Comment mettre en œuvre le "droit à l’oubli" numérique ?

Très remarqué, l’arrêt Google Spain a consacré une certaine forme de "droit à l’oubli" numérique (CJUE, gr. ch., 13 mai 2014, aff. C-131/12). Deux mois après, il est intéressant de s’interroger sur sa mise en œuvre concrète. Je m'exprime sur cette question dans cet entretien accordé au Recueil Dalloz.

Google a mis en place un formulaire "droit à l’oubli" pour les internautes, qu'en pensez-vous ?

Cela montre sa volonté de se conformer à cette décision qui conduit à un droit au déréférencement, autrement dit à la désindexation. À certaines conditions, la personne concernée peut s’adresser au moteur de recherche pour qu’il supprime de la liste des résultats des liens obtenus en tapant son nom, dirigeant vers des pages web contenant des données personnelles ; attention, la page ne disparaîtra pas, elle sera juste inaccessible à partir du nom de la personne.

Le formulaire lancé fin mai permet aux internautes de l’Union européenne de faire une demande de déréférencement. Succès monstre ! Dès le premier jour, 12 000 requêtes étaient déjà enregistrées. Fin juin, on en comptait 70 000, concernant 250 000 pages… et la France se plaçait en tête. Je vous laisse calculer les prévisions pour l’année 2014, sachant qu’il arrive environ 1 000 demandes par jour.

Le formulaire est assez facile à remplir. On s’identifie : nom complet, adresse mail, copie d’un document d’identité. Puis on précise la demande : nom utilisé pour la recherche sur Google, adresse URL des résultats que l’on souhaite voir supprimés. Enfin, on explique : en quoi la page web nous concerne et en quoi elle est "hors sujet, obsolète ou autrement contestable". À Google de décider s’il donne suite… Mais l’arrêt donne des pistes à ce sujet. La désindexation est justifiée lorsque les "données sont inexactes". Elle l’est aussi si elles sont "inadéquates, non pertinentes ou excessives au regard des finalités du traitement". Et enfin si elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excessive "à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques". Toutefois, le déréférencement ne sera pas légitime dans certains "cas particuliers" liés à "la nature de l’information" et à "sa sensibilité pour la vie privée de la personne" ainsi qu’à "l’intérêt du public à disposer de cette information". Ce qui est particulièrement important, c’est que l’intérêt du public peut varier "en fonction du rôle joué par cette personne dans la vie publique". Tout cela n’est pas si facile à apprécier…

Google a-t-il d'ores et déjà déréférencé des pages web ?

Oui, en prévenant les sites concernés. Il l’annonce également sur la page qui affiche les résultats de recherche. Mais les premiers couacs se sont fait entendre avec l’affaire Merrill Lynch. Un journaliste qui avait relaté sur un blog de la BBC comment la banque d’affaires avait évincé son PDG au moment de la crise des subprimes apprend que son article a été déréférencé. Évidemment, il estime qu’il s’agit d’informations d’intérêt public.

The Guardian a lui aussi été victime de déréférencements. En France, Next INpact a été le premier touché. La presse crie à la censure ! The Daily Mail annonce qu’il publiera la liste des articles désindexés afin que ces derniers restent accessibles. Trop facile de faire table rase du passé ! Un homme politique pourrait vouloir faire disparaître toutes les promesses qu’il a faites pour être élu (je plaisante !).

Google a admis quelques erreurs d’appréciation et a procédé à des dé-déréférencements pour rétablir des liens. Certaines mauvaises langues y voient une stratégie de lobbying. Google a aussi mis en place un comité d’experts chargé de publier un rapport et de faire des propositions.

Mais alors, comment pourrait-on imaginer l’organisation idéale du "droit à l’oubli" numérique ?

La question est prospective et elle est importante, car nous sommes tous concernés, nous… les utilisateurs des moteurs de recherche. Il s’agit de trouver l’équilibre entre la vie privée des personnes et la liberté d’information des internautes, comme la Cour de justice l’a noté. Or c’est une lourde responsabilité pour un acteur privé et cette privatisation me paraît inquiétante. N’est-ce pas le rôle du juge de faire la balance entre les droits fondamentaux en présence ? Et quid de la Commission nationale de l'informatique et des libertés (CNIL) ? Bien sûr, la tâche se complique face à un phénomène de masse – comme toujours avec internet. La difficulté s’accroît aussi avec le risque d’"effet Streisand", qui est une autre caractéristique de la Toile.

