surtout ne pas cliquer sur un des liens hypertextes proposés, et finalement choisir de cliquer sur un bouton "Autres options". Bien peu d'internautes devaient avoir cette patience ou cette curiosité.

Après l'engagement d'une procédure de sanction, Google a fait connaître sa volonté d'améliorer les choses. Depuis septembre 2020, l'internaute arrivant sur Google.fr voit s'ouvrir une fenêtre intitulée "Avant de continuer". Avec une information très succincte sur les cookies, deux boutons sont de nouveau proposés, l'un sobrement intitulé "J'accepte", l'autre proposant "Plus d'informations". Hélas, le Conseil d'État observe que les indications fournies n'explicitent toujours pas la finalité des cookies et ne disent toujours rien sur les moyens de s'y opposer.

Ce rappel très détaillé montre que la mauvaise volonté de Google et son refus de se plier au droit européen et français sont des éléments permettant au Conseil d'État de juger de la proportionnalité de la sanction. De même le juge valide-t-il sans davantage d'interrogation, la décision de la CNIL de rendre publique sa sanction.

Les sanctions contre Google commencent à s'accumuler, 100 millions d'Euros le 7 décembre 2020, puis 150 millions le 31 décembre 2021 pour les mêmes motifs de gestion des cookies. Le recours contre cette seconde sanction semble bien délicat si l'on considère le résultat du premier.

En l'état actuel des choses, il n'y a aucune raison pour que les sanctions ne continuent pas à se multiplier. On peut évidemment penser que le chiffre d'affaires du groupe Alphabet lui permet de surmonter facilement ces petits inconvénients. Mais Google a aussi d'autres soucis, en particulier une menace beaucoup plus grave venant directement des États-Unis. Après seize mois d'enquête, le département de la Justice ainsi que seize États américains ont décidé de ressortir le Sherman Antitrust Act de 1890. Ils accusent en effet Google d'avoir eu recours à des comportements concurrentiels pour dominer le secteur des moteurs de recherche. On pourrait voir dans cette action un premier pas vers le démantèlement du géant. Peut-être Google devrait-il songer qu'il est de son intérêt de mettre fin à son contentieux avec l'Europe pour mieux se consacrer à ces problèmes encore plus graves ? Même un géant des GAFA ne peut pas se battre sur tous les fronts à la fois.

Sur la protection des données  : Chapitre 8 du Manuel

EUDisinfoLab ou comment tester le RGPD

L'affaire Benalla a des suites tragi-comiques. Une ONG belge dénommée EUDisinfoLab aurait mené une étude présentée comme fort sérieuse sur la désinformation sur Twitter à propos de cette affaire. Les conclusions de ce travail auraient constaté l'hyperactivité de comptes "russophiles" dont certains susceptibles d'être des robots. Bref, il était quasiment démontré que l'importance médiatique de l'affaire Benalla était le pur produit d'une ingérence russe. 

Depuis lors, l'ONG a pratiqué un rétropédalage rapide, affirmant que rien, dans son travail, ne permettait d'établir clairement une telle ingérence. L'étude sur la désinformation sombre donc dans le ridicule et la désinformation ne se trouve pas nécessairement là où on l'imaginait.  EUDisinfoLab reconnait ainsi sur son site travailler avec le Think Tank Atlantic Council et la Fondation Soros, deux organisations affirmant des convictions résolument atlantistes. Il serait donc intéressant de savoir si EUDisinfoLab a pris l'initiative de l'étude contestée ou si celle-ci a été diligentée ou commandée par des tiers. 

Quoi qu'il en soit, des milliers de personnes figurent aujourd'hui dans deux fichiers que EUDisinfoLab a rendus publics en invoquant la transparence de ses résultats. Dans le premier, une liste de comptes twitter ayant diffusé des messages sur l'affaire Benalla. Dans le second, une autre liste, sélectionnant les comptes ayant pratiqué la "désinformation", choisis en fonction de leur intérêt pour des sites russophiles (Russia Today et Sputnik), du nombre de partages effectués, etc. Dans cette seconde liste, les convictions politiques des titulaires de compte sont mentionnées. Les personnes figurant dans ces listes saisissent en masse la Commission nationale de l'informatique et des libertés (CNIL). Devant l'afflux de ces plaintes, la CNIL déclare donc se saisir du dossier.

Derrière le côté fantaisiste de l'étude se cache un problème juridique bien réel et l'affaire sera probablement la première à susciter  un contrôle sur le fondement du règlement général de protection des données, entré en vigueur le 28 mai 2018 et dont l'intégration dans le droit français a été assurée par la loi du 20 juin 2018. 

Données personnelles et consentement

L'illégalité du fichage ne fait guère de doute. Selon l'article 2 de la loi du 6 janvier 1978, une donnée personnelle se définit comme "toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne". La plupart des comptes Twitter ne sont pas anonymes. Ceux qui utilisent des pseudonymes peuvent souvent être facilement identifiés, soit par la transparence du pseudonyme, soit par l'observation des échanges. En tout état de cause, les fichiers constitués par EUDisinfoLab peuvent être qualifiés de "traitements de données personnelles" au sens de la loi, dès lors qu'ils constituent un "ensemble structuré" de données permettant, au moins en partie, l'identification des personnes. 

Selon l'article 7 de la loi du 6 janvier 1978 un traitement de données personnelles doit avoir préalablement reçu le consentement de la personne. Celui-ci, aux termes de l'article 4 du RGPD doit être le fruit d'une "manifestation de volonté, libre, spécifique, éclairée et univoque", ce qui implique qu'il soit recueilli par un "acte positif clair". En l'espèce, les abonnés de Twitter n'ont jamais été sollicités par EUDisinfoLab pour donner leur consentement à l'enquête. Ils n'ont même pas été informés. 

Convictions politiques et interdiction

L'article 8 de la même loi pose un principe d'interdiction pure et simple du traitement de données personnelles qui "révèlent (...) les opinions politiques" des personnes. Certes, les fichiers constitués par EUDisinfoLab pourraient sans doute entrer dans la dérogation prévue par l'alinéa 4 de ce même article 8. Il énonce que, dans la mesure où la finalité du traitement l'exige, ne sont pas soumis à interdiction "Les traitements portant sur des données à caractère personnel rendues publiques par la personne concernée". Il est certain que les opinions politiques des personnes, qui sont ainsi collectées, proviennent de leur propre présentation sur Twitter. Nul ne conteste ce fait, mais le problème du consentement n'est pas pour autant résolu. 

