Droit au déréférencement des moteurs de recherche : la Présidente de la CNIL à l'assaut du reste du monde

La Présidente de la CNIL, Madame Isabelle Falque-Pierrotin, a confirmé hier sa décision (voir ici) d’imposer à Google d’effacer définitivement, dans le monde entier, les résultats de recherche portant sur le nom d’une personne, lorsque ces résultats ne sont pas considérés comme nécessaires à l’information du public en France.

Google, pour sa part, admettrait de supprimer les résultats de recherche accessibles sur ses services destinés aux internautes européens (« .fr », « .de », « .co.uk », etc), mais pas pour ceux du monde entier. On pourrait également imaginer que Google filtre les résultats de recherche selon l’endroit depuis lequel est situé un utilisateur de ses services -selon l’adresse IP (2) européenne de sa connexion à Internet.

La Présidente de la CNIL estime donc que l’effectivité de ses décisions s’impose à Google pour le monde entier, alors que ce dernier estime devoir se conformer à la législation locale -française et européenne- en respectant les frontières juridiques et territoriales de la loi locale.

Les motivations de la CNIL tirent leur force de leur simplicité

D’après Madame Falque-Pierrotin, la mise en demeure confirmée à l’encontre de Google serait la simple conséquence d’un arrêt rendu le 13 mai 2014 par la Cour de Justice de l’Union Européenne (CJUE). Elle serait purement européenne, la CNIL se bornant à « demander le plein respect du droit européen par des acteurs non européens offrant leurs services en Europe ». En outre, cette décision ne porterait pas atteinte au droit à l’information du public situé hors d’Europe, puisque les contenus déréférencés sur les moteurs de recherche resteraient toujours accessibles, à condition de les trouver autrement qu’en interrogeant le nom d’une personne. Enfin, cette décision serait très strictement encadrée, puisque « placée sous le double contrôle de la CNIL et du juge »… français (sic !).

La CNIL protège notre vie privée et son statut d’autorité administrative indépendante la place à l’abri des influences étatiques ou commerciales. Son existence et son action sont indispensables. Tous ses arguments sont simples et efficaces en communication : quand la CNIL demande la désindexation d’une information dont se plaint un ressortissant européen, c’est pour le monde entier. Peu importe l’organe de presse ou la liberté d’expression garantie dans le pays diffusant l’information en cause. Peu importe l’endroit du monde depuis lequel un internaute consulterait un moteur de recherche.

On voudrait y croire. Oublier les frontières, modeler le monde à notre image, exporter nos valeurs. Penser comme au Siècle des Lumières, mais en 2015, sur Internet, face à des hyperpuissances économiques et gouvernementales et sans le moindre instrument juridique international conclu hors de nos limites juridiques européennes.

Las, les arguments développés par la CNIL, si simples et forts soient-ils, sont infondés, en l’état de la législation française et européenne.

La simplicité ne suffit pas à faire la loi

La CNIL anticipe des critères d’application du droit français et européen qui n’existent pas encore, pour pallier l’absence de réglementation européenne nécessaire sur ce point, comme l’absence de convention internationale entre l’Union européenne et le reste du monde.

En effet, offrir des services en Europe n’est pas, à l’heure actuelle, un critère d’application des règles européennes. On peut en être frustré, mais c’est l’état du droit en vigueur. Cette situation changera probablement dans deux ans, après que l’Union européenne aura adopté un projet de Règlement sur la protection des données personnelles. Ce projet est encore en cours de rédaction et on espère le voir finalisé à la fin de l’année 2015.

Affirmer des convictions ne suffit pas à faire la loi

La Présidente de la CNIL entend dès à présent exporter dans le monde entier une jurisprudence européenne qui n’avait pourtant rien dit de ses effets hors de l’Union européenne. Cependant, il ne suffit pas qu’une volonté politique soit affirmée pour qu’une décision administrative soit légalement fondée. En droit, il s’agit de déterminer si notre loi française « Informatique & Libertés » est une loi dite «  de police ». Il s’agit de justifier qu’elle ait des effets contraignants hors de notre territoire national à l’encontre d’un acteur qui n’indexe pas de données personnelles sur le sol européen.

La jurisprudence judiciaire française est divergente sur la qualification de « loi de police » de notre loi « Informatique & Libertés » et de ses effets hors de nos frontières : tantôt c’est « oui », tantôt c’est « non », selon les rares décisions judiciaires rendues au cours des quinze dernières années dans des cas similaires.

Le Conseil d’Etat, pour sa part, dans son rapport d’études pour l’année 2014 (3), a listé les conditions à réunir : si le futur règlement européen sur la protection des données s’étend aux entreprises établies hors de l’Union européenne au motif qu’elles offrent leurs services en Europe et si les droits en cause sont garantis par la Charte des Droits Fondamentaux de l’Union européenne (4), on pourra alors qualifier de « lois de police » les règles de protection des données personnelles adoptées par l’Union européenne. Or, ces deux conditions ne sont pas réunies aujourd’hui.