Google ne révèle pas les noms et les raisons du retrait, mais en donnant une audience au déréférencement, on provoque l’effet inverse à celui attendu. Et l’efficacité de la mesure dépend enfin de son application par tous les moteurs de recherche. Sans doute faut-il voir cette étape comme une sorte de test, une phase bêta diraient les informaticiens. Elle va inspirer le G29, le groupe des "CNIL" européennes, qui souhaite fournir des lignes directrices aux moteurs de recherche. Et surtout, elle aura un impact sur les débats et votes du futur règlement sur la protection des données personnelles. C’est ainsi désormais que se fabrique le droit…

Allez-vous oublier le droit à l'oubli sur la plage ?

Références : Laure MARINO, Comment mettre en œuvre le "droit à l’oubli" numérique ?, Recueil Dalloz 7 août 2014, n° 29, entretien p. 1680.

☛ Voir aussi : Un "droit à l’oubli" numérique consacré par la CJUE 

Entrez votre adresse mail pour nous suivre par email :

Surveillance du net : un Patriot Act à la française ?

La loi de programmation militaire vient d’être promulguée (loi n° 2013-1168 du 18 décembre 2013, dite LPM). Son article 20 renforce les possibilités de contrôle des traces numériques afin de lutter contre la criminalité.

Dans un entretien accordé au Recueil Dalloz et publié le 6 février dernier, je m'exprimais sur ce texte.

Voici l'entretien : 

Ce texte a suscité une vive polémique, n’est-ce pas ?

Oui ! Comme il concerne la cybersurveillance des citoyens par certains services de l’État, il touche un point sensible. Les réactions indignées ont fusé : « Big Brother », « société orwellienne », « dictature numérique », « démocrature »… D’importantes associations sont montées au créneau, notamment La Quadrature du Net, l’association des services internet communautaires (ASIC), la fédération Syntec numérique et le think tank Renaissance numérique. La Commission nationale informatique et libertés (CNIL) et le Conseil national du numérique (CNN) ont également exprimé leurs réserves. Il y a même un hashtag #StopArt20 sur Twitter…

Dans ce flot de critiques, certaines attaques sont fantaisistes ou relèvent du fantasme. Mais il y a aussi des arguments sérieux tant sur le texte que sur le contexte. Tout d’abord, le contexte était à lui seul explosif, quelques mois après les révélations de Snowden, sur fond d’affaire Prism. Le scandale provoqué par le fameux programme de surveillance de la NSA est encore dans toutes les têtes. Le timing français paraît donc maladroit. Ensuite, le texte est insuffisamment précis et peut dès lors donner lieu à des interprétations divergentes. Est-ce acceptable pour une disposition qui légalise des pratiques de surveillance portant atteinte à la vie privée des citoyens ? Malheureusement, le Conseil constitutionnel n’a pas été saisi. 

Mais justement, quels sont les changements apportés par ce texte ?

Le législateur a souhaité encadrer de nouvelles pratiques de surveillance sur les réseaux, et notamment sur internet, au premier chef la géolocalisation en temps réel ; celle-ci consiste à localiser un objet, smartphone ou ordinateur portable par exemple. Il s’agit aussi d’unifier diverses dispositions éparses.

L’article 20 ajoute un chapitre dans le Code de la sécurité intérieure, intitulé « accès administratif aux données de connexion » (art. L. 246-1 et s., applicables à partir du 1er janvier 2015 ; ces mesures feront l’objet d’un décret soumis à la CNIL). Le titre est important : ce régime juridique spécifique organise l’accès dans un cadre administratif et non pas dans un cadre judiciaire. Les deux questions sont bien distinctes et une loi actuellement en débat régira la géolocalisation dans un cadre judiciaire.

Cet accès administratif concerne donc les « données de connexion », c’est-à-dire les traces d’une connexion ou d’un appel stockées par les opérateurs de télécoms, les fournisseurs d’accès à internet et les hébergeurs : lieu, date, durée, émetteur, récepteur. Malheureusement, la rédaction du texte ne permet pas d’écarter sans hésitation l’accès au contenu, en raison de son étrange formulation (l’« y compris » pose problème). Le seul titre du chapitre suffit-il à limiter le champ ?

