En quête d’un droit à l’oubli numérique effectif : à propos du renvoi préjudiciel de la justice espagnole à la CJUE par Mélisande GUILLERM

Au travers de l’ordinateur, l’oubli qui jusque-là était un attribut immuable de la nature humaine devient mémoire. Aujourd’hui les nouvelles technologies permettent, en un seul clic, à n’importe quelle information d’être globale, en dépassant les frontières, mais aussi éternelle, en étant accessible à tout moment et sans limite temporelle. Dans l’actualité, c’est le questionnement autour d’un droit à l’oubli numérique mieux défini qui se pose. Pour preuve, la récente question préjudicielle posée par la justice espagnole à la CJUE.

 « Le meilleur que nous puissions attendre des hommes, c’est l’oubli »

François Mauriac (Bloc-notes 1958-1960)

            Au travers de la notion équivoque de droit à l’oubli numérique (en avant DON), c’est un droit au contrôle des données à caractère personnel (en avant DCP) qui est fourni à toute personne, particuliers ou entreprises, face aux plateformes de publication, réseaux sociaux ou encore moteurs de recherche (en avant MR), en permettant le retrait ou l’effacement de celles-ci, dès lors que leur traitement n’est plus légitime ou nécessaire à la fin pour laquelle elles ont été obtenues en premier lieu.

           Sans doute exacerbé par la Journée européenne de la protection des DCP (initiative de la Commission Européenne, du Conseil de l’Europe et des Autorités de protection de données européennes chaque 28 janvier) et les campagnes nationales de sensibilisation à l’adresse des citoyens sur leurs droits et responsabilités en matière de gestion de leurs DCP (par exemple le nouveau service de « gardiennage de vie numérique » dans les contrats Axa), un véritable débat de société émerge à propos de la consécration d’un DON cohérent et actuel. Ainsi, en France, selon les chiffres du Secrétariat d’Etat pour le développement de l’économie numérique, en 2009, 71% des Français estimaient insuffisante la protection de la vie privée sur Internet. Ce pourcentage atteignait 78% chez les jeunes entre 18 et 24 ans (communiqué de presse du 12/11/2009 du secrétariat d’état chargé de la prospective et du développement de l’économie numérique). La même année, l’Agencia Española de Protección de Datos (en avant AEPD - équivalent de la Commission Nationale de l’Informatique et des Libertés française - CNIL) recensait une augmentation de 56% des réclamations fondées sur le DON.

           L'Espagne est la première, au travers d’une question préjudicielle en interprétation pionnière devant la Cour de Justice de l’Union Européenne (en avant CJUE), a demander la redéfinition du concept de DON. Ce dernier, en vigueur, depuis sa timide affirmation au niveau européen, le 24 octobre 1995, par la Directive communautaire 95/46/CE relative à la protection des personnes physiques à l’égard du traitement de DCP, reste une notion floue qui n’emporte pas de consensus juridique au sein de l’UE. La CJUE, garante de la sécurité juridique, permet « une application uniforme du droit communautaire dans l'ensemble de l'Union européenne ». Un DON performant s’envisage indéniablement au-delà d’une simple régulation nationale et la décision de la CJUE est sans nul doute très attendue car son arrêt liera les juges nationaux de tous les Etats membres quant à l’interprétation du texte.

           C’est donc au titre de l’article 267 du Traité de Fonctionnement de l’Union Européenne que la chambre du contentieux administratif de la Audiencia Nacional (en avant AN– équivalent d’une cour d’appel française) s’interroge sur « les obligations à la charge des MR sur internet en matière de protection de DCP des personnes qui ne souhaitent pas que certaines informations personnelles puissent être localisées et mises à la disposition de tous les internautes de manière infinie », au sens de la Directive 95/46/CE. Parmi plus de 130 cas en attente de jugement devant l’AEPD, cette dernière a décidé de s’appuyer sur l’affaire qui oppose Google à M. X pour présenter sa question préjudicielle. En l’espèce, le citoyen espagnol avait demandé en 2009 au journal La Vanguardia la suppression d’une publication concernant une saisie de biens résultant du non paiement de dettes contractées mais finalement remboursées auprès de la Sécurité Sociale espagnole plusieurs années auparavant. Au cours de la procédure administrative devant l’AEPD, le journal n’a pas pu accéder à la demande de M. X, l’information faisant l'objet d'une publication légale ordonnée par le Ministère du Travail et des Affaires Sociales espagnol. Ce pourquoi, M. X s’est ensuite dirigé contre Google Inc et Google Spain S.L. les requérant de mettre en place « les mesures nécessaires pour obtenir le retrait et rendre impossible l’accès futur à ces données ».  L’AEPD lui ayant donné raison, Google Inc et Google Spain S.L. interjettent appel devant l’AN et sollicitent la nullité de la résolution administrative. C’est à l’occasion de cette procédure que la question préjudicielle posée soulève les problématiques de la notion de DON, de l’application territoriale de celui-ci et enfin de la responsabilité des MR en matière de protection des DCP.