Les personnes avaient parfaitement le droit de faire connaître leurs convictions sur Twitter sans pour autant consentir à ce qu'elles soient stockées, utilisées à des fins de "recherche", puis diffusées par une ONG tierce. En l'espèce, les fichiers ainsi créés avaient pour finalité de "catégoriser" les personnes en fonction de leurs convictions politiques, d'établir des profils types "russophiles" ou "non russophiles", finalité qui n'a plus rien à voir avec la simple expression d'une conviction par l'intéressé. Il aurait donc dû donner son consentement à l'enquête, quand bien même elle portait sur des données publiques, mais personnelles.

Tout le monde n'a pas eu la chance d'avoir des parents communistes
Jean-Jacques Zilbermann. Josiane Balasko. 1993

Une opération conjointe APD - CNIL

Il reste à s'interroger sur la manière dont la CNIL va pouvoir mener son enquête, car la plupart des victimes sont des personnes de nationalité française, dont les données personnelles ont été collectées par une ONG de droit belge. Peu importe au fond, car le RGPD s'applique à tout traitement de données à caractère personnel effectué dans le cadre des activités d'un établissement sur le territoire de l'Union (art. 3). Concrètement, il serait possible d'envisager une enquête diligentée à la fois par l'Autorité de protection des données (APD) mise en place en Belgique et la CNIL française. L'article 60 du RGPD prévoit ainsi la désignation d'une autorité de contrôle "chef de file", en principe celle du lieu de l'établissement responsable du traitement. Le RGPD précise que les autorités de contrôle peuvent mettre en oeuvre "des procédures de coopération et d'assistance mutuelle" et réaliser "des opérations conjointes".

On ne fera que rappeler les autorités de contrôle peuvent se faire communiquer toutes les informations et données utiles à leur mission. A l'issue de l'enquête, elles peuvent exiger du gestionnaire du traitement qu'il assure sa mise en conformité avec les dispositions du RGPD. Un "rappel à l'ordre" peut être prononcé et, le cas échéant, une amende administrative. Rien n'interdit, en outre, aux victimes de saisir le juge pénal, dès lors que l'article 226-16 du code pénal punit de 5 ans d'emprisonnement et de 300 000 € d'amende le fait d'avoir procéder à un fichage illégal de données personnelles.

L'affaire EUDisinfoLab pourrait ainsi susciter la première opération conjointe depuis l'entrée en vigueur du RGPD et marquer la mise en oeuvre d'un véritable espace européen de protection des données personnelles. Les personnes dont les données personnelles ont ainsi été collectées et conservées peuvent donc se consoler. Elles vont pouvoir bénéficier d'un test en grandeur réelle du nouveau dispositif RGDP. Avouons que cela valait bien un fichage...

 Sur la protection des données : Chapitre 8 section 5 § 1 du manuel de libertés publiques : version e-book, version papier.

Registre des baptêmes : Tempête dans un bénitier

Est-il possible de faire effacer son nom du registre des baptêmes ? Le Conseil d'État, dans une décision du 2 février 2024, écarte le droit à l'effacement des données personnelles dans le cas particulier d'une personne qui, ayant été baptisée, figure sur le registre des baptêmes géré par le diocèse. La décision est évidemment inédite, sans doute parce que peu de requérants ont eu l'idée de poursuivre ce type de contentieux jusqu'au Conseil d'État.

M. A. B. a décidé de se faire "débaptiser" et il a donc demandé que son nom soit retiré du registre. Si l'association diocésaine a accepté la renonciation au baptême qui à ses yeux qui, à ses yeux, constitue une apostasie, elle a refusé l'effacement des données concernant M. A. B. Elle a seulement ajouté en marge une mention selon laquelle l'intéressé avait "renié son baptême". Notons au passage que cette formulation contient, à l'évidence, une forme de blâme. Dans le vocabulaire utilisé par l'Église, la référence au "reniement" de Pierre est transparente. Sans doute aurait-il été préférable de mentionner que M. A. B. avait "renoncé" à son baptême.

Peut-être M. A. B. aurait-il pu se contenter de cette mention, mais il a contesté devant la Commission nationale de l'informatique et des libertés (CNIL) ce refus d'effacement. Il estime que la mention de son baptême est une donnée personnelle et qu'il est en droit, s'appuyant sur le Règlement général de protection des données, d'exiger son effacement définitif. N'ayant pas obtenu satisfaction devant la CNIL, il s'est tourné vers le Conseil d'État, sans davantage de succès.

 

Les conditions du RGPD

 

Le règlement général de protection des données (RGPD), adopté en 2016 et en vigueur depuis mai 2018 est un texte européen, dont la CNIL garantit le respect en France. Son article 17 alinéa 1 énumère les motifs susceptibles d'être invoqués pour obtenir l'effacement des données personnelles. On y trouve d'abord les traitements illicites, ce qui n'est évidemment pas le cas du registre des baptêmes. On y trouve aussi les obligations légales d'effacement imposées par le droit de l'UE ou le droit interne, aucune contrainte de ce type n'étant imposée à ce registre. L'opposition de la personne au traitement lui-même n'est pas un motif pertinent en l'espèce, car lors du baptême, personne ne s'est opposé à la mention de l'enfant sur le registre.

Reste l'hypothèse dans laquelle la personne concernée retire son consentement, et c'est évidemment sur ce motif que se fonde M. A. B. Mais il n'est guère satisfaisant puisque, par hypothèse, n'ayant pas donné son consentement lors du baptême, il n'est pas en mesure de le retirer. Ses parents ont évidemment accepté qu'il soit mentionné dans le registre, puisqu'ils ont choisi de le faire baptiser. C'est leur décision, c'est leur consentement, et ce n'est pas celui de l'enfant.

Le Parrain. Francis Ford Coppola. 1972

Scène du baptême

 

La recherche d'un équilibre

L'article 9 du RGPD prévoit qu'un groupement à but non lucratif et poursuivant une finalité religieuse peut développer un fichier qui "se rapporte exclusivement aux membres ou aux anciens membres dudit organisme". La licéité de ce traitement est toutefois subordonnée au principe de non-communication des données aux tiers à cet organisme, sauf consentement de l'intéressé.

Tel est bien le cas en l'espèce, car le registre des baptêmes sert à ficher les personnes baptisées, dans une finalité exclusivement religieuse. Le Conseil d'État note le caractère quelque peu archaïque de ce document "non dématérialisé". Il observe que sa finalité se borne au "suivi du parcours religieux" et que les informations ne sont accessibles qu'à l'intéressé et aux ministres du culte. Il ajoute que ces registres sont conservés dans un lieu clos, jusqu'à leur versement aux archives départementales au terme d'un délai de 120 ans.