Par ailleurs, l’accès administratif a pour particularité d’être réalisé sans le contrôle d’un juge, parce que la sécurité nationale est en jeu. Ainsi fonctionnent le droit public français et ses prérogatives exorbitantes du droit commun… Cela pose question, même si d’autres contrôles sont prévus, car il s’agit de données personnelles. Une personnalité qualifiée placée auprès du premier ministre contrôlera a priori, tandis que la Commission nationale de contrôle des interceptions de sécurité (CNCIS) contrôlera a posteriori. Celle-ci n’est composée que de trois membres, dont M. Urvoas, le député qui a défendu le texte...

La LPM complète ainsi le dispositif existant, qui concernait les écoutes téléphoniques dites « écoutes administratives » (loi 10 juillet 1991) et l’accès administratif aux données de connexion dans le but de « prévenir des actes de terrorisme » (loi du 23 janvier 2006). Il étend l’accès administratif aux données de connexion en dehors de la seule lutte contre le terrorisme, pour rechercher des renseignements intéressant « la sécurité nationale », la sauvegarde du « potentiel scientifique et économique de la France », « la criminalité et la délinquance organisées »… C’est un copier-coller des finalités inscrites dans la loi de 1991 sur les écoutes téléphoniques et c’est large ! 

Et cela est-il liberticide ?

Sans aucun doute, puisque le texte permet de faire prévaloir la sécurité sur la liberté. Cela dit, c’est pour la bonne cause… et c’est admissible si les atteintes sont proportionnées au but recherché. Mais le sont-elles ?

Au fond, la question est de savoir si l’on désire aller jusque-là. Elle méritait un débat ouvert à la société civile. On dépasse ici l’analyse purement juridique pour s’interroger sur des choix de politique juridique. Fallait-il légaliser ces pratiques « a-légales » à l’issue d’un raisonnement circulaire qui consiste à entériner ce qui se fait parce que cela se fait et que c’est utile ? C’est sous-entendre que nos services de renseignement, de police ou de gendarmerie… et même le ministère de l’Économie et des Finances – Tracfin – le faisaient sans doute déjà. Pourtant, contrairement à ce que l’on croit, l’accès aux données de connexion n’est pas moins indiscret que l’accès aux contenus. Les métadonnées sont extrêmement parlantes. La surveillance numérique est le nec plus ultra de la surveillance !

• Références : Laure MARINO, "Surveillance du net : un Patriot Act à la française ?", Recueil Dalloz 6 février 2014, n° 5, entretien p. 360.

Vu sur le site de l'ACLU (American Civil Liberties Union)

Et voici le texte de l'article 20 

(j'ai surligné l'un des passages importants) :

I. - Le livre II du même code est ainsi modifié :

1° L'intitulé du titre IV est complété par les mots : « et accès administratif aux données de connexion » ;

2° Il est ajouté un chapitre VI ainsi rédigé :

« CHAPITRE VI

« Accès administratif aux données de connexion

« Art. L. 246-1. - Pour les finalités énumérées à l'article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.

« Art. L. 246-2. - I. - Les informations ou documents mentionnés à l'article L. 246-1 sont sollicités par les agents individuellement désignés et dûment habilités des services relevant des ministres chargés de la sécurité intérieure, de la défense, de l'économie et du budget, chargés des missions prévues à l'article L. 241-2.

« II. - Les demandes des agents sont motivées et soumises à la décision d'une personnalité qualifiée placée auprès du Premier ministre. Cette personnalité est désignée pour une durée de trois ans renouvelable par la Commission nationale de contrôle des interceptions de sécurité, sur proposition du Premier ministre qui lui présente une liste d'au moins trois noms. Des adjoints pouvant la suppléer sont désignés dans les mêmes conditions. La personnalité qualifiée établit un rapport d'activité annuel adressé à la Commission nationale de contrôle des interceptions de sécurité. Ces décisions, accompagnées de leur motif, font l'objet d'un enregistrement et sont communiquées à la Commission nationale de contrôle des interceptions de sécurité.

« Art. L. 246-3. - Pour les finalités énumérées à l'article L. 241-2, les informations ou documents mentionnés à l'article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l'article L. 246-2.

« L'autorisation de recueil de ces informations ou documents est accordée, sur demande écrite et motivée des ministres de la sécurité intérieure, de la défense, de l'économie et du budget ou des personnes que chacun d'eux a spécialement désignées, par décision écrite du Premier ministre ou des personnes spécialement désignées par lui, pour une durée maximale de trente jours. Elle peut être renouvelée, dans les mêmes conditions de forme et de durée. Elle est communiquée dans un délai de quarante-huit heures au président de la Commission nationale de contrôle des interceptions de sécurité.