Préciser le droit à l’oubli numérique : une notion trop confuse voire abstraite

            Le cheminement de ce questionnement s’est étendu d’une considération nationale à une considération européenne. Depuis novembre 2010, la question est au cœur de l’agenda européen afin de mettre un terme à la fragmentation du droit en vigueur. Il s’agit d’adopter une nouvelle législation en matière de protection des DCP. Celle-ci représente la toute première actualisation de la Directive 95/46/CE, qui, modelée bien avant l’utilisation massive de l’internet, la démultiplication des réseaux sociaux, la généralisation des MR et le marketing comportemental, présente aujourd’hui de graves lacunes face aux défis numériques actuels. Par exemple, elle n’édicte aucune règle relative à l’activité que mènent les MR sur internet. L’Espagne comme la France ont transposé cette Directive 95/46/CE dans leur ordre interne (respectivement par la loi organique n° 15/1999 du 13 décembre 1999 complétée par la loi 34/2002 du 11 juillet 2002 sur les services de la société de l’information et du commerce électronique, et la loi n°2004-801 du 6 août 2004 modifiant la loi n°78-17 relative à l'informatique, aux fichiers et aux libertés du 6 janvier 1978). Le considérant 2 de la Directive 95/46/CE pose le principe que «les systèmes de traitement de données sont au service de l’homme; ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au progrès économique et social, au développement des échanges ainsi qu’au bien-être des individus». Bien que la Directive 95/46/CE consacre un droit d’opposition et de retrait de ses DCP, les transpositions assez diversifiées au sein des Etats membres et la mise en œuvre du DON ont montré certaines disparités et souligné la nécessité d’une interprétation uniforme de la CJUE. Cette nécessité s'ajoute au fait que, dans les ordres internes français et espagnol, la protection des DCP est un droit essentiel. Reconnu constitutionnellement à l’article 18.4 de la Constitution espagnole qui énonce « la loi limite l’usage de l’outil informatique pour garantir le droit à l’honneur, l’intimité et une vie familiale des citoyens et l’exercice de leurs droits », il représente un droit fondamental, en France, en découlant de la notion de protection de la vie privée. Ainsi, la notion de DON représente le fil conducteur de nombreux textes légaux. La CJUE va par le biais de cette décision pouvoir s’exprimer sur les différentes interprétations faites autour de la Directive 95/46/CE.

             Le DON est formé du droit d’opposition ou derecho de oposición, qui s'exerce avant communication des données, et du droit de rectification ou derecho de cancelación, qui s'exerce après cette communication. La transposition de la Directive 95/46/CE dans l’ordre espagnol repose sur un principe de consentement des personnes physiques couplé à un principe de finalité des données. Les articles 8 et 17, de la loi de 2002, reconnaissent que les MR n’ont qu’une responsabilité limitée sur les informations qu’ils fournissent mais que le retrait de celles-ci peut leur être demandé lorsqu’elles vont à l’encontre de certains principes, comme la dignité de la personne, ou lorsqu’elles portent atteinte aux droits d’un tiers. Dans le cas d’espèce, L’AEPD se base sur ces dispositions légales pour obtenir de Google le retrait des données litigieuses. En France, l’article 9 du Code Civil reconnaît à « chacun le droit au respect de sa vie privée », bien que la protection conférée ait été remise en cause par un arrêt de 2002 qui rejette l’atteinte à la vie privée si les informations sont « des faits publics ou [qui] ne présentent qu'un caractère anodin » (Civ 1ère, 3 avril 2002). En outre, la loi informatique et liberté dispose dans son article premier que « l'informatique doit être au service de chaque citoyen. [...] ne doit porter atteinte ni à l'identité humaine, ni aux droits de l'homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Cette loi pose les bases du DON en vigueur : selon l’article 6, la durée de conservation des DCP ne doit pas excéder la durée nécessaire aux finalités pour lesquelles elles ont été collectées et traitées. L’article 38, qui prévoit un droit d’opposition, permet à toute personne de s’opposer à figurer dans un fichier pour des motifs légitimes. Et enfin l’article 40 établit le droit à l'effacement des DCP.

