droit à l’oubli

La liberté d’expression prévaut sur le droit à l’oubli

À l’ère du numérique, où chaque instant de vie peut être enregistré et partagé à l’échelle mondiale, la tension entre la protection des données personnelles et la liberté d’expression prend une ampleur inédite.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Dans un contexte où les informations circulent à une vitesse vertigineuse et où la mémoire collective est façonnée par un flot constant de contenus en ligne, les questions relatives à la vie privée et à la réputation individuelle deviennent d’une importance cruciale.

Face à cette hypermnésie digitale, les législateurs et les juridictions se trouvent confrontés à un défi majeur : trouver un équilibre entre le droit à l’effacement, inscrit dans le Règlement général sur la Protection des Données (RGPD), et les impératifs de la liberté d’expression, qui sont les fondements même des démocraties modernes. Ce débat a récemment été illustré par un arrêt significatif rendu par la cour d’appel de Paris le 20 février 2025.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Dans cette affaire, un ancien dirigeant d’une institution sportive, dont la carrière avait été ternie par une condamnation pour infractions financières en 2009, a sollicité le retrait d’un article de presse le mentionnant. Bien que cet individu ait connu une réformation partielle de sa condamnation en appel, il a estimé que la publication continuait à nuire gravement à sa réputation.

Il a donc exercé son droit à l’oubli, en demandant le déréférencement ou l’anonymisation de l’article en ligne, arguant que sa présence nuisait à son image publique. En réponse, le média concerné a choisi de mettre à jour l’article pour refléter les changements survenus dans sa situation juridique, mais a refusé de le retirer, affirmant son droit à relayer des informations d’intérêt public.

Ce cas a été soumis à l’examen de la cour, qui a dû peser avec soin les différents intérêts en jeu. En fin de compte, la juridiction a tranché en faveur de la liberté d’expression, affirmant que le droit du public à l’information et la fonction de la presse en tant que vecteur de transparence démocratique prévalaient sur les revendications de l’ancien dirigeant.

Cette décision n’est pas seulement un jugement sur un cas particulier, mais elle invite à une réflexion plus large sur les implications théoriques et pratiques du droit à l’oubli. Elle soulève des questions fondamentales : jusqu’où peut-on aller dans la protection de la réputation d’un individu sans compromettre le droit du public à être informé ?

Comment définir les limites de la mémoire numérique dans un monde où l’information peut être instantanément accessible et où les erreurs passées peuvent resurgir à tout moment ? La qualité de la personne concernée—qu’elle soit un citoyen ordinaire ou une figure publique—devient également un critère déterminant dans l’appréciation des exceptions au RGPD.

En outre, cette affaire met en lumière le rôle crucial des juges dans l’interprétation des normes. Leur responsabilité ne se limite pas à appliquer la loi, mais s’étend à la nécessité de faire évoluer la jurisprudence en fonction des valeurs constitutionnelles et des principes démocratiques.

Ainsi, la décision de la cour d’appel de Paris incarne une tentative de dessiner les contours d’un équilibre dynamique entre mémoire numérique et liberté de la presse, tout en réaffirmant l’importance d’un débat public éclairé. À travers cette analyse, il devient essentiel de s’interroger sur la coexistence des droits individuels et des libertés fondamentales, et sur la manière dont ces éléments peuvent être harmonisés dans un cadre juridique en constante évolution.

I. Les fondements juridiques de la primauté de la liberté d’expression dans l’équilibre des droits

A- La consécration normative de la liberté d’expression comme limite au droit à l’effacement

  1. Le RGPD et ses exceptions : l’article 17, alinéa 3, et les motifs d’intérêt public

Le Règlement Général sur la Protection des Données (RGPD), tout en consacrant un droit à l’effacement des données personnelles (article 17), prévoit des dérogations substantielles lorsque le traitement des données est nécessaire à l’exercice de la liberté d’expression et d’information (article 17, alinéa 3).