Les données conservées, s'il s'agit bien de données personnelles, ne sont pas d'une grande sensibilité. Elles reprennent l'état civil de l'enfant, ainsi que la date du baptême et la mention des parrain et marraine. Mais, bien que peu sensibles, ces données constituent, pour le Conseil d'État, un motif impérieux justifiant leur conservation. En effet, la mention du baptême permet à l'Église d'assurer le suivi religieux de la personne, notamment lors du sacrement du mariage, et lors de son décès. Surtout, le maintien de cette mention permet à M. A. B. de changer d'avis. Dans l'hypothèse où il voudrait réintégrer la communauté des fidèles, il n'aurait pas besoin de recevoir un nouveau baptême. Il lui suffirait de demander l'effacement de la mention selon laquelle il a "renié son baptême".

Le Conseil d'État déduit donc que cette mention suffit à exprimer la volonté du requérant de renoncer à la religion catholique. La mention de son baptême dans le registre, même s'il n'a plus qu'un intérêt historique, demeure nécessaire à la gestion des fidèles par l'Eglise. Avec cette décision, le Conseil d'État trouve une solution permettant de trouver un équilibre entre des intérêts opposés. Cette solution est d'ailleurs celle qui avait été adoptée par la Cour d'appel de Caen le 10 septembre 2013, décision rendue antérieurement au RGPD.

La référence au versement du registre aux archives témoigne aussi d'une autre préoccupation. Depuis l'époque où les registres paroissiaux étaient les seuls documents mentionnant l'état civil des personnes, les fichiers des églises demeurent une source documentaire importante pour les chercheurs. Dans 120 ans, ils seront assurés de disposer d'un fichier dont l'intégrité sera garantie, et ils pourront même apprendre que M. A. B., il y a bien longtemps, a renié son baptême et s'est donné la peine de demander son effacement dans le registre. De quoi susciter la réflexion des historiens et peut être celle des psychologues.

La protection des données personnelles : Manuel de Libertés publiques version E-Book et version papier, chapitre 8, section 5

 

 

 

Le Privacy Shield enterré par la CJUE

L'avocat autrichien Maximilian Schrems est certainement l'un des acteurs européens les plus engagés dans la protection des données personnelles. Depuis des lustres, il combat inlassablement les GAFA, et plus spécialement Facebook, qui envoient aux Etats Unis les données personnelles de leurs utilisateurs européens. Et ils le font en toute légalité, dès lors que l'Union européenne a accepté de passer des accords avec les Etats Unis, accords reposant sur une fiction juridique selon laquelle les données personnelles feraient l'objet d'une protection équivalente de part et d'autre de l'Atlantique. Le problème est que rien n'est plus faux. Pour le droit européen, les données personnelles sont des éléments de la vie privée. Pour le droit américain, elles sont des biens susceptibles d'échanges et d'appropriation.

La décision Schrems 2 et le Privacy Shield

Saisie par Maximilian Schrems, la Grande Chambre de la Cour de Justice de l'Union européenne (CJUE) a invalidé, dans un arrêt du 6 juillet 2020, la décision 2016/1250 de la Commission déclarant l'"adéquation" de la protection des données assurée par l'accord Privacy Shield. Entré en vigueur le 1er août 2016, cet accord entre l'UE et les Etats Unis supposait en effet une décision de la Commission déclarant que la protection des données personnelles par le droit américain était "adéquate", c'est-à-dire d'une efficacité équivalente à celle exigée par le droit européen. Les firmes américaines pouvaient alors conduire un processus d'auto-certification et s'inscrire sur un registre géré par le ministère du commerce américain. Les entreprises européennes étaient alors autorisées à transférer leurs données personnelles aux firmes figurant sur cette liste, une autre décision de la Commission prévoyant des "clauses types" pour ce type d'échanges. C'est ce que faisait Facebook, dont la filiale irlandaise transférait massivement les données des abonnés européens du réseau social à la maison mère américaine.

La décision Schrems 1 et le Safe Harbor

L'arrêt du 6 juillet 2020 s'inscrit dans un contentieux initié en 2013 par Maximilian Schrems devant l'autorité irlandaise de protection des données, puis devant la justice irlandaise. Invoquant les révélations d'Edward Snowden, il demande  alors la cessation des transferts de données personnelles de Facebook Irlande à Facebook Etats Unis, dès lors qu'il apparaît que ces données conservées sur des serveurs américains sont accessibles aux services de renseignements des Etats Unis, la NSA en particulier. Le requérant s'appuyait alors sur le droit européen de l'époque, c'est-à-dire sur la directive de 1995 sur la protection des données.

Il conteste donc une première décision d'adéquation de la Commission, datée du 26 juillet 2000. A l'époque, elle trouvait son origine dans un premier accord intervenu entre l'UE et les Etats Unis, le Safe Harbor. Maximilian Schrems obtient satisfaction, et la CJUE, dans un premier arrêt du 6 octobre 2015, rendu sur question préjudicielle, déclare cette décision non conforme au droit européen de la protection des données, faisant en quelque sorte exploser le Safe Harbor.

Mais le lobby des GAFA est décidément très puissant, et l'accord Privacy Shield, adopté après l'arrêt Schrems 1, ressemble étrangement à Safe Harbor. Et il est écarté pour les mêmes motifs.

David vainqueur de Goliath

Kaspar van der Hoecke, circa 1585

Le RGPD

La décision Schrems 2 ne se distingue guère de la décision Schrems 1 que par le fondement juridique du droit de l'Union. A la directive de 1995 a succédé le règlement général de protection des données (RGPD), adopté en 2016 et en vigueur depuis mai 2018. Or, le Privacy Shield n'est pas plus conforme au RGPD que Safe Harbor n'était conforme à la directive de 1995.

La lacune essentielle du Privacy Shield, mise en lumière par l'arrêt du 8 juillet 2020, réside dans l'oubli total de la loi américaine. Il organise en effet l'échange de données personnelles entre les entreprises américaines et les entreprises européennes, échange reposant sur l'affirmation d'une équivalence de protection dans les deux systèmes. Mais les relations entre les entreprises américaines et l'administration des Etats Unis ne sont pas évoquées, sauf par une dérogation très générale figurant dans une annexe II de la décision. Et cette dérogation affirme simplement que des ingérences dans les données personnelles ayant ainsi transité de l'Europe vers les Etats Unis sont possibles, fondées notamment sur "des exigences relatives à la sécurité nationale et à l’intérêt public ou sur la législation interne des États-Unis". Autrement dit, les données des internautes européennes peuvent faire l'objet d'une collecte, et même d'une collecte de masse, par l'administration américaine, collecte qui, au regard du droit européen, s'analyse comme une ingérence dans la vie privée. Dans le cas de Facebook, objet du litige initié par le requérant, on imagine mal Mark Zuckerberg refusant à la NSA, ou à tout autre service américain, la communication de données sur les utilisateurs européens du réseau social.