« Si celui-ci estime que la légalité de cette autorisation au regard des dispositions du présent titre n'est pas certaine, il réunit la commission, qui statue dans les sept jours suivant la réception par son président de la communication mentionnée au deuxième alinéa.

« Au cas où la commission estime que le recueil d'une donnée de connexion a été autorisé en méconnaissance des dispositions du présent titre, elle adresse au Premier ministre une recommandation tendant à ce qu'il y soit mis fin.

« Elle porte également cette recommandation à la connaissance du ministre ayant proposé le recueil de ces données et du ministre chargé des communications électroniques.

« Art. L. 246-4. - La Commission nationale de contrôle des interceptions de sécurité dispose d'un accès permanent au dispositif de recueil des informations ou documents mis en oeuvre en vertu du présent chapitre, afin de procéder à des contrôles visant à s'assurer du respect des conditions fixées aux articles L. 246-1 à L. 246-3. En cas de manquement, elle adresse une recommandation au Premier ministre. Celui-ci fait connaître à la commission, dans un délai de quinze jours, les mesures prises pour remédier au manquement constaté.

« Les modalités d'application du présent article sont fixées par décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis.

« Art. L. 246-5. - Les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnées à l'article L. 246-1 pour répondre à ces demandes font l'objet d'une compensation financière de la part de l'État. » ;

3° Les articles L. 222-2, L. 222-3 et L. 243-12 sont abrogés ;

4° À la première phrase du premier alinéa de l'article L. 243-7, les mots : « de l'article L. 243-8 et au ministre de l'intérieur en application de l'article L. 34-1-1 du code des postes et des communications électroniques et de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » sont remplacés par les références : « des articles L. 243-8, L. 246-3 et L. 246-4 » ;

5° À l'article L. 245-3, après le mot : « violation », sont insérées les références : « des articles L. 246-1 à L. 246-3 et ».

II. - L'article L. 34-1-1 du code des postes et des communications électroniques est abrogé.

III. - Le II bis de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est abrogé.

IV. - Le présent article entre en vigueur le 1er janvier 2015.

Entrez votre adresse mail pour nous suivre par email :

Surveillance du net : un Patriot Act à la française ?

La loi de programmation militaire vient d’être promulguée (loi n° 2013-1168 du 18 décembre 2013, dite LPM). Son article 20 renforce les possibilités de contrôle des traces numériques afin de lutter contre la criminalité.

Dans un entretien accordé au Recueil Dalloz, j'explique (1) pourquoi ce texte a suscité une vive polémique, (2) quels sont les changements qu'il apporte, et (3) en quoi cela me paraît liberticide.

Je pense que ce texte méritait un débat ouvert à la société civile... Contrairement à ce que l'on croit, l'accès aux données de connexion n'est pas moins indiscret que l'accès aux contenus. Les métadonnées sont extrêmement parlantes. La surveillance numérique est le nec plus ultra de la surveillance !

À lire au Recueil Dalloz... 
et ici sur le blog !

Vu sur le site de l'ACLU (American Civil Liberties Union)

• Références : Laure MARINO, "Surveillance du net : un Patriot Act à la française ?", Recueil Dalloz 6 février 2014, n° 5, entretien p. 360.
• Lire ici le texte de l'entretien

Et voici le texte de l'article 20 (j'ai surligné un des passages importants) :

I. - Le livre II du même code est ainsi modifié :

1° L'intitulé du titre IV est complété par les mots : « et accès administratif aux données de connexion » ;

2° Il est ajouté un chapitre VI ainsi rédigé :

« CHAPITRE VI

« Accès administratif aux données de connexion

« Art. L. 246-1. - Pour les finalités énumérées à l'article L. 241-2, peut être autorisé le recueil, auprès des opérateurs de communications électroniques et des personnes mentionnées à l'article L. 34-1 du code des postes et des communications électroniques ainsi que des personnes mentionnées aux 1 et 2 du I de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique, des informations ou documents traités ou conservés par leurs réseaux ou services de communications électroniques, y compris les données techniques relatives à l'identification des numéros d'abonnement ou de connexion à des services de communications électroniques, au recensement de l'ensemble des numéros d'abonnement ou de connexion d'une personne désignée, à la localisation des équipements terminaux utilisés ainsi qu'aux communications d'un abonné portant sur la liste des numéros appelés et appelants, la durée et la date des communications.