Ces exceptions s’inscrivent dans une logique téléologique : protéger les valeurs démocratiques inhérentes à la transparence médiatique. Ainsi, le législateur européen a reconnu que le droit à l’oubli ne saurait prévaloir sur la préservation d’un débat public éclairé, notamment lorsque les informations concernent des personnalités publiques ou des faits d’intérêt général.

Dans l’arrêt commenté, la cour d’appel de Paris a rappelé que le maintien de l’article litigieux répondait à un « motif légitime et impérieux » au sens du RGPD, en l’occurrence l’information des citoyens sur des condamnations pénales liées à l’exercice de fonctions publiques. Cette interprétation s’aligne sur la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE), qui, dans l’affaire Google Spain (2014), avait déjà souligné que le droit à la vie privée devait céder face à l’intérêt prépondérant du public à accéder à des informations pertinentes.

  1. L’ancrage constitutionnel et conventionnel de la liberté de la presse

La liberté d’expression, garantie par l’article 11 de la Déclaration des Droits de l’Homme et du Citoyen (DDHC) et l’article 10 de la Convention Européenne des Droits de l’Homme (CEDH), constitue un pilier intangible des démocraties libérales.

La Cour Européenne des Droits de l’Homme (CEDH) a constamment affirmé que cette liberté vaut non seulement pour les informations « favorables » ou neutres, mais aussi pour celles qui heurtent, choquent ou inquiètent (Handyside c. Royaume-Uni, 1976).

Dans le contexte numérique, cette protection s’étend aux archives en ligne des médias, considérées comme des « biens communs informationnels ». La cour d’appel de Paris a ainsi invoqué l’article 10 CEDH pour rejeter l’anonymisation de l’article, jugeant que le nom du condamné était un « élément essentiel de l’information ». Cette approche reflète une vision holistique de la liberté de la presse, où l’identification des acteurs publics est nécessaire à la crédibilité et à la contextualisation du récit journalistique.

B- La méthodologie jurisprudentielle de la balance des intérêts

  1. L’appréciation in concreto de la nécessité et de la proportionnalité

Le juge, face à un conflit entre droit à l’oubli et liberté d’expression, doit opérer une balance des intérêts fondée sur une analyse contextuelle et proportionnelle. Cette démarche, inspirée du principe de proportionnalité issu du droit européen, exige une évaluation minutieuse des circonstances de l’espèce.

Dans l’affaire de 2025, la cour a examiné plusieurs critères :

– La gravité des infractions initiales : Les délits financiers (complicité d’abus de confiance, recel, abus de biens sociaux) ont été qualifiés de « graves » et « en rapport direct avec les fonctions » du requérant, justifiant leur persistance dans l’espace public.

L’information de l’information : La cour a relevé que le « souhait du monde sportif de rendre celui-ci “propre” » maintenait une actualité juridique et sociale des faits, malgré leur ancienneté.

– Les mises à jour effectuées par le journal : L’ajout de la mention de la décision d’appel a été considéré comme une preuve de bonne foi et de respect de l’exigence d’exactitude (article 5 RGPD).

  1. Les critères de pondération : actualité, gravité, statut public

La jurisprudence a progressivement formalisé une grille d’analyse pour les conflits entre RGPD et liberté d’expression :

– Le statut public du requérant : Les personnalités exerçant des fonctions d’influence (politiques, sportives, médiatiques) voient leur droit à l’oubli restreint, car leur vie professionnelle relève de l’intérêt général (CEDH, Axel Springer c. Allemagne, 2012).

– La nature des données : Les informations relatives à des condamnations pénales, surtout pour des infractions graves, sont protégées plus faiblement que les données sensibles ou intimes.

– L’impact sur la démocratie : La cour a souligné que l’accessibilité des condamnations de personnalités publiques est « fonction de leur importance » pour le débat citoyen, renforçant ainsi le devoir de mémoire collective.