La CJUE invalide donc le Privacy Shield comme elle avait invalidé l'accort Safe Harbor. Cette décision ne signifie pas que les transferts de données de part et d'autre de l'Atlantique doivent immédiatement cesser. Elle se borne à imposer aux autorités de contrôle, y compris au commissaire irlandais à la protection des données bien passif durant toute l'affaire, d'interdire les transferts lorsque les clauses types de protection des données ne peuvent pas être respectées aux Etats Unis. En d'autres termes, les transferts demeurent licites s'ils sont conformes au RGPD.

De manière très concrète, la décision devrait théoriquement susciter une réforme de la surveillance des données par l'administration américaines pour que les firmes puissent de nouveau prétendre au statut privilégié reposant sur l'équivalence de la protection des données personnelles. On à du mal à croire que l'administration Trump se soumette volontiers à une telle exigence. Quant aux GAFA, ils se sont toujours efforcés d'échapper au droit de l'Union européenne et il ne fait guère de doute que le Privacy Shield était le produit d'un lobbying particulièrement efficace. On peut donc penser que nous sera bientôt imposée une troisième mouture de ces accords d'équivalence. On se prend à rêver qu'un jour, les citoyens des Etats membres soient consultés sur les normes qui leurs sont appliquées. On se prend aussi à rêver que les associations françaises de protection des droits de l'homme s'intéressent à ces questions. Mais heureusement, Maximilian Schrems veille.

La loi RGPD devant le Conseil constitutionnel

La loi sur la protection des données a été adoptée définitivement par l'Assemblée nationale le 14 mai 2018 et le Conseil constitutionnel a déclaré l'essentiel du texte conforme à la Constitution, dans une décision du 12 juin 2018. La loi devrait donc entrer en vigueur très prochainement, ce qui mettra fin à une période de relative incertitude juridique. En effet, ce texte a pour objet de transposer les dispositions du règlement général sur la protection des données (RGPD) qui est lui-même entré en application le 25 mai. Le texte européen était donc applicable entre le 25 mai et le 12, mais se trouvait dépourvu de texte assurant son intégration dans le droit interne.

Le contrôle sur les règlements

Tout est donc rentré dans l'ordre et les points essentiels de la loi ne sont pas remis en cause. L'intérêt essentiel de la décision du Conseil semble résider dans un élargissement de sa jurisprudence sur le contrôle d'une loi tirant les conséquences d'un règlement de l'Union européenne.

Jusqu'à aujourd'hui, la jurisprudence portait exclusivement sur les directives qui, contrairement aux règlements, ne peuvent être appliquées en droit qu'après l'intervention d'une loi destinée à opérer cette transposition. Le Conseil a même trouvé dans l'article 88-1 de la Constitution un fondement à cette obligation (décision du 10 juin 2004). Il semble ainsi se démarquer de la jurisprudence issue de la décision Cohn-Bendit rendue par la Cour de justice de l'union européenne (CJUE). Celle-ci considère en effet, comme le Conseil d'Etat dans sa jurisprudence Dame Perreux du 30 octobre 2009, qu'une directive peut être d'applicabilité directe si l'Etat ne l'a pas transposée dans les délais. Il est vrai que cette jurisprudence ne vise qu'à combler un vide juridique, en cas de non-transposition. Le Conseil constitutionnel, quant à lui, se borne à apprécier la loi de transposition et n'est donc pas en mesure de sanctionner son absence.

Cette jurisprudence pour le moins créative lui a permis ensuite de préciser, dans sa décision du 27 juillet 2006, l'étendue de son contrôle sur ces lois de transposition. C'est ainsi que le texte ne doit pas "aller à l'encontre d'une règle ou d'un principe inhérent à l'identité constitutionnelle de la France". En dehors de cette hypothèse, le Conseil se déclare incompétent pour apprécier une loi portant transposition d'une directive. Ce contrôle est donc exclusivement effectué par les juridictions administratives et judiciaires qui seules peuvent apprécier la conformité du texte aux traités et, le cas échéant, poser une question préjudicielle à la Cour de justice de l'Union européenne si elles ont un doute sur la portée de la directive.

La décision du 12 juin 2018 étend aujourd'hui cette jurisprudence aux règlements, lorsqu'ils donnent lieu à une loi de transposition. Cet élargissement semble logique, dès lors que rien ne justifierait que la loi transposant un règlement ne soit pas appréciée de la même manière que celle transposant une directive, quand bien même son adoption n'est pas obligatoire.

L'intelligibilité et l'accessibilité de la loi

Sur le fond, la décision écarte d'abord le moyen fondé sur l'atteinte à l'objectif constitutionnel d'intelligibilité et d'accessibilité de la loi, moyen développé dans la saisine sénatoriale. Le Conseil affirme simplement que "si, à cette fin, le législateur a fait le choix de modifier les dispositions de la loi du 6 janvier 1978 en y introduisant des dispositions dont certaines sont formellement différentes de celles du règlement, il n'en résulte pas une inintelligibilité de la loi". La formule témoigne peut-être d'une certaine lassitude à l'égard d'un moyen souvent invoqué, lorsque les parlementaires requérants n'ont pas trouvé d'autres arguments juridiques.

Messe pour le temps présent

Pierre Henry et Michel Colombier. Jerk électronique. 1967

La CNIL

La loi élargit les missions de la Commission nationale de l’informatique et des libertés (CNIL). Elle est désormais l'autorité de contrôle du pour la mise en oeuvre du RGPD et est chargée de publier les règles types, les codes de conduite destinés aux différents opérateurs. A sa traditionnelle fonction de contrôle s'ajoute donc désormais un double rôle de certification et de conseil, puisqu'elle peut être consultée par le parlement sur les questions de protection des données. Aux yeux des sénateurs requérants, cette consultation du parlement n'est pas organisée avec suffisamment de précision par la loi. Ils y voient non seulement une atteinte à l'intelligibilité de la loi mais aussi un cas d'incompétence négative. Le législateur aurait en effet méconnu sa propre compétence en ne précisant pas les aspects procéduraux de cette consultation, le délai imparti à la CNIL pour rendre son avis etc. Le Conseil observe simplement que ces éléments ne relèvent pas du domaine de la loi.

Les pouvoirs de la CNIL sont d'autant plus renforcés que les sanctions qu'elle peut prononcer sont désormais susceptibles d'atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial de la firme sanctionnée. Ces dispositions tirent les leçons des difficultés rencontrées par la CNIL, lorsqu'elle a été chargée par le G 29 de gérer le contentieux avec Google, alors même qu'elle ne disposait pas d'un arsenal de sanctions suffisamment dissuasif pour peser sur les GAFA. En revanche, les formalités préalables à la création des traitement, telles qu'elles existaient depuis la loi du 6 janvier 1978, disparaissent au profit d'un système qui repose sur l'appréciation des risques par responsable du traitement lui-même, la CNIL exerçant un contrôle a posteriori.

"Sous le contrôle"...