           Malgré tout, on note une volonté de renouvellement de la notion de DON au cours de ces dernières années, non pas au niveau de la CJUE, mais plutôt dans le cadre juridique national. En France, par le biais législatif grâce à la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique, présentée le 6 novembre 2009 au Sénat. Toujours en attente devant l’Assemblée ce texte entend « protéger ceux qui ne sont pas conscients des données qu'ils peuvent laisser sur internet et de l'usage qui peut en être fait » en instaurant un droit de suppression des DCP gratuit par voie électronique. Mais le DON se consolide surtout grâce au mouvement novateur initié par les juges français et espagnols. Ainsi, l’AEPD s’est prononcée à de multiples reprises en faveur de personnes réclamant, à Google par exemple, l’effacement de leurs DCP comme dans le cas d’espèce. En outre, un professeur ayant reçu une amende pour épanchement d’urine sur la voie publique dans sa jeunesse, a obtenu de Google la désindexation de cette information en 2007 (résolution 1046/2007 de l’AEPD). En France, ce sont des arrêts judiciaires qui dénotent de cette évolution. Notamment l’ordonnance en référé du TGI de Montpellier qui admet un « trouble manifestement illicite du fait de l’inaction de Google à désindexer les plateformes de publication litigieuses », obligeant l’entreprise à procéder à la désindexation en raison de « l’atteinte [portée] à l’intimité de la vie privée de la plaignante » (TGI Montpellier, 28 octobre 2010, Marie C. / Google France et Inc.). Par ailleurs, la CNIL, depuis une recommandation de 2001, impose une anonymisation totale des décisions juridiques publiées sur internet au nom de la protection des DCP (délibération n° 01-057 du 29 novembre 2001 portant recommandation sur la diffusion de données personnelles sur internet par les banques de données de jurisprudence). Cette dernière est très largement adoptée dans la majorité des pays européens. On peut donc espérer que la CJUE se base sur le mouvement initié par les juges nationaux afin d’appuyer son argumentation en faveur d’un meilleur DON européen.

           Malgré un cadre juridique parcellaire et bien que les différents pays d’Europe ne s’accordent pas nécessairement sur les mêmes solutions, dans le cas de l’Espagne et de la France, on peut observer une convergence des réponses apportées au questionnement du DON par une application jurisprudentielle en construction. Cependant, la réponse essentiellement administrative apportée par la justice espagnole semble montrer une meilleure perception de la notion de DON alors que la France a réussi, de son côté, des avancées significatives grâce au projet de loi précité et à quelques arrêts judiciaires remarqués. Néanmoins, tout questionnement relatif à l’internet ne peut se limiter à quelques règles éparses dans les différents ordres juridiques, c’est pourquoi la réponse de la CJUE est très attendue.

Assurer la protection des justiciables : le problème de la réponse territoriale

            Le principal point litigieux sur lequel la CJUE devra se pencher reste la question de la territorialité des lois. Il s’agit de savoir si la Directive 95/46/CE, et par conséquent les législations nationales, sont applicables en matière de protection des DCP à une entreprise, en l’espèce, basée hors du territoire communautaire. La réponse paraît simple : au sens de la Directive 95/46/CE, même si le MR n’est pas établi dans un Etat membre, la législation communautaire peut trouver à s’appliquer.