II. Les implications de l’arrêt de 2025 : vers une systématisation des exceptions pour les personnalités publiques ?

A- La qualification de « personnalité officielle » comme facteur d’atténuation du droit à l’oubli

  1. L’influence du statut sur l’exigence de transparence

La cour a retenu que le requérant, en tant qu’ancien président d’un « club sportif notoire », était une « personnalité officielle » dont les agissements passés conservent une pertinence pour l’actualité. Cette qualification s’inscrit dans le prolongement de la jurisprudence Google Spain, où la CJUE avait distingué les particuliers anonymes des figures publiques.

Le raisonnement repose sur une présomption d’intérêt légitime du public : les citoyens sont en droit de connaître les antécédents judiciaires de personnes susceptibles de retrouver des responsabilités. Cette logique prévaut même lorsque la condamnation a été partiellement infirmée, dès lors que les faits résiduels restent significatifs.

  1. La notion de « légitime intérêt du public » dans la rétention des données

Les lignes directrices de la CNIL (2023) précisent que le « légitime intérêt du public » doit être apprécié en fonction de :

– La fonction actuelle ou passée de la personne concernée.

– La corrélation entre les faits rapportés et l’exercice de cette fonction.

– Le potentiel de récidive ou de reconstitution d’une influence publique.

Dans l’arrêt de 2025, la cour a estimé que le requérant, en raison de son rôle historique dans le sport et de ses éventuelles ambitions futures, ne pouvait invoquer un droit à l’effacement absolu. Cette position rejoint celle de la CEDH dans Von Hannover c. Allemagne (n°2) (2012), où il avait été jugé que les personnes médiatisées doivent tolérer une plus grande intrusion dans leur vie privée.

B- Les limites à la dérogation : prévention des abus et protection des droits subjectifs

  1. L’exigence de mise à jour des informations pour éviter l’obsolescence préjudiciable

Si la cour a validé le maintien de l’article, elle a salué la mise à jour effectuée par 20 Minutes mentionnant la réforme partielle de la condamnation. Cette obligation de mise à jour, implicite dans le RGPD (article 5, alinéa 1d), vise à éviter la diffusion d’informations périmées ou trompeuses. Les médias doivent ainsi :

– Corriger les erreurs factuelles sous peine de responsabilité pour diffamation.

– Contextualiser les informations anciennes (ex. : préciser qu’une condamnation a été atténuée en appel).

– Éviter les amalgames entre des faits juridiquement distincts.

  1. Le contrôle strict du préjudice allégué : charge de la preuve et proportionnalité

La cour a rejeté la demande d’effacement au motif que le requérant n’avait pas démontré un préjudice « disproportionné » causé par la persistance de l’article. Cette exigence renvoie à deux principes clés :

– La charge de la preuve incombe au demandeur (article 12 RGPD), qui doit établir un lien causal entre la publication et un dommage concret (atteinte à l’emploi, réputation, etc.).

– La proportionnalité in dubio pro libertate : En cas de doute, le juge doit privilégier la liberté d’expression, conformément à la maxime « in dubio pro libertate ». Cette approche limite les risques d’instrumentalisation du RGPD pour censurer des contenus légitimes, tout en protégeant les médias contre les demandes abusives.

L’arrêt de la cour d’appel de Paris du 20 février 2025 illustre la complexité des arbitrages entre mémoire numérique et liberté d’expression. En systématisant une méthodologie fondée sur la proportionnalité et le statut public, il offre un cadre prévisible pour les futurs litiges, tout en rappelant que le droit à l’oubli ne peut servir à réécrire l’histoire. Cependant, cette jurisprudence soulève des questions non résolues :

– La définition fluctuante de « personnalité publique » : Faut-il inclure les influenceurs ou les chefs d’entreprise ?

– La temporalité de l’intérêt public : Combien de temps une condamnation reste-t-elle d’actualité ? À l’heure où l’intelligence artificielle et les algorithmes de référencement complexifient la gestion des données, le dialogue entre juges nationaux, législateurs européens et plateformes techniques sera crucial pour préserver cet équilibre fragile.

