Que faire quand une personne aimée est décédée et que des écrits, images ou vidéos dégradantes et/ou indiscrètes concernant son décès sont publiés sur internet?

Comment les amis, la famille et les héritiers de cette personne décédée peuvent-ils rétablir une image appropriée et la réputation de cette défunte, sur le Far West virtuel qu’est le world wide web?

Comment  obtenir le déréférencement de liens concernant les personnes décédées sur Google?

 

1. Déréférencement ou retrait: faits généraux et modalités

1.1. Qu’est-ce que le déréférencement ou le retrait?

Le déréférencement, aussi appelé retrait, est le procédé selon lequel les liens vers certains contenus écrits/audios/vidéos/photographiques disponibles sur internet (le “Contenu”) sont supprimés, des résultats générés par les fournisseurs de services de moteurs de recherche, après que des mots-clés précis aient été insérés dans l’outil de barre de recherche de ces mêmes moteurs de recherche. C’est ainsi que l’on retire les liens concernant des personnes décédées de Google.

Le déréférencement est un service que Google, ainsi que d’autres moteurs de recherche, peut fournir, soit de son plein gré, soit après y avoir été obligé par décision de justice.

Le déréférencement ne doit pas être confondu avec le fait de retirer du contenu d’internet en contactant directement les webmasters des sites web originaux qui publient le Contenu.

Google étant un moteur de recherche, il liste simplement le résultat des recherches, et permet l’accès grâce à des liens cliquables vers les sites web reliés aux mots-clés que l’on saisit dans la barre de recherche. Google, à la différence des webmasters des sites originaux, n’a aucun contrôle sur le contenu des pages web; les liens desquelles il propose d’afficher. Par conséquent, il serait inutile de demander à Google le retrait d’informations affichées sur une page web exposée sur un site internet tiers.

1.2. Quel est le but du déréférencement?

Google est, de loin, le plus populaire au monde des moteurs de recherche.

Selon Net Marketshare, Google occupe 80,52% du marché global des moteurs de recherche. La plupart des gens font appel à Google pour trouver le Contenu qu’ils recherchent et pour accéder aux pages web qui les intéressent.

Ainsi, le simple fait de faire déréférencer de Google un lien URL de ses classements rend le Contenu beaucoup plus difficile à trouver par les utilisateurs du Web. Le Contenu sera presque impossible à trouver par accident, et sera toujours assez difficile à trouver même en le cherchant spécifiquement.

1.3. Comment envoyer des demandes de déréférencement à Google?

Bien qu’il n’y ait aucune obligation légale de le faire, il peut être avisé, durant la première étape du processus de déréférencement, de contacter les webmasters des sites web tiers affichant le Contenu que vous souhaitez faire effacer.

Dans la plupart des cas, cette étape est malheureusement péniblement inefficace puisque de nombreux webmasters et éditeurs de sites web soit ne prennent même pas la peine de répondre, soit refusent de retirer le Contenu en question de leur site web.

Si vous avez tenté de contacter le webmaster et éditeur du site web tiers en vain, la prochaine étape sera alors de faire une demande auprès du moteur de recherche Google de retirer les liens URL, liant au Contenu controversé, de ses listes de recherches, afin que, alors même que le Contenu reste sur internet, les internautes ne le trouveront pas en utilisant le moteur de recherche Google, Google Images, Google recherches avancées (« Google advance search ») ou Google alertes.

Si vous avez décidé de ne contacter ni les webmasters, ni les éditeurs du Contenu directement en premier, comme cela est votre droit, la première étape sera de contacter Google et de requérir le retrait de ces liens, comme expliqué ci-dessus.

Alors qu’il est possible d’exercer votre droit auprès des opérateurs de moteurs de recherche tels que Google par tous moyens, Google a rendu cela relativement aisé pour vous.

Donc, comment retirer des liens concernant des personnes décédées de Google? Google a créé et publié certains formulaires en ligne, qui peuvent être remplis de son site web.