« Art. L. 246-2. - I. - Les informations ou documents mentionnés à l'article L. 246-1 sont sollicités par les agents individuellement désignés et dûment habilités des services relevant des ministres chargés de la sécurité intérieure, de la défense, de l'économie et du budget, chargés des missions prévues à l'article L. 241-2.

« II. - Les demandes des agents sont motivées et soumises à la décision d'une personnalité qualifiée placée auprès du Premier ministre. Cette personnalité est désignée pour une durée de trois ans renouvelable par la Commission nationale de contrôle des interceptions de sécurité, sur proposition du Premier ministre qui lui présente une liste d'au moins trois noms. Des adjoints pouvant la suppléer sont désignés dans les mêmes conditions. La personnalité qualifiée établit un rapport d'activité annuel adressé à la Commission nationale de contrôle des interceptions de sécurité. Ces décisions, accompagnées de leur motif, font l'objet d'un enregistrement et sont communiquées à la Commission nationale de contrôle des interceptions de sécurité.

« Art. L. 246-3. - Pour les finalités énumérées à l'article L. 241-2, les informations ou documents mentionnés à l'article L. 246-1 peuvent être recueillis sur sollicitation du réseau et transmis en temps réel par les opérateurs aux agents mentionnés au I de l'article L. 246-2.

« L'autorisation de recueil de ces informations ou documents est accordée, sur demande écrite et motivée des ministres de la sécurité intérieure, de la défense, de l'économie et du budget ou des personnes que chacun d'eux a spécialement désignées, par décision écrite du Premier ministre ou des personnes spécialement désignées par lui, pour une durée maximale de trente jours. Elle peut être renouvelée, dans les mêmes conditions de forme et de durée. Elle est communiquée dans un délai de quarante-huit heures au président de la Commission nationale de contrôle des interceptions de sécurité.

« Si celui-ci estime que la légalité de cette autorisation au regard des dispositions du présent titre n'est pas certaine, il réunit la commission, qui statue dans les sept jours suivant la réception par son président de la communication mentionnée au deuxième alinéa.

« Au cas où la commission estime que le recueil d'une donnée de connexion a été autorisé en méconnaissance des dispositions du présent titre, elle adresse au Premier ministre une recommandation tendant à ce qu'il y soit mis fin.

« Elle porte également cette recommandation à la connaissance du ministre ayant proposé le recueil de ces données et du ministre chargé des communications électroniques.

« Art. L. 246-4. - La Commission nationale de contrôle des interceptions de sécurité dispose d'un accès permanent au dispositif de recueil des informations ou documents mis en oeuvre en vertu du présent chapitre, afin de procéder à des contrôles visant à s'assurer du respect des conditions fixées aux articles L. 246-1 à L. 246-3. En cas de manquement, elle adresse une recommandation au Premier ministre. Celui-ci fait connaître à la commission, dans un délai de quinze jours, les mesures prises pour remédier au manquement constaté.

« Les modalités d'application du présent article sont fixées par décret en Conseil d'État, pris après avis de la Commission nationale de l'informatique et des libertés et de la Commission nationale de contrôle des interceptions de sécurité, qui précise notamment la procédure de suivi des demandes et les conditions et durée de conservation des informations ou documents transmis.

« Art. L. 246-5. - Les surcoûts identifiables et spécifiques éventuellement exposés par les opérateurs et personnes mentionnées à l'article L. 246-1 pour répondre à ces demandes font l'objet d'une compensation financière de la part de l'État. » ;

3° Les articles L. 222-2, L. 222-3 et L. 243-12 sont abrogés ;

4° À la première phrase du premier alinéa de l'article L. 243-7, les mots : « de l'article L. 243-8 et au ministre de l'intérieur en application de l'article L. 34-1-1 du code des postes et des communications électroniques et de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique » sont remplacés par les références : « des articles L. 243-8, L. 246-3 et L. 246-4 » ;

5° À l'article L. 245-3, après le mot : « violation », sont insérées les références : « des articles L. 246-1 à L. 246-3 et ».

II. - L'article L. 34-1-1 du code des postes et des communications électroniques est abrogé.

III. - Le II bis de l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique est abrogé.

IV. - Le présent article entre en vigueur le 1er janvier 2015.

Entrez votre adresse mail pour nous suivre par email :