Le seul élément sanctionné par le Conseil est relatif aux traitements de données personnelles relatives aux condamnations pénales. Il a en effet censuré pour incompétence négatives les mots « sous le contrôle de l'autorité publique » figurant à l'article 13 de la loi. Le législateur s'est en effet borné à préciser que ce type de traitement pouvait être mis en oeuvre par des personnes publiques, des personnes morales gérant un service public (...) ou être placés « sous le contrôle de l'autorité publique ». Dès lors que, par la nature même des informations traitées, ces fichiers intéressent les libertés publiques, le législateur a en effet méconnu sa propre compétence. Il aurait dû préciser les catégories de personnes susceptibles d'agir sous ce contrôle et les finalités pour lesquelles ce type de fichier était susceptible d'être créé.

Rien de bien surprenant, et l'annulation pour incompétence négative n'est pas rare. Par analogie, on ne peut cependant s'empêcher de penser à la proposition de loi relative à la lutte contre les fausses informations. Il confère en effet au Conseil supérieur de l'audiovisuel une compétence générale pour refuser de passer une convention, voire interdire un site, lorsque ce site est placé "sous le contrôle" d'un Etat étranger. La formule est tout aussi incertaine, et le risque d'incompétence négative n'est pas négligeable Il reste à espérer que les parlementaires liront la décision du Conseil constitutionnel relative à la protection des données.

Les algorithmes

Une première lecture de la décision pourrait s'arrêter là, en rappelant que seulement quatre mots sont sanctionnés sur l'ensemble du texte. Mais l'essentiel réside dans le long passage consacré à l'usage des algorithmes par l'administration. Le RGPD l'autorise et permet même que des décisions individuelles soient adoptées sur la base d'un algorithme, décisions susceptibles donc d'avoir des conséquences sur la situation juridique d'une personne.

Il fixe cependant quatre conditions à remplir. La première, prévue par l'article 311-3-1 du code des relations avec le public est que la décision doit mentionner son mode d'adoption et les principales caractéristiques de l'algorithme doivent être communiquées à l'intéressé. La seconde est que la décision doit pouvoir être susceptible de recours administratifs qui, cette fois, seront gérés sans que l'administration puisse se fonder exclusivement sur l'algorithme. En cas de contentieux, le juge administratif pourra d'ailleurs exiger la communication des caractéristiques de celui-ci. La troisième est l'exclusion du recours à l'algorithme pour les décisions portant sur des données sensibles, celles qui révèlent l'origine ethnique, la religion, les opinions politiques, l'orientation sexuelle, la santé etc.

Enfin, quatrième et dernier élément, le responsable du traitement doit "pouvoir expliquer, en détail et sous une forme intelligible, à la personne concernée la manière dont le traitement a été mis en œuvre à son égard".Cette dernière condition pourrait sembler anodine, car il s'agit d'appliquer la règle de motivation des décisions administratives défavorables. Mais elle risque d'avoir un impact considérable en interdisant l'usage des algorithmes "auto-apprenants", c'est-à-dire ceux qui se nourrissent eux-mêmes de leurs propres décisions, qui révisent eux-mêmes les règles qu'ils appliquent, en l'absence d'intervention humaine. Dans ce cas, le gestionnaire du traitement en perd le contrôle, et c'est précisément ce que refuse le Conseil constitutionnel.

En l'espèce, le Conseil estime que la loi prend des garanties "appropriées" et exclut l'usage des algorithmes auto-apprenants. En précisant clairement sa position, le Conseil constitutionnel pose ainsi des bornes aux expériences de justice prédictive qui, précisément, repose sur ce type d'algorithmes. Il rend ainsi un fier service aux juridictions suprêmes, Conseil d'Etat et Cour de cassation, qui souhaitent conserver le contrôle et le pilotage des expériences dans ce domaine.

Considérée sous cet angle, la décision du 12 juin 2018 est tout-à-fait intéressante. Certes, disons franchement qu'elle ne présente pratiquement aucun intérêt au regard de la loi RGPD qui était l'objet du contrôle. Mais le Conseil profite de l'occasion pour faire avancer certains dossiers, poser des marques discrètes sur la notion de contrôle ou sur les algorithmes. Ce sont autant d'avertissements dont le législateur devrait sans doute tenir compte d'autant qu'ils reposent sur une volonté de protéger les libertés publiques dans un univers technologique marqué par la dilution de l'examen individuel des dossiers.

Sur la protection des données : Chapitre 8 section 5 § 1 du manuel de libertés publiques : version e-book, version papier.

Le droit à l'oubli, un droit européen

La Cour de justice de l'Union européenne (CJUE) a décidé, dans un arrêt du 24 septembre 2019, que le droit à l'oubli ne s'impose que dans le cadre européen et qu'il ne saurait donc être imposé à la version américaine du moteur de recherches Google.

La Cour était saisie d'une question préjudicielle posée par le Conseil d'Etat, lui-même saisi par quatre requérants qui s'étaient vu refuser le déréférencement de certaines données sensibles par Google. La CNIL, agissant au nom du G29, c'est-à-dire d'un groupe réunissant l'ensemble des autorités de protection européennes, a mis en demeure Google de procéder au déréférencement sur l'ensemble de ses moteurs de recherche. En l'absence de réponse positive, le 10 mars 2016, elle a condamné Google à une amende de 100 000 €. Cette sanction est contestée par Google, et c'est à l'occasion de ce recours que le Conseil d'Etat a posé la présente question préjudicielle, demandant si le droit à l'oubli s'applique aux seuls moteurs de recherche utilisés dans les Etats de l'Union, ou à l'ensemble des moteurs gérés par Google, y compris hors territoire européen.

Oubli, déréférencement, effacement

L’oubli n’est jamais absolu sur internet. Il se traduit seulement par un oubli légal, c’est-à-dire le déréférencement de données qui ne sont plus accessibles sans pour autant disparaître tout à fait. Initié dans le droit de la presse, il a d'abord été invoqué devant les tribunaux pour sanctionner et réparer les révélations sur le passé d’une personne, le plus souvent son passé judiciaire. Intervenant à un moment où elle a reconstruit sa vie, la publication de son ancienne condamnation est considérée comme une atteinte au droit d’être oublié, envisagé comme un élément de sa vie privée. 

Peu à peu, le droit à l'oubli est devenu un élément de la protection des données personnelles, s'appliquant à toutes les données sensibles, c'est-à-dire celles dont la divulgation emporte une atteinte à la vie privée des personnes. Sa consécration dans ce domaine fut précisément assurée par la CJUE, dans une célèbre décision rendue le 13 mai 2014, Google Spain SL, Google Inc. c. Agencia Espanola de Proteccion de Datos(AEPD). Elle y affirme d'abord qu'un moteur de recherches doit être considéré comme un traitement de données personnelles et que l'exploitant de ce moteur de recherches est le "responsable du traitement" au sens du droit de l'Union.