Il y a deux types de formulaires Google:

• le formulaire de « demande de retrait de recherches conformément à la loi sur la protection des données en Europe »: ce formulaire vous permet de remplir et d’envoyer une requête pour que Google déréférence les informations conformément aux lois de protection des données en Europe. Ce formulaire peut être utilisé par n’importe quel européen. En revanche, un européen vivant en dehors de l’Europe ne pourrait pas utiliser ce formulaire, selon les directives de Google.

• le formulaire de « retrait d’informations de Google »: ce formulaire vous permets de remplir une demande afin que Google déréférence les informations vous concernant de ses résultats de recherche, de façon plus générale. Il est destiné aux résidents européens ainsi qu’aux résidents non-européens.

Ces formulaires requièrent que vous divulguez les informations suivantes:

• le nom complet de la personne dont vous voulez faire retirer les données;

• votre nom complet, si vous agissez pour le compte d’une autre personne;

• votre relation avec la personne dont les données sont l’objet de la demande de déréférencement faite à Google (par exemple, “parent”, “avocat”, etc.);

• une adresse de contact électronique;

• le pays de la loi duquel la demande devrait être examinée;

• les URLs que vous souhaitez voir effacer des listes de Google;

• quelques explications écrites sur les raisons pour lesquelles vous voulez que ces URLs soient déréférencés (limitées à approximativement 500 caractères, ce qui, en pratique, ne vous permet de donner que des explications très limitées) et

• une copie scannée de la preuve d’identité de la personne dont vous voulez que les données soient effacées.

1.4. Taux de succès des demandes de déréférencement

Google a supprimé 345 millions de liens URL en 2014, 558 millions de liens URL en 2015 et 908 millions de liens URL en 2016.

Bien que le nombre de liens supprimés ait augmenté considérablement d’année en année, le nombre de demandes de déréférencement s’est aussi accru.

Au mois de mars 2016, Google avait reçu plus de 400.000 demandes, examiné plus de 1,4 millions de liens URL, et retiré  42,6% des liens URL pour lesquels ils avaient reçu des demandes de déréférencement.

Toutefois, le taux des effacements, comparé au nombre de demandes, est maintenant en déclin.

Est-ce parce que de plus en plus de personnes font des demandes de déréférencement déraisonnables et/ou parce que Google devient de plus en plus difficile dans son processus de sélection de ces liens URL qui devraient être déréférencés?

2. Cadre réglementaire en Europe: le régime le plus protecteur des personnes physiques au monde

La réglementation sur la protection des données personnelles est, dans l’Union Européenne, rédigée par chaque état-membre séparément, à la date de cet article.

2.1. La décision de la CJUE Costeja: le droit au déréférencement dans l’UE

Cette décision est un jugement de la Cour de Justice de l’Union Européenne (“CJUE”) rendu le 26 novembre 2014, à laquelle il est généralement fait référence comme la décision sur le “Droit à l’oubli”.

Ce jugement avant-gardiste reconnaît que les opérateurs de moteurs de recherche, tels que Google, traitent des données personnelles et sont qualifiés de responsables du traitement de données au sens de l’Article 2 de la Directive 95/46/EC.

Conformément aux dispositions de la Directive 95/46/EC, les personnes concernées par les données personnelles pourront faire une demande de déréférencement de liens URL vers du Contenu considéré comme étant en violation avec leurs droits fondamentaux (c’est à dire le droit à la vie privée et à la protection des données personnelles).

La décision de la CJUE reconnaît qu’une personne concernée peut “demander (à un moteur de recherche) que les informations (qui la concernent personnellement) ne soient plus disponible au public à cause de son inclusion dans (…) une liste de résultats”. La Cour force alors les moteurs de recherche tels que Google à effacer, quand demandé, les liens URL qui sont “inadéquats, sans pertinence ou ayant perdu leur pertinence, ou excessifs par rapport aux buts pour lesquels ils avaient été traités et à la lumière du temps qui s’est écoulé.”