Déjà en juin 2011, l’Assemblée nationale, dans son rapport sur les « Droits de l’individu dans la révolution numérique », constatait que « la protection des données personnelles […] n’obéit aujourd’hui à aucun caractère juridique universel et contraignant », soulignant alors la nécessité de réformer le cadre européen adopté en 1995 (5). Cette réforme, dont la rédaction stabilisée est attendue fin 2015, n’entrera pas en vigueur avant 2018. Et l’Assemblée de conclure qu’ « il appartient aux pouvoirs publics des États concernés et non aux autorités de contrôle de réfléchir à la nécessité de mettre en œuvre l’adoption d’une convention internationale ».

Les autorités européennes elles-mêmes -la CNIL et ses homologues-, ont appelé en novembre 2014, dans une déclaration solennelle (6), à ce que ces futures règles européennes soient dites « d’ordre public international » - ou « de police » -, car elles devraient avoir des effets partout dans le monde. Mais ces déclarations, qui n’ont aucun caractère normatif, montrent précisément que ce qui « devrait être », n’est pas encore.

Les prochaines étapes

Si Google résiste aux injonctions de la Présidente de la CNIL visant à produire des effets dans le reste du monde, cette dernière réunira dans les prochains jours la formation restreinte de la CNIL.

Composée d’un Président et de cinq membres, elle est seule habilitée à prononcer un avertissement, une amende administrative plafonnée à 150 000 - ou 300 000 euros en cas de récidive -, voire une injonction de cesser le traitement illicite de données.

Cette formation restreinte est composée de juristes émérites, qui auront à se poser de profondes questions de droit -pas « seulement » de politique de régulation. Il est néanmoins peu probable qu’ils désavouent leur Présidente. Si la formation restreinte de la CNIL condamne et si son raisonnement est contesté par Google, ce débat pourra faire l’objet d’un recours devant le Conseil d’Etat, puis rebondir devant la CJUE, conduisant celle-ci à statuer alors que le futur règlement européen aura été adopté et sera peut-être en vigueur. Les développements à venir seront donc très intéressants.

Sanctionner d’abord, réguler ensuite ?

Au sein même de l’Union européenne, les lois nationales sur la liberté d’expression fixent des règles différentes, de fond comme procédurales et des délais de prescription disparates. Certaines distinguent parfois le droit à la vie privée des personnalités publiques, de celui des citoyens lambda. L’équilibre entre le droit à l’information du public et celui à la désindexation sur Internet est donc encore le fruit de règles et de cultures qui ne s’articulent vraiment qu’au niveau national.

Le « droit à l’information du public » est, certes, défini par la CJUE. Depuis le fameux arrêt « Costeja » du 13 mai 2014 posant les bases d’un « droit à l’oubli » des moteurs de recherche, ce droit doit s’articuler avec les règles européennes de protection des données personnelles Mais cette articulation n’a encore jamais été confrontée concrètement au droit d’autres puissances souveraines.

Regardons l’autre versant du sujet. Imaginons qu’un grand journal européen, américain, russe ou chinois, vienne contester la désindexation d’un de ses articles, exigée et obtenue par la CNIL auprès de Google, pour le monde entier. Continuerait-on d’estimer que c’est uniquement une question européenne de données personnelles ? Ou commencerait-on à admettre qu’il s’agit d’envisager à l’échelle mondiale l’articulation du droit à l’information avec le droit à la désindexation ?

Des enseignements nombreux peuvent être tirés de l’Histoire et d’autres domaines. Par exemple, les juridictions n’ont pas lutté contre la pédopornographie à coup de sanctions sur les fournisseurs d’accès à Internet nationaux. Elles se sont fondées sur des accords internationaux partageant des valeurs et des procédures convenues entre Etats, notamment sous l’égide de l’ONU, d’Interpol, etc. La Convention du Conseil de l’Europe sur le cybercrime est un autre exemple. Les discussions préalables à la COP21 en matière environnementale, aussi.

La pression juridique et médiatique exercée sur un acteur économique mondial, quel qu’il soit, ne peut pas se substituer à l’absence de règles de droit international résultant d’accords bilatéraux ou de traités internationaux. Ce débat ne peut donc se limiter longtemps à un rapport de forces entre un régulateur national ou européen et un acteur économique mondial. Car ce rapport de forces serait perdu d’avance par un régulateur impatient.

Tout le paradoxe est là : la CNIL pourra prononcer des sanctions, même fortes, cela ne haussera pas le niveau de protection des données personnelles hors de l’Union européenne, tant qu’un accord international entre Etats ne sera pas trouvé. La Présidente de la CNIL le sait, mais elle a manifestement choisi de préférer l’exposition médiatique à l’efficacité réglementaire. A chacun ses objectifs et son agenda.

(1)

(2) Adresse IP : l’adresse « Internet Protocol » est attribuée par un fournisseur d’accès à l’ordinateur d’un utilisateur et révèle le plus souvent le territoire géographique, au moins national, depuis lequel l’ordinateur est connecté. (3) http://www.ladocumentationfrancaise.fr/var/storage/rapports-publics/144000541.pdf

(4) http://www.europarl.europa.eu/charter/pdf/text_fr.pdf

(5) http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML

(6) http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2014/wp227_fr.pdf, point n°14, sur l’ « Influence européenne ».