Appuyez sur Entrée pour voir vos résultats ou Echap pour annuler.

Droit à l’oubli ou plutôt droit à la rectification ?

Droit à l’oubli numérique : où en est on sur le plan légal et comment faire sur un plan technique ?

Remis à la mode par Nathalie Koziuscko-Morizet et quelques affaires (Facebook ...), le droit à l’oubli numérique résulte des articles suivants de la directive européenne 95/46 du 24 octobre 1995 sur la protection de la vie privée [1] :

  • art. 6-1 : les données doivent être conservées (...) pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées
  • art. 12 : les Etats membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :
    a) la communication sous une forme intelligible des données faisant l’objet d’un traitement ;
    b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive.

Il résulte aussi des articles 6 et 7 et 38 de la loi française Informatique et libertés (loi n° 78-17 du 6 janvier 1978), qui créent notamment le droit d’opposition à figurer dans un fichier :

  • Article 6
    Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
    1° Les données sont collectées et traitées de manière loyale et licite ;
    2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;
    3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
    4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
    5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
  • Article 7
    Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
    1° Le respect d’une obligation légale incombant au responsable du traitement ;
    2° La sauvegarde de la vie de la personne concernée ;
    3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
    4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
    5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
  • Article 38
    Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
    Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
    Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.

Mini-webibliographie sur le droit à l’oubli numérique [2] :

Quelques articles et posts récents sur le sujet expliquent et donnent des trucs techniques. Rappelons que si effacer la totalité de l’historique du navigateur ne gêne pas vraiment l’internaute, en revanche, l’effacement des cookies doit rester sélectif car on en a besoin pour acheter sur Internet quoi que ce soit et pour consulter quelque base de données payante que ce soit et même des gratuites ...

Emmanuel Barthe
documentaliste juriodique

Notes

[1Une synthèse sur le régime créé par cette directive : Les "CNIL européennes" précisent les règles applicables aux moteurs de recherche, communiqué CNIL 11 avril 2008. Les documents produits par le "groupe de l’article 29". Un avocat rappelle que pour certaines juridictions répressives, l’adresse IP n’est pas une donnée personnelle parce qu’elle ne permet d’identifier avec certitude une personne physique : Adresse IP et données personnelles : une difficile conciliation / Alexandre Diehl, Journal du Net 13 janvier 2009.

[2Merci à Guy Coslado et Jean.

[3Ne pas oublier non plus qu’on a affaire ici à une décision temporaire nécessitée par l’urgence (c’est ça, une "ordonnance de référé") et qui ne présage pas de la réponse que le tribunal apportera plus tard sur le fond de l’affaire.

[4Ixquick combine les résultats de All the Web, EntireWeb, Altavista, Exalead, Voila, Ask/Teoma, Gigablast, Bing et Google, mais aussi Open Directory et Wikipedia.