Si les moteurs de recherche n’accordent pas de telles requêtes de déréférencement, les personnes concernées peuvent déposer une plainte auprès des Autorités Européennes de Protection des Données personnelles (“AEPDs”), ou toute autorité judiciaire compétente, de leurs états européens respectifs. Les AEPDs examineront alors la plainte, touchant au refus partiel ou total de déréférencer le Contenu, utilisant une liste de critères communs. En effet, une première analyse des plaintes reçues jusqu’ici et provenant de personnes concernées dont les demandes de déréférencement avaient été refusées par Google et d’autres moteurs de recherche, a permi aux AEPDs d’établir une liste des critères communs à utiliser par elles afin d’évaluer si la loi sur la protection des données personnelles avait été respectée. Les AEPDs évalueront les plaintes au cas-par-cas, en utilisant des critères tels que:

• le résultat des recherches concerne-t-il une personne physique – c’est à dire un individu? Et le résultat des recherches apparaît-il lorsqu’une recherche sur le nom de la personne concernée est effectuée?

• La personne concernée tient-elle un rôle dans la vie publique? Est-ce que la personne concernée est une personne publique?

• Est-ce que la personne concernée est un mineur?

• Les données personnelles sont-elles exactes?

• Est-ce que les informations sont sensibles au sens de l’Article 8 de la Directive 95/46/EC (c’est à dire que ces informations ont un impact supérieur sur la vie privée de la personne concernée que des données personnelles « ordinaires’, telles que du Contenu concernant la santé, sexualité ou les croyances religieuses d’une personne)?

• Est-ce que les données personnelles sont à jour? Les données personnelles sont-elles disponibles plus longtemps que nécessaire par rapport au but du traitement?

• Le Contenu est-il volontairement rendu public? Est-ce que la personne concernée pouvait raisonnablement s’attendre à ce que le Contenu serait rendu public?

• Est-ce que les données personnelles sont relatives à une infraction pénale?

La décision de la CJUE a été reçue, en particulier en Grande Bretagne et aux Etats-Unis d’Amérique, avec des critiques. Un éditorial du New York Times a déclaré qu’elle pourrait saper la liberté de la presse ainsi que la liberté d’expression. 

Le Groupe de Travail sur la Protection des Données de l’Article 29 (« Article 29 Data Protection Working Party »), un organe consultatif indépendant européen sur la protection des données et le respect de la vie privée, a analysé le jugement de la CJUE, et écrit des lignes directrices exhaustives pour la mettre en oeuvre. Un des points les plus importants de ces lignes directrices rédigées pour mettre en oeuvre le jugement de la CJUE, est que, quand il est décidé que des liens URL doivent être effacés d’un moteur de recherche, ou lorsqu’un moteur de recherche accepte de retirer des liens URL, l’effet de ce déréférencement devrait être effectif dans le monde entier, et non limité seulement à l’extension du pays (c’est à dire les domaines de l’UE) où la demande a été faite. En pratique, cela signifie que dans tous les cas le déréférencement devrait aussi être effectif sur tous les domaines pertinents, y-compris « .com ».

La décision de la CJUE est un énorme pas en avant pour la protection des données personnelles en Europe, étant donné qu’elle renforce le droit d’une personne au contrôle de l’accès à ses données personnelles sur internet, et met en place un « droit à l’oubli » reconnu.

Donc, comment effacer des liens concernant des personnes décédées de Google? La décision de la CJUE ne concerne que la protection des données personnelles et de la vie privée des personnes vivantes. En effet, elle précise que la demande de déréférencement doit être faite par la personne dont les données personnelles sont affichées sur internet.

2.2. Règlement Général sur la Protection des Données Personnelles

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques eu égard au traitement des données à caractère personnel et à la libre circulation de ces données personnelles, est entré en vigueur le 24 mai 2016 et s’appliquera seulement à partir du 25 mai 2018 (le « Règlement Général sur la Protection des Données personnelles » ou « RGPD »).