Pour lire une version plus complète de cet article sur la liberté d’expression et le droit à l’oubli, cliquez

Sources :

  1. Legalis | L’actualité du droit des nouvelles technologies | Cour d’appel de Paris, pôle 4 – Ch. 10, arrêt du 20 février 2025
  2. L’arrêt Google Spain de la CJUE du 13 mai 2014 et le droit à l’oubli | Cairn.info
  3. Microsoft Word – HandysidevUK-FrenchFinal.docx
  4. CEDH, AFFAIRE AXEL SPRINGER AG c. ALLEMAGNE, 2012, 001-109035

Par internet-et-droit • Tags: , , ,

Droit à l’oubli et dirigeants

Le droit à l’oubli numérique, pierre angulaire du RGPD et de la jurisprudence de la CJUE, offre aux individus un outil essentiel pour contrôler leur empreinte digitale. Il permet l’effacement ou le déréférencement de données personnelles devenues obsolètes, inexactes ou disproportionnées.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Cette protection s’étend sans ambiguïté aux dirigeants d’entreprise – y compris lorsqu’ils agissent au nom d’une société. Le RGPD (art. 4) et la CJUE (arrêt C-710/23, 2025) reconnaissent explicitement que leurs noms, fonctions, signatures ou coordonnées professionnelles constituent des données personnelles protégées, dès lors qu’ils sont identifiables. Pourtant, l’application de ce droit à ces acteurs économiques crée une tension juridique inédite.

Besoin de l’aide d’un avocat pour un problème de droit à l’oubli?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Leur statut hybride – à la fois personnes privées et figures publiques – cristallise un conflit entre :
1. L’impératif de protection de la vie privée : Face à la persistance numérique d’informations préjudiciables (articles critiques, photos décontextualisées), les dirigeants invoquent le droit à l’oubli pour préserver leur réputation professionnelle.
2. Les exigences démocratiques de transparence : L’accès du public aux données des acteurs influents (registres du commerce, documents officiels) relève de l’intérêt général.
La jurisprudence tente d’arbitrer ces enjeux contradictoires. Si l’arrêt Google Spain (2014) impose aux moteurs de recherche de déréférencer les contenus violant la vie privée, la CJUE (C-460/20, 2022) précise que le dirigeant doit prouver l’inexactitude manifeste des données sans déclaration judiciaire préalable – sans imposer à Google une enquête active.
Parallèlement, des exceptions légales limitent le droit à l’oubli : obligations de publication légale (statuts de sociétés) ou exercice de la liberté d’expression (médias rapportant des condamnations pénales), comme l’a rappelé la cour d’appel de Paris en refusant récemment l’anonymisation d’un article sur un président de club condamné.

Cette problématique soulève trois défis cruciaux :
– Juridique : Articuler l’article 17 du RGPD (droit à l’effacement) avec les exemptions d’intérêt public ;
– Social : Déterminer si l’exercice de fonctions dirigeantes implique une renonciation partielle à la vie privée ;
– Pratique : Établir des preuves d’ »inexactitude manifeste » sans recours systématique à des procédures lourdes.
La frontière entre vie professionnelle exposée et sphère privée protégée demeure ainsi une zone grise du droit numérique, où s’affrontent réputation individuelle et transparence collective.

I. Le cadre juridique asymétrique du droit à l’oubli pour les dirigeants

A. Une protection théorique sous conditions strictes

– Le RGPD (Art. 17) protège les données « personnelles », mais les informations liées à l’exercice d’un mandat de dirigeant (nom dans des statuts, déclarations publiques, signatures) sont souvent considérées comme « d’intérêt public » par défaut (CJUE, C-136/17, GC c/ CNIL).
– Exemple : En droit français, le Code de commerce impose la communication d’un certain nombre de données personnelles dans le cadre de la vie des sociétés :
Articles L. 123-1 et R. 123-54 : identité, nationalité, date et lieu de naissance, adresse personnelle du dirigeant (RCS) ;
Dépôt des statuts au greffe avec mention des signataires ;
Publicité légale lors des nominations, modifications ou radiations.
Ces traitements sont licites au sens de l’article 6, §1, c) du RGPD, car imposés par la loi.
– Critère clé : La nature du poste (PDG de CAC40 vs. Gérant de SARL) et le contexte de l’information influencent la balance entre vie privée et transparence.