           Premièrement, dans l’hypothèse où le MR possède un établissement dans un État membre. La notion d’établissement inscrite à l’article 4.1.a) de la Directive 95/46/CE reste vague. Conformément à la jurisprudence de la CJUE, son point déterminant est l’exercice effectif et réel de l’activité au moyen d’une installation stable, dans le pays en question, et ce, indépendamment de sa forme juridique. De plus, cet établissement doit prendre une part réelle dans le traitement de données. En l’espèce, l’AEPD estime que c’est manifestement le cas si les entités du groupe Google Inc sont créées, dans les divers pays européens, afin de commercialiser des services basiques pour la rentabilité et la viabilité de l’entreprise, tels que la publicité ciblée qui finance l’activité du groupe par région. Cela semble également être le cas lorsque l’établissement agit en représentation de la société mère, en se conformant aux décisions légales et demandes d’application de la règlementation de l’Etat membre. A l’inverse, Google Inc estime que l’activité de ces entités au sein des Etats membres ne doit pas être qualifiée de traitement de DCP et que, dès lors, la notion d’établissement telle qu’entendue par la Directive 95/46/CE ne peut lui être applicable. C’est pourquoi le projet de règlement européen entend clarifier cet aspect, tout en veillant à éviter que ne soient concernées des situations qui ne présentent pas de connexion suffisante avec l’UE. Son article 3.2 prévoit que lorsque le responsable du traitement n'est pas établi dans l'UE, la législation européenne s’applique « au traitement de DCP des personnes ayant leur résidence sur le territoire de l'UE quand les activités de traitement sont liées: a) à l'offre de biens ou de services à ces personnes dans l'UE; ou b) à l’observation de leur comportement.»

          Ensuite, la compétence des juridictions européennes peut également être reconnue, au sens des articles 4.1.c) et 4.2) de la Directive 95/46/CE, lorsque « le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit Etat membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté ». L’interprétation du critère d’utilisation de moyens fait également l’objet d’une interprétation extensive. Pour les autorités nationales en charge de la protection des DCP, le simple fait de pouvoir opérer un tri des informations, par langue de rédaction ou localisation géographique dans le MR, montre qu’il s’agit d’une prestation ciblée obtenue par le biais de ces moyens locaux. En l’espèce, et en accord avec la position du G29 (l’avis 1/2008 sur les aspects de la protection des données lié aux MR du groupe de travail «article 29» qui est le rassemblement de toutes les agences de protection de données européennes), l’AEPD s’appuie sur l’utilisation des cookies pour établir la preuve de l’usage de ces moyens qui reste une notion transposée de façon variable en fonction des Etats membres. Refusant de dévoiler la localisation de ses moyens pour des raisons concurrentielles, Google assure que le traitement de DCP ne s’effectue pas à partir d’un pays de l’UE. La société allègue que si la CJUE se rallie à l’interprétation faite par l’AEPD de la notion de moyens, alors cela porterait préjudice aux MR, qui seraient soumis aux lois et juridictions de chaque pays hébergeant leurs services d’information. Certaines décisions nationales, comme la décision du TGI de Paris, en ne retenant pas l’application de la loi informatique et liberté dans une affaire contre Google Inc car la société n’utilisait pas de moyens humains et matériels sur le territoire français (TGI de Paris 14 avril 2008 Bénédicte c. Google Inc., Google France), semble valider cette argumentation.

           Ce pourquoi, sûrement bien consciente de l’ancienneté et de l’obsolescence des termes de la Directive 95/46/CE, l’AEPD propose à la CJUE, par une initiative audacieuse, de se baser sur l’article 8 de la Charte Européenne des Droit Fondamentaux pour favoriser l’application de la norme européenne. Ce texte qui consacre un droit fondamental à la protection des DCP, invite dans son exposition de motifs à « renforcer la protection des droits fondamentaux à la lumière de l'évolution de la société, du progrès social et des développements scientifiques et technologiques », afin de fournir à chaque citoyen européen la sécurité juridique indispensable en matière de protection des DCP. En outre, rejeter la compétence du juge européen au profit d’un juge non communautaire représenterait une discrimination intolérable face aux autres prestataires de services établis dans l’UE. Ceux-ci y verraient, sans aucun doute, la porte ouverte à un mouvement de délocalisation. En résumé, dans le cas où l’entreprise ne possède pas d’établissement et n’utilise pas de moyens de traitement des DCP sur le territoire de l’UE, au sens de la Directive 95/46/CE, l’AEPD a volontairement laissé une importante marge de manœuvre à la CJUE pour que dans son interprétation elle impose l’application de la normative européenne en s’appuyant sur le critère de territorialité correspondant au lieu du dommage. En attendant, pour éviter l’émergence de  paradis numériques, de nombreuses initiatives sont mises en place, à l’échelle mondiale, pour parvenir à un corpus de règles minimales (la 31ème conférence mondiale des commissaires à la protection des données personnelles de novembre 2009, les forums de gouvernance d'Internet de Charm el Cheikh du 15 novembre 2009 et de Vilnius de septembre 2010).