Le RGPD consacre en tant que loi le droit à l’oubli, comme énoncé en son Article 17. Conformément à son objectif principal de permettre aux personnes concernées de prendre contrôle de leurs propres données personnelles, le RGPD dispose le droit au déréférencement (« droit à l’oubli ») qui permettra aux personnes concernées de demander aux responsables du traitement des données personnelles (u compris les moteurs de recherche comme Google) de supprimer leurs données, s’il n’y a aucune raison légitime pour leur rétention.

L’innovation dans le RGPD, comparé au régime en vigueur exposé dans la Directive 95/46/EC, est qu’actuellement les personnes concernées ont seulement le droit de demander une décision judiciaire pour cesser le traitement de leurs données personnelles, quand ces dernières causent des dommages, tandis que le RGPD permet aux personnes concernées d’éviter l’intervention d’un tribunal, coûteuse et longue, en réglant la problématique directement avec le responsable du traitement des données personnelles (y compris tout moteur de recherche).

Puisqu’une personne concernée est définie de manière large comme étant « toute personne physique pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant comme un nom, numéro d’identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » dans le RGPD, cela vaut la peine de vérifier si une telle définition englobe tant les personnes vivantes que mortes.

Dans son « Considérant 27 », le RGPD donne à chaque État-membre le choix pour étendre la protection aux défunts, ou non. Il précise que ce « Règlement ne s’applique pas aux données personnelles de personnes décédées. Les États-membres peuvent prévoir des règles quant au traitement des données personnelles de personnes décédées« .

Par conséquent, quelques États-membres de l’UE, comme la France, ont choisi d’inclure les personnes décédées dans la définition de personnes physiques à qui les dispositions du RGPD s’appliqueront, tandis que d’autres, comme le Royaume-Uni, excluent explicitement les personnes décédées de leurs règlementations (voir ci-dessous).

Dans le contexte d’un Brexit imminent, et selon l’AEPD britannique, qui s’appelle « Information Commissionner Office » (« ICO« ), « le RGPD s’appliquera au Royaume-Uni à partir du 25 mai 2018 puisque le gouvernement a confirmé que la décision britannique de quitter l’UE n’affectera pas la mise en œuvre du RGPD« , bien qu’il y ait toujours des questions sur la manière dont le RGPD s’appliquera une fois que le Royaume-Uni aura quitté l’UE.

Depuis que le RGPD est entré en vigueur en mai 2016, la plupart des états-membres de l’UE ont déjà commencé à adapter leurs propres réglementations internes afin de s’y conformer.

2.3. Data Protection Act 1998 au Royaume Uni

Le Data Protection Act 1988 énoncé les lois relatives à la protection des données personnelles au Royaume Uni.

Cependant, il expose clairement dès le début, qu’il ne s’applique pas aux données de personnes décédées. En effet, dans sa Partie I « Basic interpretative provisions », le the Data Protection Act 1998 précise que les « données personnelles » signifient les données qui sont reliées à un individu vivant qui peut être identifié« . Ceci exclut donc les défunts.

Le Data Protection Act 1998 ne sera probablement pas amendé dans l’avenir, puisque le RGPD permet aux états-membres de limiter leurs lois relatives à la protection de données personnelles, aux personnes vivantes.

Donc, le Data Protection Act 1998 et l’AEPD britannique, l’ICO, n’offre aucune solution pour, ou de protection à, des personnes voulant voir le Contenu et les liens nuisibles concernant des membres décédés de leur famille, retirés des moteurs de recherche comme Google.

2.4. Loi informatique et libertés en France

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés française, généralement mentionnée comme la « Loi informatique et libertés », est bien plus favorable envers des membres de la famille et/ou des amis d’une personne décédée faisant face à une telle situation. En effet, la loi énonce une section entière consacrée aux personnes décédées.

La loi informatique et libertés a été modifiée par la loi n°2016-1321 du 7 octobre 2016, pour prendre en compte le nouvel ensemble de règles résultant du prochain RGPD.