2. Charge de la preuve modulée : l’ »inexactitude manifeste »

– Depuis l’arrêt CJUE C-460/20 (TU c/ Google), le dirigeant doit prouver l’inexactitude flagrante des informations (ex. : un article le présentant comme condamné alors qu’il a été relaxé).
• Les preuves acceptées :
– Décision de justice contradictoire,
– Rectification officielle par un média,
– Témoignages certifiés

– Limite : Aucune obligation de saisir préalablement un tribunal contre l’éditeur original, mais une simple déclaration sur l’honneur est insuffisante (CJUE, C-460/20).

B. Des exceptions structurelles : transparence économique et liberté d’expression

1. Obligations légales : le verrou incontournable

– Les registres publics (RCS, BODACC, INPI) sont des bases légales opposables au droit à l’oubli (RGPD, Art. 17 §3-b). Ex. : La durée de conservation des données au RCS est fixée à 5 ans après la radiation de la société.
– Conséquence : Un dirigeant ne peut demander le déréférencement d’un lien vers une fiche Infogreffe même si celle-ci mentionne une ancienne société en liquidation judiciaire (CJUE, C-398/15, Manni).

2. Prévalence de l’intérêt public : le « prix à payer » du statut

– La jurisprudence assimile les dirigeants à des « personnes publiques » (CEDH, Von Hannover c. Allemagne n°2, 2012). Leur droit à l’oubli est subordonné à :
– L’actualité de l’information (ex. : une condamnation pour corruption reste référencée même 10 ans après),
– Leur influence socio-économique (ex. : un PDG impliqué dans un scandale environnemental).
– Ratio : Le public a un droit à l’information sur les acteurs économiques qui impactent la société (CJUE, Google Spain, §97).

 

II. La mise en œuvre contestée : entre effectivité limitée et innovations jurisprudentielles

A. Procédures déséquilibrées et défis probatoires

1. L’impossible démonstration de l’ »inexactitude manifeste »

– Problème pratique : Comment prouver qu’un article de presse ancien est « manifestement inexact » sans lancement d’une action en diffamation (longue et coûteuse) ? –
Exemple : Un dirigeant accusé de fraude dans un média, puis blanchi par une enquête interne non publique. Les moteurs de recherche rejettent souvent la demande faute de preuve « accessible » (CNIL Délib. SAN-2023-024).
– Solution jurisprudentielle émergente : La production d’un rapport d’expert indépendant peut suffire.

2. L’asymétrie face aux plateformes : Google comme « juge privé »

– Les moteurs de recherche évaluent eux-mêmes la balance vie privée vs. Intérêt public (CJUE, Google Spain). Risques :
– Arbitraire : Manque de transparence sur les critères algorithmiques (CJUE, C-460/20, §54),
– Déséquilibre procédural : Le dirigeant doit contester un refus devant le juge national, avec des délais de 6 à 18 mois.
– Innovation : La CNIL expérimente une médiation préalable obligatoire pour les personnalités publiques.

B. L’effectivité limitée par l’intérêt supérieur de l’information

1. L’actualité persistante des données économiques

– Les informations sur les opérations financières (OPA, restructurations) ou les condamnations (droit des sociétés, environnement) conservent une valeur d’alerte ou historique : –
Ex. : La publication des comptes d’une société en difficulté reste accessible 15 ans après pour comprendre un secteur économique (CJUE, C-13/16, Rīgas).
– Critère temporel : La jurisprudence exige un « délai raisonnable » mais sans seuil fixe (CJUE, C-92/09, Volker und Markus Schecke).