Déterminer la responsabilité des moteurs de recherche: un compromis en faveur de la protection des internautes

            Dans leur fonction d’intermédiaires, les MR ont grandement contribué à l’essor de la société de l’information. Sans intervenir dans le processus d’élaboration de l’information, ils localisent, indexent, sauvegardent temporairement et mettent à disposition des usagers de la toile les informations contenues sur les plateformes de publication. L’intérêt de la question préjudicielle, dont la CJUE est saisie, est de savoir si on peut considérer les MR comme responsables d’un traitement de données, au sens de l’article 2.b) de la Directive 95/46/CE. Dans l’affirmative, on peut s’interroger sur leur obligation à accéder aux demandes de retraits des internautes.

           Le concept de traitement de DCP est défini à l’article 2.b) de la Directive 95/46/CE comme « toute opération ou ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ». Son responsable étant « la personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Dès lors, deux situations se présentent. La première survient lorsque le MR facilite l’accès, au moyen d’une copie-cache, à des DCP qui ont été éliminées de la plateforme de publication initiale. Dans ce cas, l’accès à la demande de désindexation du contenu litigieux paraît évident. La seconde situation, concerne les DCP publiées licitement et maintenues accessibles bien que la personne concernée souhaite les voir disparaître. Dès lors, il semble essentiel de pouvoir accéder à cette demande tout en veillant à respecter un juste équilibre entre le droit à la protection des DCP et le droit à la liberté d’expression et d’information. En Europe, la tendance est à la conciliation. Ainsi, la Cour de Cassation française a reconnu, dans un arrêt de principe, que « dès lors qu’une information à caractère privé a été licitement divulguée en leur temps, l’intéressé ne peut invoquer un droit à l’oubli pour empêcher qu’il en soit à nouveau fait état» (Cass 1ère civ., 20 nov 1990, pourvoi n°89-12580).

           En outre, la notion de neutralité du web semble appuyer le point précédent. L’essentiel de la stratégie de défense excipée par Google, en l’espèce, se base sur l’argument que les MR ne sont que de simples miroirs de la réalité. Ils se bornent à répertorier puis mettre à disposition des contenus déjà présents sur internet formant ainsi un répertoire objectif et neutre. Pour Google, accéder aux demandes de retraits constitue un acte de censure qui ne manquerait pas de « le transformer en censeur chef en lui enlevant le titre de plateforme technique neutre » comme le soutient Jeffrey Rosen, professeur de droit américain. Pour les MR, le seul responsable de l’information est la plateforme de publication. Il faut donc se tourner vers cette dernière afin de faire valoir ses droits. La justesse de l’argument est appuyée par le fait que le monde numérique possède déjà un système technologique adapté : les robots protocoles d’exclusion, qui, mis en place par une plateforme de publication, lui permettent d’exclure certains contenus des listes de résultats sur les MR. Ce système d’opt-in à disposition des plateformes de publication pourrait être la solution à de nombreux problèmes. Malheureusement, cette technologie semble être peu utilisée, peut être car ces dernières ne souhaitent pas limiter leur visibilité sur la toile. D’un point de vue moral, permettre aux internautes de rectifier sans limite les bases de données informatiques pourrait avoir de graves répercussions. Ce pourquoi toute demande doit être étudiée selon un principe d’efficacité et de proportionnalité, au cas par cas, afin que l’information soit toujours disponible quelque part sur la toile mais disparaisse des résultats des MR. Cette révision, et non pas révisionnisme, peut certes porter atteinte à la véracité et à la fiabilité de l’internet, mais elle n’en reste pas moins justifiée au nom de la protection d’un droit fondamental.