Premièrement, l’Article 40 de cette loi permet aux personnes physiques de demander au responsable d’un traitement des données personnelles de modifier ces données les concernant. Ces données personnelles peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacées si elles s’avèrent inexactes, incomplètes, équivoques, périmées, ou si leur collecte, utilisation, communication ou conservation est interdite.

On donne ainsi aux personnes physiques un grand champ de contrôle sur leurs données personnelles sur Internet. Cependant, la loi informatique et libertés va au-delà, en accordant des droits sur des données personnelles relatives à des personnes décédées.

En effet, l’Article 40-1 de la loi informatique et libertés expose que « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès« . De plus, « en l’absence de telles directives rédigées par quelqu’un, les héritiers de cette personne concernée peuvent accéder aux traitements de données à caractère personnel qui concernent cette personne décédée, afin d’identifier et d’obtenir la communication de ces données« .

Un des avantages de cette loi est qu’elle permet à une personne de donner des instructions quant à ce qui devrait être fait avec ses données personnelles en ligne après sa mort. La personne peut décider à l’avance la suppression, la conservation ou la communication de ses données personnelles après son décès. Elle donne aussi des droits aux héritiers de la personne pour agir même lorsque la personne décédée n’a laissé aucune instruction. La partie III de ce même Article 40-1 permet aux héritiers d’une personne décédée de faire prendre en compte aux responsables de traitement de données personnelles, la mort de cette personne et, à cet égard, à s’opposer au traitement de ces données de la personne décédée, et de faire enlever, modifier ou mettre à jour de telles données personnelles.

Donc, comment enlever des liens concernant des personnes décédées de Google? Si Google refuse d’accorder la demande de déréférencement de certains liens URL, qui dirigent vers des pages web exposant un Contenu contrevenant sur une personne morte, il peut vraiment valoir la peine de se plaindre à l’AEPD française, la Commission Nationale Informatique et Libertés (« CNIL« ), de ce que Google a violé les dispositions de la loi Informatique et Libertés. Tant que le moteur de recherche a une filiale en France, la CNIL confirmera qu’elle est compétente pour examiner une telle plainte faite par un héritier d’une personne décédée, bien qu’un tel héritier ou telle personne décédé ne soient pas résidents en France.

3. Cadre règlementaire aux Etats-Unis d’Amérique: aucune protection pour les personnes décédées à ce jour

3.1. Les réglementations de base

Aux Etats-Unis, les régimes spéciaux varient d’un état à un autre, mais, il y a un trait commun très clair par rapport à la protection de données personnelles, qui est que la liberté d’expression (c’est à dire le premier amendement de la Constitution des Etats-Unis), dépasse le droit de contrôle d’une personne  sur ses propres données personnelles.

Avec ceci en mémoire, il est clair que, quand les données personnelles en question sont celles d’une personne décédée, la balance entre la vie privée et la liberté d’expression est plus favorable à cette dernière, aux Etats-Unis.

3.2. L’affaire Nicole Castouras

Ce point de vue est devenu manifeste dans le litige Nicole Castouras, qui s’est déroulé à Orange County, en Californie, entre 2006 et 2012.

Nicole Castouras, 19ans, est morte le 31 octobre 2006, en percutant la Porsche de son père, qu’elle n’était pas autorisée à conduire, dans un poste de péage en béton près de la jonction Alton Parkway sur la Route 241 en Californie. Les photos de son cadavre ont été répandues par la Police de la Route de Californie (« California Highway Patrol »), l’organisme appliquant la loi en Californie et ayant juridiction sur les patrouille de toutes les routes et autoroutes de Californie, et qui peut aussi agir comme police d’Etat. Ces photographies étaient si macabres, qu’elles ont suscité une curiosité malsaine de la part du grand public et ont été repostées des milliers de fois sur Internet, devenant virales.

Nicole’s parents then started an extremely expensive and protracted legal battle, against search engine Google and the California Highway Patrol, which lasted for years. The Castouras family lost the case against Google, further to requesting that the search engine de-link the articles and Content containing the images. Their only victory was to reach a settlement with the California Highway Patrol, under which the family received around USD2.37 millions in damages, caused by negligence and intentional infliction of emotional distress.

