Droit à l’oubli numérique (ou déréférencement) et consentement aux cookies précisés par la Cour de Justice de l’Union Européenne

10/2019                                                                 

Trois arrêts de Grande Chambre de la CJUE (sur renvoi préjudiciel) en matière de protection des données personnelles, retiennent l’attention.

Des précisions importantes sont apportées quant aux obligations de l’exploitant d’un moteur de recherches saisi d’une demande de déréférencement (données sensibles, portée territoriale), et du fournisseur de services s’agissant du consentement (actif) aux cookies.

Voir aussi notre publication : « Le Règlement (UE) n° 2016/79 sur la protection des données personnelles (GDPR) : pourquoi les entreprises à Monaco doivent s’y préparer »

 

♦ DEREFERENCEMENT DES CATEGORIES PARTICULIERES DE DONNEES (SENSIBLES)

GC e.a. c/ Commission nationale de l’informatique et des libertés (CNIL), arrêt du 24/09/2019, Affaire C-136/17 [demande de décision préjudicielle introduite par le Conseil d’État français, par décision du 24/02/2017]

Au regard du droit de l’UE, l’exploitant saisi d’une demande de déréférencement relative à des données sensibles, est en principe obligé de faire droit à cette demande, sous réserve de certaines exceptions.

En tout état de cause, il doit vérifier si l’inclusion dans la liste de résultats du lien vers une page web sur laquelle des données sensibles sont publiées, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche.

Données sensibles : données qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, relatives à la santé et à la vie sexuelle, aux infractions, aux condamnations pénales ou aux mesures de sûreté.

Les interdictions et les restrictions relatives au traitement des données sensibles s’appliquent à l’exploitant d’un moteur de recherche, à l’instar de tout autre responsable du traitement de données à caractère personnel.

L’exploitant d’un moteur de recherche est ainsi responsable du référencement d’une page web publiée par un tiers sur laquelle figurent des données personnelles, mais pas du fait que des données personnelles figurent sur une page web.

Si les droits au respect de la vie privée et à la protection des données à caractère personnel prévalent, en règle générale, sur la liberté d’information des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique.

♦ PORTEE TERRITORIALE DU DEREFERENCEMENT

Google LLC c/ Commission nationale de l’informatique et des libertés (CNIL), arrêt du 24/09/2019, Affaire C-507/17 [demande de décision préjudicielle introduite par le Conseil d’État français, par décision du 19/07/2017]

Au regard du droit de l’UE, l’exploitant d’un moteur de recherche est tenu d’opérer le déréférencement sur les versions correspondant à l’ensemble des États membres, mais pas sur l’ensemble des versions de son moteur (déréférencement universel).

Il incombe à l’exploitant d’un moteur de recherche de prendre, si nécessaire, des mesures suffisamment efficaces pour empêcher, ou à tout le moins, sérieusement décourager les internautes de l’UE d’avoir accès à partir d’une version du moteur correspondant à un État tiers de l’UE, aux liens faisant l’objet du déréférencement.  La juridiction nationale est compétente pour vérifier si les mesures adoptées satisfont à cette exigence.

Si le droit de l’UE n’impose pas à l’exploitant d’un moteur de recherche d’opérer un déréférencement sur l’ensemble des versions de son moteur, il ne l’interdit pas non plus. Partant, une autorité de contrôle ou judiciaire d’un État membre de l’UE reste compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre d’un côté, le droit de la personne concernée au respect de sa vie privée et à la protection de ses données personnelles, et de l’autre, le droit à la liberté d’information, et, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

Il est rappelé que les personnes physiques peuvent faire valoir, sur le fondement du droit de l’UE, leur droit au déréférencement à l’encontre de l’exploitant d’un moteur de recherche disposant d’un ou de plusieurs établissements sur le territoire de l’UE, indépendamment du fait que le référencement de liens vers des pages web sur lesquelles figurent des données personnelles concernant la personne qui se prévaut de ce droit, ait lieu ou non dans l’UE.

Un déréférencement universel serait, compte tenu des caractéristiques d’Internet et des moteurs de recherche, de nature à rencontrer pleinement l’objectif du législateur de l’UE consistant à garantir un niveau élevé de protection des données personnelles dans l’ensemble de l’UE.

Il ne ressort toutefois pas, aux fins de la réalisation d’un tel objectif, que le législateur de l’UE aurait fait le choix de conférer au droit au déréférencement une portée qui dépasserait le territoire des États membres.

En l’état actuel du droit de l’UE, l’exploitant d’un moteur de recherche est tenu de procéder au déréférencement demandé, sur la version du moteur correspondant à l’État membre de résidence du bénéficiaire de ce déréférencement, ainsi que sur les versions du moteur correspondant aux États membres.

♦ CONSENTEMENT ACTIF AUX COOKIES

Bundesverband der Verbraucherzentralen und Verbraucherverbände – Verbraucherzentrale Bundesverband eV c/ Planet49 GmbH, arrêt du 01/10/2019, Affaire C-673/17 [demande de décision préjudicielle introduite par le Bundesgerichtshof allemand, par décision du 05/10/2017] 

Au regard du droit de l’UE, le placement de cookies requiert le consentement actif des internautes. Partant, le consentement au stockage d’informations  ou  à l ’accès  à  des  informations  par  l’intermédiaire de cookies installés sur l’équipement terminal de l’utilisateur d’un site Internet n’est pas valablement donné lorsque l’autorisation résulte d’une case cochée par défaut (et ce, que les informations en cause constituent ou non des données personnelles).

Par ailleurs, le fournisseur de services doit indiquer à l’utilisateur d’un site Internet la durée de fonctionnement des cookies, ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

La définition du consentement dans le droit de l’UE comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement » implique clairement un comportement actif et non pas passif. Une manifestation de volonté doit prendre la forme d’un « acte positif clair ».

Un consentement donné au moyen d’une case cochée par défaut n’implique pas un comportement actif de la part de l’utilisateur d’un site Internet. Le consentement n’est ainsi pas valablement donné au sens de la législation de l’UE, lorsque le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur d’un site Internet est autorisé par une case que l’utilisateur doit décocher pour refuser de donner son consentement.

Une information claire et complète doit être donnée par le fournisseur de services à l’utilisateur d’un site Internet, afin que ce dernier soit en mesure de déterminer facilement les conséquences du consentement qu’il pourrait donner, et garantir que ce consentement soit donné en pleine connaissance de cause.

 

 
Nullam ut dolor. vulputate, mattis Curabitur