           Le groupe de travail «Article 29» a donné, dans son avis 1/2008 précédemment cité, des indications concernant la notion de traitement de DCP appliquée aux MR. À cet effet, il convient de distinguer les deux principaux rôles de ceux-ci. Dans un premier cas, le MR peut être le responsable du traitement des DCP. Dès lors, il ne fait aucun doute qu’au sens de la Directive 95/46/CE, sa responsabilité est engagée et le texte européen lui est applicable. Dans le second cas, le MR est un simple fournisseur de données. Dans ce cas, « le principe de proportionnalité veut que, lorsqu'[il] agit exclusivement en tant qu’intermédiaire, il ne soit pas considéré comme le principal responsable du traitement des données à caractère personnel effectué. Dans ce cas, les responsables principaux sont les fournisseurs d’informations » et le MR peut être vu simplement comme un responsable subsidiaire. Mais l’avis constate l’existence d’exceptions notamment lorsque le MR utilise sa mémoire cache sur le long terme, ou qu’il réalise des opérations à valeur ajoutée comme la publicité ciblée. Dès lors, la Directive 95/46/CE lui sera applicable au titre de responsable d’un traitement de DCP. Pour les autorités nationales de protection de DCP, il est nécessaire de généraliser la possibilité d’un recours juridique à l’égard des MR, car souvent les plateformes de publication sont soumises à des obligations légales qui en empêchent le retrait. Il apparaît également certain que la diffusion de l’information par les MR reste infiniment plus préjudiciable pour l’affecté que son hébergement sur une page web parmi la multitude. La CJUE devra donc préciser le rôle des MR. Mais peut-être que les solutions apportées par la technologie elle-même pourraient suffire. Le concept de  privacy by design pourrait être une réponse. Il s’entend selon Daniel Le Métayer, directeur de recherche à l'INRIA (Institut National de Recherche en Informatique et Automatique) comme la construction « d’architectures informatiques qui prendront en compte le besoin de protection des données dès la phase de conception », en assortissant les DCP d’une date de péremption ou en les rendant accessibles sans jamais en autoriser le téléchargement ou la copie par exemple.

Vers la consécration d’un droit à l’oubli européen

            Il ressort des précédents développements qu’un long chemin reste à parcourir pour garantir aux justiciables une protection optimale de leurs DCP. C’est pourquoi, dans un contexte aussi incertain, composé de règlementations parcellaires et désuètes, de pratiques commerciales prédatrices et d’une faible protection des DCP, un éclaircissement de la notion du DON s’avère essentiel. La première étape passe certainement par la redéfinition du concept européen. La nécessité de ce changement couplée au choix de la forme d’un règlement d’applicabilité totale et directe, n’indique rien d’autre que le constat d’un échec de la Directive 95/46/CE. Dans ce règlement, le DON aura une véritable place dans un article 17, assez dense, qui garantit aux citoyens européens un meilleur contrôle sur leurs DCP.

           Mais malgré l’apparente nécessité de cette question préjudicielle, on peut néanmoins s’interroger sur sa portée juridique future. En effet, la CJUE qui ne statue qu’en fonction du droit applicable, va bientôt devoir baser ses décisions sur le règlement européen afférent. Le problème réside dans le fait que celui-ci est actuellement au stade de proposition et que, d’application non rétroactive, il sera assorti d’une période de transition allant de 2014 à 2016. Il semble alors que le cas d’espèce soit plutôt un prétexte pour alerter les autorités européennes sur un problème de société majeur. En tout état de cause, il est sans aucun doute souhaitable que la décision du juge européen, au titre de la question préjudicielle en interprétation de l’Etat espagnol, ne soit pas en contradiction avec la volonté du législateur européen. On peut aussi être amené à penser que le législateur européen s’inspirera peut être de la décision de la CJUE pour améliorer le projet de règlement présenté en janvier dernier.

           Toujours est-il qu’a déjà été observé par le passé que la législation a invariablement un temps de retard sur la technologie et ses pratiques, surtout en matière d’internet. Comme en atteste le semi échec de la Hadopi, qui a démultiplié le recours au streaming, une loi n’est pas forcément la solution la plus effective. Face au manque de souplesse de la norme juridique, beaucoup d’auteurs prônent donc la régulation qui, en laissant un cadre légal minimum, complète l’action par des moyens extra-législatifs. C’est ce chemin qu’a suivi la France, au printemps 2010, avec la Charte du DON visant à « garantir aux internautes le respect de leur vie privée en leur permettant de mieux contrôler la publication des données les concernant ». Née de la collaboration entre plusieurs acteurs de l’internet et le gouvernement, la Charte n’en reste pas moins un droit mou, c’est-à-dire une charte déontologique sans valeur juridique contraignante. L’absence d’entreprises telles que Google et Facebook, ajoutée au fait que l’internet nécessite une régulation plus globale, discrédite l’efficacité potentielle de cette initiative. Il est donc temps de redéfinir le DON au niveau mondial.

 

Bibliographie indicative :

 Textes légaux

  • Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.
  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Ley 34/2002, de 11 de julio de 2002, Servicios de la Sociedad de Información y Comercio Electrónico.
  • Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.
  • Proposition de loi au Sénat visant à mieux garantir le droit à la vie privée a l’heure du numérique du 6 novembre 2009.
  • Proposition de Règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012.

Doctrine et jurisprudence