Elle exige ensuite de Google le déréférencement d'articles de presse remontant à 1998 et mentionnant la vente sur saisie des biens appartenant au requérant, alors lourdement endetté. A l’époque, la CJUE déduisait le droit à l'oubli a directive européenne du 24 octobre 1995  qui consacrait alors un droit de rectification des données inexactes ou incomplètes. C'est ce texte qui était en vigueur au moment du recours qui a donné lieu à la présente question préjudicielle.

Aujourd'hui, le droit à l'oubli est formellement garanti par l’article 17 du Règlement général de protection des données (RGPD), qui affirme que « la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel ». La loi du 20 juin 2018 a fait de la Commission nationale de l'informatique et des libertés (CNIL) l'autorité de contrôle du RGPD. Celle-ci a mené, au nom de l'Union européenne, une véritable bataille contentieuse, dans le but d'imposer à Google le respect de ce droit. Elle a obtenu des succès dans ce domaine, et l'entreprise a accepté de faire figurer sur son site un formulaire par lequel les internautes peuvent demander la déréférencement de certaines données personnelles. Google définit toutefois lui-même les critères permettant de qualifier les informations concernées de "données sensibles", critères qui demeurent dans une certaine opacité.

Dollar. Gilles et Julien, 1932

Territorialité du droit à l'oubli

Si Google accepte désormais de déréférencer certaines données, l'effacement ne concerne que les moteurs de recherche européens (Google. fr, Google.de, Google. it....). Elles demeurent visibles à partir du moteur américain Google.com. Certes, quelques précautions de géolocalisation sont prises, mais l'oubli demeure relatif, dès lors qu'il demeure techniquement possible d'aller chercher l'information sur le versant américain de Google.

Pour la CNIL, le droit de l'Union européenne, tant la directive de 1995 en vigueur à l'époque des faits que l'actuel RGPD, entend "éviter qu’une personne soit exclue de la protection garantie (...) et que cette protection soit contournée, en prévoyant un champ d’application territorial particulièrement large". Elle appuie cette analyse sur les considérants 18 à 20 de l'exposé des motifs de la directive qui mentionnent notamment que "l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive". Ces dispositions sont toutefois dépourvues de réelle puissance juridique.

La CNIL insiste sur le fait que si les garanties ne s'appliquent pas à l'ensemble des traitements mis en oeuvre par l'entreprise, celle-ci sera évidemment tentée de se soustraire aux obligations imposées par l'Union européenne en ne les rendant accessibles qu'à partir d'un site installé dans un Etat tiers. La CNIL raisonne donc à partir de la notion de personne responsable du traitement, dès lors que ce traitement conserve et diffuse les données des internautes européens.

Cette analyse n'est pas sans écho jurisprudentiel. Dans un arrêt L'Oréal c. e-Bay du 12 juillet 2011, la CJUE avait été saisie de la licéité de l'offre de vente sur un site marchand américain de produits accessibles sur le territoire européen, sans le consentement des marques concernées. Elle avait alors considéré que le droit de l'Union s'appliquait dès lors que cette offre de vente était "destinée aux consommateurs situés sur le territoire couvert par la marque". Peu importe donc que le site marchand soit situé aux Etats-Unis, dès lors que les produits sont proposés sur le territoire de l'UE.

En l'espèce, la CJUE ne mentionne pas ce précédent. Elle revient à une conception traditionnelle de la territorialité du droit. Elle rappelle simplement le règle selon laquelle le droit de l'Union s'applique sur le territoire européen, et pas ailleurs. Elle ajoute d'ailleurs que la vie privée n'est pas protégée avec la même intensité dans l'UE et dans les Etats tiers, et qu'il n'est pas question de leur imposer notre système juridique. Certes, la Cour n'ignore pas tout à fait l'impact de sa décision, et affirme qu'il serait utile de ""rendre plus difficile les recherches sur les autres extensions." Il s'agit d'un voeu pieux qui n'a évidemment aucune chance de se réaliser et Google se trouve certainement confortée dans sa pratique qui consiste à organiser ses activités vers l'Europe à partir de sites hébergés hors du territoire européen.

Il est toujours frustrant de constater que le droit de l'Union européenne offre à Google les moyens de se soustraire aux règles qu'il édicte. Mais la Cour pouvait-elle statuer autrement ? Comment aurait-elle pu faire appliquer des actes ou des sanctions visant Google. Inc ? Pense-t-on vraiment que les juges américains accepteraient de soumettre une entreprise américaine au RGPD ? La CJUE écarte donc la tentation de consacrer une règle qui n'aurait aucune chance d'être mise en oeuvre, et dont l'ineffectivité porterait atteinte à la crédibilité même du droit de l'Union. 

Reste que la protection des données demeure un droit purement européen. On voit ainsi coexister deux systèmes radicalement opposés. D'un côté, un droit américain qui considère les données personnelles comme des biens de consommation qui s'achètent et se vendent. De l'autre côté, un droit européen qui les voit comme des éléments de la vie privée des personnes, dont elles doivent conserver la maîtrise. Si la CJUE avait raisonné comme les juridictions américaines, elle aurait considéré que, dès lors que l'entreprise avait une présence dans l'Union européenne, elle devait respecter dans touts ses activités le droit européen. Elle renonce à le faire, et la conséquence de cette dissymétrie est que l'Union se livre pieds et poings liés à l'impérialisme juridique des Etats-Unis.

Les 13 arrêts sur le droit à l'oubli : des armes contre Google

Le 6 décembre 2019, le Conseil d'Etat a rendu treize décisions relatives aux modalités d'exercice du droit à l'oubli. Il figure dans l'article 17 du Règlement général de protection des données (RGPD) qui affirme que "la personne a le droit d'obtenir du responsable du traitement l'effacement, dans les meilleurs délais, de données à caractère personnel la concernant".  En ce qui concerne les moteurs de recherches, ce droit à l'oubli prend la forme d'un déréférencement des données personnelles sur le domaine concerné (par exemple Google.fr) et d'une désindexation qui interdit au moteur de diffuser comme résultat d'une recherche un lien pointant vers les données personnelles qui sont l'objet du droit à l'oubli.

Ces treize décisions ont été rendues après l'arrêt du 24 septembre 2019 de la Cour de justice de l'Union européenne, réponse à une question préjudicielle précisément posée par le Conseil d'Etat. Cette décision impose le droit à l'oubli dans le cadre européen, en laissant toutefois aux autorités compétentes des Etats membres le soin d'en préciser les conditions de mise en oeuvre. De toute évidence, le Conseil d'Etat prend ce rôle au sérieux, et ces treize arrêts sont autant de directives données à la fois à la CNIL et aux juges du fond.