Les parents de Nicole ont alors commencé une bataille juridique, extrêmement coûteuse et prolongée, contre le moteur de recherche Google et la Police de la route de Californie, qui a duré pendant des années. La famille Castouras a perdu l’affaire contre Google, suite à sa demande de déréférencement par le moteur de recherche des articles et du Contenu contenant les images. Leur seule victoire a été d’obtenir une transaction avec la Police de la route de Californie, auprès de laquelle la famille a reçu un montant d’à peu près 2,37 millions USD en dommages et intérêts, causés par négligence et le fait d’avoir volontairement infligé de la détresse émotionnelle.

Comment enlever les liens concernant les personnes décédées de Google, quand on se trouve aux Etats Unis d’Amérique? Puisque le droit à l’oubli consacré par la décision de la CJUE, et le RGPD, disposent que le retrait des URL controversés, doit être fait sur toutes les extensions des noms de domaine, y compris le nom de domaine .com, et bien que Google ne respecte pas cette règle pour l’instant (voir ci-dessous), il peut valoir la peine pour les héritiers d’un citoyen américain décédé, de déposer une plainte contre Google auprès de la CNIL française, tant que le Contenu controversé concernant la personne défunte est visible de France, sur Internet.

4. Les effets d’une demande de déréférencement fructueuse

4.1. Seulement les liens URL sont déréférencés de Google, le Contenu n’est pas effacé

Si Google accepte votre demande de retrait des liens (ou s’il est forcé de le faire par une AEPD ou par une décision de justice), cela ne signifie pas que le Contenu, vers lequel ces liens dirigent, sera enlevé d’Internet. Le Contenu restera exactement comme il était et vous pourrez toujours le trouver sur le world wide web.

Cependant, ceci ne signifie pas qu’il est inutile de remplir le formulaire demandant le retrait auprès de Google. Le déréférencement reste utile puisqu’il rend le Contenu beaucoup plus difficile d’accès et à trouver. En effet, le déréférencement signifie que vous ne pourrez pas trouver le Contenu en le cherchant sur Google, puisque Google aura enlevé les liens URL de ses résultats de recherche. Cela signifie également que les membres du public qui ne connaissent pas l’existence de ce Contenu que vous voulez cacher, ne tomberont jamais dessus en naviguant par hasard sur Internet.

Donc, bien que le Contenu reste en ligne, seules les personnes qui ont déjà eu connaissance de celui-ci et qui sont prêtes à dépenser du temps et des ressources importantes pour y avoir accès, pourront le trouver, puisqu’elles devront se donner beaucoup de mal et utiliser un autre moteur de recherche que Google, pour avoir accès au Contenu.

Bien sûr, vous pouvez déposer plusieurs demandes de déréférencement auprès d’autant de moteurs de recherche que vous le voulez, pas seulement avec Google. Ils devront tous respecter la jurisprudence mise en œuvre par la décision de la CJUE et les dispositions du RGPD sur le droit à l’oubli, soit en faisant droit à de telles demandes de référencement, soit en vous répondant et vous expliquant pourquoi ils refusent d’y faire droit.

4.2. Spécifique au pays/géolocalisation: une limitation spécifique à un pays, pour l’instant

Pour le moment, l’accord des demandes de déréférencement reste spécifique à chaque pays. Cela signifie que si Google a accepté, ou a été forcé d’accepter par une décision de justice, d’enlever des liens URL, et que la demande de déréférencement a été faite en France, alors c’est seulement lorsque vous cherchez sur l’extension française de Google « Google.fr », que vous ne trouverez plus ces liens. En effet, si vous prenez le temps pour vérifier aussi sur « Google.com », ou une autre extension de pays, alors vous trouverez les liens URL vers le Contenu. Cela signifie que les liens ne seront pas trouvés par hasard désormais, mais ils seront toujours facilement disponibles pour les membres du public qui les recherchent activement.