2. Crise de réputation vs. Devoir de mémoire : la question des condamnations pénales

– Tension maximale : Un dirigeant condamné puis réhabilité peut-il exiger l’oubli ?
– Solution 1 : Les condamnations définitives restent référencées au nom de la transparence démocratique (CEDH, Times Newspapers Ltd c. Royaume-Uni, 2009).
– Solution 2 : Les procédures abandonnées ou annulées peuvent être déréférencées si leur diffusion crée un préjudice disproportionné.
– Évolution clé : La notion d’ »intérêt historique » émerge (ex. : un scandale ayant entraîné une réforme législative), rendant l’oubli inopérant (CA Paris, 2025, n° 23/05631).

Le droit à l’oubli des dirigeants révèle une citoyenneté numérique à deux vitesses :
– Pour les données purement privées (vie familiale, loisirs) : protection effective sous conditions ;
– Pour l’exercice du pouvoir économique : primauté de l’intérêt général, réduisant l’oubli à des cas marginaux (inexactitude flagrante non corrigée). Cette asymétrie consacre une présomption de publicité attachée au statut de dirigeant, faisant de l’oubli numérique une exception étroitement encadrée par la mémoire collective et les impératifs de transparence.

Pour lire une version plus complète de cet article sur le droit à l’oubli et les dirigeants, cliquez

Sources :
1. https://curia.europa.eu/juris/document/document.jsf?text=&docid=297537&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=2354456

2. https://curia.europa.eu/juris/document/document.jsf?text=&docid=209686&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=2269136

3. https://curia.europa.eu/juris/document/document.jsf?text=&docid=257515&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=2287317

4. https://curia.europa.eu/juris/document/document.jsf?text=&docid=183142&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=2298201

5. Délibération SAN-2023-024 du 29 décembre 2023 – Légifrance

6. https://curia.europa.eu/juris/document/document.jsf?text=&docid=187183&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=2330892

7. https://curia.europa.eu/juris/document/document.jsf?text=&docid=79001&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=2331995

Par internet-et-droit • Tags: , ,

LE DROIT À L’OUBLI

Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, au sein d’une section consacrée aux droits de la personne concernée, affecte son article 17 à la notion de « Droit à l’effacement » des données à caractère personnel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concernent.

Si le droit à l’oubli n’est pas nouveau, les frontières de cette notion ont continuellement été débattues et font toujours l’objet de nombreuses controverses. L’avènement du numérique, en démultipliant la quantité de données échangées et instantanément disponibles sur internet, n’a fait que renforcer l’intérêt porté à ce droit qui revêt désormais une importance cruciale.

I. Le principe du droit à l’oubli

A. La portée du droit à l’oubli

Le droit à l’oubli est initialement un concept européen. Les premiers jalons d’un droit à l’effacement ont été posés par la loi informatique et liberté de 1978, mais aussi par la directive européenne 95/46 (Directive 95/46/CE du 24/10/1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ) dont l’article 12 b) (désormais abrogé) dispose que toute personne a un droit d’obtenir d’un responsable de traitement, l’effacement des données personnelles qui la concernent lorsque celles-ci sont incomplètes ou erronées.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Toutefois, ce droit à l’effacement a rapidement montré ses limites, notamment en raison des facultés de stockage des données sur internet qui dépassent largement les capacités humaines.

En effet, les moteurs de recherche peuvent conserver les données relatives à un individu pour une période quasi illimitée, et ce, sans faire la distinction entre celles qui mériteraient d’être référencées et celles qui ne devraient plus l’être.

Face à ce constat, l’idée de créer un véritable « droit à l’oubli » a suscité de nombreux débats, notamment entre les régulateurs et les entreprises du net.

Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014.

Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.

Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement

Selon l’article 17 du RGPD qui s’applique en France à compter du 25 mai 2018, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

  1. a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  2. b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
  3. c) la personne    concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
  4. d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  5. e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
  6. f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

Cette notion de droit à l’oubli peut être définie par sa finalité, en écartant les éventuels risques qu’un individu soit atteint de manière durable par l’utilisation des données qui le concerne à son insu, que celles-ci soient présentes en ligne par sa propre initiative, ou par celle d’une tierce personne.