Le Conseil d'Etat rappelle que le déréférencement est un droit de la personne, "également dénommé droit à l'oubli". Comme tous les droits, il s'exerce dans le cadre des lois qui le réglementent, tant le RGPD que la loi du 6 janvier 1978, dans son actuelle rédaction. Si le droit à l'oubli protège les données personnelles, c'est-à-dire la vie privée de la personne, il doit se concilier avec le droit à l'information du public. Il appartient donc à la CNIL et au juge d'apprécier cet équilibre. Sur ce point, le Conseil d'Etat rejoint la Cour de cassation qui, le 27 novembre 2019, a également confié aux juges du fond le soin de réaliser cet arbitrage.

Précisément, ces treize décisions définissent un critère d'appréciation, à partir du degré de sensibilité des données personnelles à l'origine de la demande de droit à l'oubli.

Les données sensibles, et les autres

Sont considérées comme particulièrement sensibles, depuis l'origine de la loi du 6 janvier 1978, les données qui touchent le plus à l'intimité de la vie privée, comme la santé, la vie intime, les convictions religieuses ou politiques etc. Dans l'affaire 409212, le requérant demande ainsi le déréférencement d'un compte-rendu littéraire faisant état de son homosexualité. 

Dans la plupart des arrêts du 6 décembre 2019, les données personnelles dont le requérant à demandé l'effacement renvoient à une affaire pénale, soit qu'il ait été mis en examen (407776 - 397755- 399999 - 407776), soit qu'il ait été condamné pour attouchements sexuels sur mineurs (401258), pour apologie de crimes de guerre ou contre l'humanité (405464), voire pour violences conjugales (429154). Les données judiciaires sont donc des données sensibles, au sens du RGPD.

Reste qu'il existe des données personnelles qui ne sont pas spécialement sensibles. Celles-là peuvent certes faire l'objet d'une demande de droit à l'oubli, mais cette demande pourra être écartée si le droit à l'information du public peut être utilement invoqué. Dans l'affaire 403868, un médecin demandait ainsi l'effacement de données le concernant sur une page du site Yelp. Les commentaires des internautes sur sa pratique ayant été effacés, il ne reste donc que des données faisant état de son activité de généraliste et précisant l'adresse et le numéro de téléphone de son cabinet. Il s'agit certes de données personnelles, mais ce sont globalement celles qui figurent dans n'importe quel annuaire. Aux yeux du Conseil d'Etat, cette publication est donc justifiée par "l'intérêt prépondérant du public à avoir accès à ces informations" à partir d'une recherche sur le nom du requérant.

La durée poignardée. René Magritte. 1938

Les critères utilisés

Le Conseil d'Etat indique trois critères susceptibles d'être utilisés, tant par la CNIL que par le juge, pour apprécier le bien fondé de la réponse positive ou négative de Google.

Le premier d'entre eux est lié aux données en cause. Il convient alors d'apprécier leur contenu, leur exactitude et leur ancienneté, ainsi, bien entendu, que les conséquences de leur accessibilité sur internet pour la personne concernée. Dans l'affaire 393769, Google avait ainsi refusé le déréférencement d'un article de presse de 2008, mentionnant, après le suicide d'un adepte, l'appartenance de l'intéressé à l'Eglise de Scientologie. Or les faits sont anciens et se traduits par un non-lieu. Quant à l'intéressé, il a quitté l'Eglise depuis plus de dix ans au moment de sa demande. Contrairement à Google, le juge estime donc qu'il n'existe plus "d'intérêt prépondérant" du public à connaître ces informations.

Le second critère se rapporte plus directement à la personne concernée, et plus précisément à sa notoriété. Il ne distingue guère de la jurisprudence traditionnelle qui protège avec davantage de rigueur la vie privée du simple quidam que celle de la célébrité habituée à vivre sous la pression de la presse. Dans l'affaire 409212, le Conseil d'Etat opère ainsi une distinction très claire.  Il estime que la révélation de l'homosexualité d'un auteur justifie un déréférencement, dès lors que l'intéressé n'exerce plus aucune activité littéraire et que le roman autobiographique dont il est question n'est plus publié. Sur ce plan, l'intéressé est redevenu un simple quidam. En revanche, la recension de ce même roman sur un autre site, sans aucune mention personnelle sur son auteur, est justifiée par "l'intérêt prépondérant du public" qui a le droit d'être informé sur cet ouvrage. En écrivant un livre, il a, en quelque sorte, accepté que cet ouvrage soit livré au public.

Le troisième critère repose, quant à lui, sur l'analyse de l'offre d'information sur internet, sur la possibilité d'accéder aux mêmes données à partir d'une recherche ne mentionnant pas le nom de l'intéressé, et aussi sur le rôle de ce dernier. Dans l'affaire 395335, le Conseil d'Etat estime ainsi fondée la demande d'effacement de données relatives à la liaison entretenue par la requérante avec un Chef d'Etat étranger, alors même que celle-ci est bien connue dans ce pays. En effet, ce n'est pas elle qui a donné ces informations à un journal français, et elle peut donc légitimement invoquer le droit à l'oubli sur Google.fr.

Ces trois éléments seront certainement précisés au fil de la jurisprudence, mais ils s'analysent d'ores et déjà comme des armes redoutables dans le conflit qui oppose les autorités européennes et françaises à Google. Il n'a échappé à personne en effet que toutes les demandes de déréférencement étaient dirigées contre le moteur de recherches américain. Or celui-ci donne l'apparence de se conformer au droit à l'oubli en ouvrant aux internautes un formulaire permettant de matérialiser leur demande d'effacement. Mais les critères de la décision finalement prise par Google demeurent d'une remarquable opacité. En permettant à la CNIL et aux juges d'appliquer leurs propres critères, et de les utiliser pour sanctionner des pratiques opaques, le Conseil d'Etat empêche Google de créer son propre droit, opposable aux internautes sans qu'ils puissent réellement le connaître. Ces treize arrêts sont donc autant de pierres posées sur un chemin qui devrait permettra d'imposer aux GAFA le standard européen de protection des données.

Sur le droit à l'oubli : Chapitre 8 Section  5 § 1 B , 3,  du manuel de Libertés publiques sur internet

Le passe sanitaire devant le juge des référés

Saisi par l'association La Quadrature du Net, le juge des référés refuse, dans une ordonnance du 6 juillet 2021, de suspendre l'exécution du décret du 7 juin 2021 organisant le dispositif connu sous le nom de "passe sanitaire". Ce décret modifie un précédent texte antérieur d'une semaine, le décret du 1er juin 2021, lui-même pris en application de la loi du 31 mai 2021 relative à la sortie de crise. Concrètement, cette succession de textes a pour objet de mettre en oeuvre le passe sanitaire prévu par la loi.