Le Groupe de travail de la protection de données personnelles de l’Article 29 mentionné ci-dessus, le groupe de travail européen qui a écrit des directives pour la mise en oeuvre du droit à l’oubli consacré par la décision de la CJUE, expose dans ses directives que le déréférencement devrait être effectif sur toutes les extensions de Google, y compris « Google.com ». Cependant, Google refuse toujours une telle interprétation du jugement de la CJUE, expliquant que moins de 5 % de recherches européennes sont faites via « Google.com » et que Google dirige automatiquement des recherches Internet aux extensions locales. Ainsi, en enlevant simplement le lien URL d’une extension d’un pays européen, il évitait déjà presque toutes les découvertes accidentelles du lien en question, selon Google. Google va plus loin en disant que les personnes trouvant le lien URL étaient celles qui le cherchaient activement de toute façon, et auraient fini par le trouver en utilisant par exemple un autre moteur de recherche s’ils avaient continué leur recherche.

4.3. L’action de la CNIL contre Google: une approche avant-gardiste

Cette approche molle adoptée par Google, par rapport à la restriction géographique étroite du processus de déréférencement des liens URL dirigeant vers le Contenu controversé, n’est pas bien passé en Europe.

Le 10 mars 2016, après plusieurs lettres de mise en demeure et une tentative avortée de régler ce différend à l’amiable, la CNIL française a condamné Google à une amende de 100.000 euros pour violation des dispositions de la Directive 95/46/EC, des dispositions de la loi informatiques et libertés et de la jurisprudence de la CJUE sur le droit à l’oubli. Précisément, la CNIL a indiqué que Google devait déréférencer les URL sur toutes les extensions des noms de domaines de tous les pays, y compris « Google.com ».

La CNIL a souligné deux points majeurs dans sa décision:

• Les services de moteurs de recherche de Google constituent un seul processus de traitement des données personnelles et ses extensions géographiques ne peuvent être considérées comme un traitement de données séparé. En effet, l’entreprise a initialement exploité uniquement « .com » et a progressivement ajouté des extensions pour chaque pays afin de fournir des services plus adaptés à chaque pays et langue nationale.

• Donc, pour que le droit des résidents français de déréférencer des liens URL en rapport avec leurs données personnelles soit correctement respecté, le déréférencement doit être appliqué à toutes les extensions des pays de Google.

Google a rapidement fait appel contre la décision de la CNIL publiée publiquement, en déposant un rapport sommaire devant Conseil d’Etat français. Une décision du Conseil d’Etat est attendue et doit être rendue pendant le deuxième trimestre de 2017, donc soyez vigilant!

5. La meilleure stratégie pour obtenir le déréférencement

Comment effacer les liens concernant des personnes décédées de Google ?

Les divers pays en Europe ont des politiques différentes concernant la protection des données personnelles.

Si vous êtes un résident ou citoyen d’un État-membre de l’UE, alors cela vaut la peine de jeter un œil aux réglementations de protection des données personnelles en vigueur dans d’autres États-membres, afin de faire du « forum shopping ».

Si vous êtes un résident ou citoyen des Etats-Unis d’Amérique cependant, votre meilleure stratégie est de ne pas essayer de battre Google devant un tribunal, aux Etats-Unis, puisque vous échouerez indubitablement dans la plupart des cas. L’approche la plus raisonnable est de viser la personne ou l’entité juridique qui a répandu les données personnelles et les informations en premier lieu, si ceci est applicable à votre cas, afin d’obtenir des dommages et intérêts auprès d’eux.

5.1. La meilleure stratégie est d’escalader votre demande auprès de l’Autorité Européenne de Protection des Données personnelles française, la CNIL

Comme nous l’avons vu ci-dessus, les réglementations françaises sur la protection des données personnelles sont parmi les plus protectrices au monde, en particulier pour les données personnelles des personnes décédées. C’est pourquoi cela vaut la peine de passer par l’AEPD française, la CNIL, pour obtenir le déréférencement de liens URL, plutôt que, par exemple, l’AEPD du Royaume-Uni, et cela même pour un résident britannique.