En plus d’obtenir du responsable du traitement l’effacement des données ayant un caractère personnel, le droit à l’oubli numérique prévoit également d’effacer la diffusion de ces données personnelles, et en particulier quand la personne concernée n’accorde plus son consentement pour leur utilisation.

B. Les limites du droit à l’oubli

Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre :

  1. De l’exercice du droit à la liberté d’expression et d’information ;
  2. Du respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
  3. De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
  4. De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  5. De la constatation, de l’exercice ou de la défense de droits en justice.

 C. Ouverture sur un déréférencement mondial au cas par cas

Dans sa décision du 27 mars 2020, le Conseil d’État a précisé la portée géographique du droit au déréférencement. La CNIL prend acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.

En effet, lorsque le moteur de recherche répond à l’affirmative, il ne supprime toutefois que les résultats qui apparaissent sur le site de l’État de nationalité du requérant. Or, cette restriction territoriale suscite des controverses. Selon la CNIL, le refus de Google de déréférencer les liens sur toutes les extensions du nom de domaine du moteur de recherche représente une violation des droits d’opposition et d’effacement reconnus aux personnes faisant l’objet d’un traitement de données personnelles, dans la mesure où les liens demeurent « accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche ».

La CNIL a ainsi déjà mis en demeure Google d’effectuer les déréférencements sur toutes ses extensions dans un délai de quinze jours (CNIL, décis. N °2015-047, 21/05/2015). De son côté, Google considère que les pouvoirs de la CNIL se limitent à la France et que celle-ci ne saurait valablement se prononcer sur les extensions des autres pays, soutenant qu’un déréférencement mondial serait excessif et limiterait la liberté d’expression.

La CJUE a été saisie par le Conseil d’État le 24 février 2017 pour se prononcer sur des questions préjudicielles ayant trait à la portée du droit au déréférencement et ses conditions de mise en œuvre (CE, Assemblée, 24/02/2017, n°391000).

Dans l’attente de la réponse de la Cour, l’avocat général de la CJUE a rendu un avis le 10 janvier 2019 aux termes duquel il donne partiellement l’avantage à Google en soutenant que « l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur ».

Contrairement à la CNIL qui s’est largement positionnée en faveur de l’ « amnésie générale », le Conseil d’État proposait que le droit à l’oubli  ne s’applique qu’en Europe, laissant ainsi la possibilité de consulter un contenu référencé en France depuis l’étranger.

Si sans surprise, dans sa décision du 27 mars 2020 le Conseil d’État confirme l’impossibilité d’un droit au déréférencement mondial et général, il ouvre cependant la porte à une application mondiale de ce droit, au cas par cas. Les deux parties peuvent ainsi trouver satisfaction dans cet arrêt : Google qui voit sa sanction annulée et le confinement du droit au déréférencement aux frontières de l’UE confirmé et la CNIL qui voit le Conseil d’État l’autoriser à permettre l’abolition des frontières, au cas par cas.

Par une décision du 10 mars 2016, la CNIL avait prononcé une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus d’appliquer le droit au déréférencement à l’ensemble des extensions de nom de domaine de son moteur de recherche. Saisi par le moteur de recherche, le Conseil d’État avait sursis à statuer, pour demander à la CJUE son interprétation du RGPD en matière de territorialité. La cour de Luxembourg avait rappelé que, si le RGPD n’impose pas un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Et c’est dans cette brèche que le Conseil d’État s’est glissé, approuvant ainsi le raisonnement de la CNIL.

La CJUE considère qu’il n’existe pas un droit au déréférencement mondial, sur la base du RGPD.

Néanmoins, elle rappelle que les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données et, d’autre part, le droit à la liberté d’information, et, qu’au terme de cette mise en balance, elle peut enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

Faute pour la CNIL d’avoir effectué cette mise en balance dans le contentieux qui l’opposait à Google, elle a vu confirmé l’annulation de sa décision du 10 mars 2016.