 

La décision du Conseil constitutionnel

 

La situation de l'association requérante n'était pas juridiquement très confortable. Dans sa décision du 31 mai 2020, le Conseil constitutionnel a déjà déclaré constitutionnel le principe même du passe sanitaire. Il a notamment écarté des griefs tirés de la méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité de la loi et de la méconnaissance par le législateur de l'étendue de sa compétence. Rien n'interdisait donc au gouvernement de recourir au décret pour fixer les conditions concrètes de mise en oeuvre du passe sanitaire. Certes, le Conseil constitutionnel juge de la conformité de la loi à la Constitution, alors que le Conseil d'État se prononce sur la conformité des actes réglementaires à la loi et aux traités, mais il n'empêche que le message envoyé par le juge constitutionnel n'était pas porteur d'optimisme pour La Quadrature du Net. 

 

Le passe sanitaire, définition

 

A cela s'ajoute le fait que le passe sanitaire est aujourd'hui en format européen, ce qui signifie qu'une suspension par le juge français risquait de conduire à la mise en cause d'un dispositif applicable désormais à l'ensemble de l'Union européenne. Il est vrai que le juge des référés a attendu trois semaines pour se prononcer alors qu'un référé-liberté devrait, en principe, être examiné dans un délai de 48 heures. Pendant ce délai, le passe sanitaire est devenu une réalité très concrète, à la satisfaction de ceux qui en bénéficient.

Son principe peut être défini simplement. Il consiste en la présentation numérique (via l'application TousAntiCovid) ou sur papier d'une preuve sanitaire. Concrètement, on peut fournir la preuve d'un parcours vaccinal complet, ou d'un test négatif de moins de 48 h, ou encore d'un test antigénique permettant d'indiquer, pour les anciens malades du Covid, qu'ils ne présentent pas de risque de réinfection rapide. Aux termes du décret du 7 juin 2021, ce passe sanitaire donne accès aux lieux et évènements accueillant plus de mille personnes et permet donc de rouvrir certaines activités. Il facilite également le passage des frontières, notamment dans l'Union européenne.

 

L'"analyse de l'impact"

 

La Quadrature du Net invoque d'abord un vice de procédure. Aux termes de l'article 35-1 du Règlement général de protection des données (RGPD), le responsable du traitement, lorsque celui-ci est "susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques", peut préalablement à sa création procéder à une "analyse de l'impact" du traitement envisagé, notamment au regard de la protection des données personnelles. Autrement dit, la procédure demeure purement facultative, et l'on peut regretter que, sur ce point, le RGPD n'impose aucune contrainte. En l'espèce, cette "analyse de l'impact", qui aurait pu être confiée à la Commission nationale de l'informatique et des libertés (CNIL), n'a pas eu lieu. C'est évidemment regrettable mais le juge des référés constate que l'absence de consultation de la CNIL "est sans incidence sur la légalité de l'acte". 

En revanche, le juge des référés ne manque pas de mentionner que le pouvoir d'injonction dont il dispose lui permettrait d'ordonner au gouvernement de procéder à cette "analyse de l'impact". Encore faudrait-il que le passe sanitaire "engendre un risque élevé pour les droits et libertés des personnes physiques".

 Plantu. Le Monde, 5 mars 2021

 

La protection des données

 

C'est précisément à cette question que le juge des référés répond lorsqu'il évoque le moyen fondé sur l'atteinte à la vie privée et la protection des données personnelles. Il n'est évidemment pas contestable que le passe sanitaire repose sur un traitement de données personnelles faisant apparaître l'identité de la personne. Mais le juge des référés observe que des précautions ont été prises pour limiter le risque de dissémination de données personnelles. D'une part, il observe que la version numérique du passe est facultative et que nul n'est contraint de télécharger l'application. Il suffit en effet de télécharger le passe sur le site Ameli de la Sécurité sociale. D'autre part, le système est décentralisé, avec un contrôle local des données (mode "off-line") effectué par les personnes dont la liste est énumérée dans le décret. 

Invité par l'association requérante, le juge des référés s'interroge sur la "minimisation des données", principe prévu par l'article 5 du RGPD et l'article 4 de la loi du 6 janvier 1978. Il précise que les données personnelles collectées et stockées doivent être "adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées". En l'espèce, le juge refuse de suivre l'association requérante qui estimait non pertinente la divulgation de l'identité de la personne. Cette information est en effet indispensable pour s'assurer que le passe présenté est bien celui de la personne qui s'en prévaut. Au demeurant, l'article 1er de la loi du 31 mai 2021 exige que l'information donnée à la personne qui effectue le contrôle consiste seulement dans la mention du droit d'user du passe sanitaire, sans qu'il soit possible de savoir si elle vaccinée, rétablie de la maladie, ou titulaire d'un test négatif. De tous ces éléments, le juge des référés déduit donc que le passe sanitaire n'engendre pas un risque élevé pour la vie privée et la protection des données personnelles.

L'analyse du juge des référés s'arrête là, et il ne croit pas utile de répondre aux autres moyens développés dans la requête. Il s'agissait en effet de dénoncer comme atteinte aux libertés de circulation et de manifestation un dispositif qui en effet porte atteinte à ces libertés, mais seulement au détriment de ceux qui ont refusé de se faire vacciner, ou refusé de faire un test. Pour les autres, le passe sanitaire a au contraire pour conséquence de réintroduire une liberté de circulation qui avait été fortement malmenée durant le confinement. Est également réintroduite la liberté d'entreprendre, dès lors que des activités auparavant fermées peuvent désormais reprendre leur activité

Certes, La Quadrature du Net se donne pour mission de lutter pour la protection des données personnelles et elle a souvent fait avancer le droit dans ce domaine. Sans doute n'avait-elle guère d'illusions sur le succès de son référé. Mais, bien au-delà de l'association requérante, ce type de contentieux s'inscrit dans une tendance générale qui consiste à invoquer une discrimination, une atteinte à telle ou telle liberté, pour se soustraire au principe d'égalité devant la loi et faire prévaloir ses convictions personnelles sur l'intérêt général. Il risque ainsi d'être perçu comme un soutien indirect apporté à ceux qui refusent de se faire vacciner et compter sur l'immunité collective apportée par les autres.

Il ne fait aucun doute que le passe sanitaire vise d'abord à permettre à ceux qui bénéficient d'une protection de retrouver une large partie de leur liberté. Mais il a aussi pour objet d'inciter les autres à se faire vacciner. En quoi serait-il illicite d'avoir une politique incitative en ce domaine ? Quant aux esprits chagrins qui se plaignent des atteintes que le passe sanitaire porte à leur liberté, ils ont une solution simple : se faire vacciner.

Sur l'état d'urgence sanitaire : Manuel de Libertés publiques version E-Book et version papier, chapitre 2, section 3