Dans tous les cas, avant d’envisager une assignation en justice, il est moins coûteux et plus sage de d’abord déposer une plainte auprès de la CNIL. La procédure de plainte avec la CNIL est gratuite et assez facile à entreprendre puisqu’elle peut être faite entièrement en ligne. En outre, leur site web possède également une version anglaise, rendant la procédure beaucoup plus simple pour les ressortissants d’un autre pays.

La plainte peut être déposée en ligne, sur le site web de CNIL. Vous devrez remplir un formulaire avec vos informations personnelles et télécharger ensuite une copie de votre demande faite auprès de Google, une copie du message de refus de Google, ainsi que n’importe quel document qui peut soutenir votre plainte. Il y a aussi un espace pour n’importe quelles explications que vous voulez envoyer à la CNIL pour leur examen. La plainte déposée sera alors distribuée à un examinateur de la CNIL, qui a deux mois pour commencer à examiner le refus de Google et votre plainte.

La CNIL examine votre demande selon la loi française. C’est pourquoi vos chances de réussir sont bien plus élevées en passant par la CNIL que par l’ICO, particulièrement si vous voulez déréférencer des liens URL concernant une personne décédée.

En outre, la CNIL a déjà montré son efficacité (et sa robustesse) face à Google, par exemple quand elle a infligé une pénalité de 100.000 euros à Google, comme décrit ci-dessus.

5.2. Agir par étapes progressives: demande de retrait, escalade à la CNIL et, en dernier ressort, assignation devant une juridiction française

Premièrement, vous devez déjà avoir essuyé un refus de Google de déréférencer les liens, pour commencer le processus d’escalade.

Et avant de faire une demande de déréférencement à Google, il serait préférable (mais en aucun cas une obligation légale), d’essayer de contacter les webmasters des sites web exposant le Contenu controversé, puisque ces éditeurs peuvent décider de simplement le retirer.

La raison pour laquelle vous avez besoin de tout d’abord remplir une demande de déréférencement auprès de Google et d’attendre de recevoir un éventuel refus, est que la CNIL contacte Google afin de savoir la raison de refuser le déréférencement du Contenu, et ensuite d’évaluer si Google était dans son droit ou pas de refuser.

Si la procédure de plainte devant la CNIL échoue (ou même avant d’aller devant la CNIL), il est possible de porter cette affaire devant les tribunaux français. Cependant, il est recommandé de commencer par un dépôt de plainte devant la CNIL, puisque la procédure est gratuite (contrairement à l’action devant le tribunal) et plus rapide qu’un procès.

L’article 79.2 du RGPD dispose que toute procédure contre un contrôleur de données, tel que Google, peut être portée devant les tribunaux de l’état-membre de l’UE où le responsable du traitement des données ou son sous-traitant, ont un établissement. Google a un établissement en France: sa filiale, Google France. Par conséquent, les citoyens d’autres états-membres de l’UE peuvent assigner Google en justice en France, pour faire respecter leur droit à l’oubli, ou celui de leur proche décédé. Ceci cependant, sera seulement une option pour les citoyens britanniques tant que le Royaume-Uni est un état-membre de l’UE. Après l’achèvement du Brexit, les citoyens britanniques ne pourront plus faire respecter leur droit à l’oubli en France, à moins que des accords bilatéraux appropriés entre l’UE et le Royaume-Uni n’aient été mis en place.

L’avantage d’engager des procédures judiciaires en France, pour faire respecter son droit à l’oubli, est que la loi française s’appliquera conformément à l’Article 82.6 du RGPD qui dispose que la loi applicable est celle du pays où la procédure devant les tribunaux a été portée. C’est une bonne nouvelle pour les personnes concernées, puisque la loi française est beaucoup plus favorable à la protection des données que la loi britannique, en particulier concernant le droit à l’oubli des personnes décédées.

 

Alix de la Tour et Annabelle Gauberti (traduit en français par Melina MacDonald)