II. Le droit à l’oubli en pratique

A. Identifier l’organisme à contacter

L’exercice du droit à l’effacement est une procédure relativement simple. Dans un premier temps, la personne concernée doit identifier l’organisme à contacter, c’est-à-dire l’entreprise qui assure le traitement des données.

Il faudra ensuite se rendre sur la page d’information consacrée à l’exercice des droits sur la plateforme de ladite entreprise, en cliquant entre autres sur « politique vie privée », « politique confidentialité » ou « mentions légales ».

B. Exercer le droit à l’effacement auprès de l’organisme

L’exercice du droit d’effacement peut être exercé par divers moyens : par voie électronique (formulaire de déréférencement, adresse mail, bouton de téléchargement, etc.) ou par courrier, par exemple.

A la suite de l’affaire Google Spain de 2014, Google a mis en place un formulaire de requête en ligne permettant aux internautes de faire une demande de déréférencement. Lorsque Google est saisi d’une requête en déréférencement, le moteur de recherche effectue une analyse au cas par cas pour déterminer si le lien litigieux donne accès à des informations qui s’avèrent « inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause ».

Depuis les mêmes formulaires de déréférencement existe pour les moteurs de recherche YAHOO, BING, QWANT notamment.

En outre, il est très important d’indiquer précisément quelles sont les données que vous souhaitez effacer.

En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme.

Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entraînera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.

Si et seulement si, l’organisme à des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité.

En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

La conservation d’une copie des différentes démarches est toujours conseillée, notamment lorsque la personne concernée souhaite saisir la CNIL en cas d’absence de réponse ou de réponse non satisfaisante du responsable de traitement.

C. Que faire en cas de refus ou d’absence de réponse

Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande.

Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez également saisir la CNIL afin de procéder au dépôt d’une plainte en ligne.

 En outre, le responsable du traitement qui décide de ne pas donner suite à une demande d’exercice du droit à l’effacement se voit dans l’obligation de justifier son refus auprès du propriétaire des données.

Suite à l’application des nouvelles dispositions du RGPD, les entreprises traitant les données personnelles doivent mettre en place les meilleurs mécanismes qui permettent de vérifier que les données collectées ne sont pas conservées au-delà du délai nécessaire, compte tenu des finalités annoncées au départ.

Pour lire une version plus complète de cet article sur le droit à l’oubli, cliquez

 SOURCES :

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000697074&categorieLien=id
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131
https://www.cnil.fr/sites/default/files/atoms/files/decision_du_conseil_detat_-_dereferencement_-_27_mars_2020.pdf

Par internet-et-droit • Tags: , ,

Qu’est-ce qu’un traitement « illicite » ?

L’article 4.1 du RGPD définit les «données à caractère personnel» comme toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»).

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Ainsi est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

De plus, l’article 6 de la loi informatique et liberté prévoit une liste des données dites sensibles. Le traitement de ces dernières est par principe interdit, en effet « Il est interdit de traiter des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique ou de traiter des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Quant au « traitement », c’est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Revenons à notre interrogation de l’article intitulée « qu’est-ce qu’un traitement illicite ».

Le 7 mai 2019, un demandeur d’asile a déposé une demande de protection internationale auprès de l’Office fédéral allemand.

Sa demande a été rejetée en se basant sur les informations contenues dans le dossier électronique « MARIS ». Ce dossier, compilé par l’Office fédéral, contient des données personnelles relatives aux demandeurs, telles que leur identité, leurs antécédents et les motifs de leur demande de protection.

Suite à ce rejet, le demandeur a décidé de contester la décision devant le tribunal administratif de Wiesbaden, en Allemagne. Dans le cadre de cette procédure, le dossier électronique « MARIS » a été transmis au tribunal.

Cependant, la légalité de cette transmission a été remise en question par le tribunal, car l’Office fédéral n’a pas été en mesure de prouver qu’il respectait les obligations prévues par le RGPD, notamment en ce qui concerne :

(1) la tenue d’un registre des activités de traitement (art. 30 RGPD) et

(2) l’établissement d’un accord pour une responsabilité conjointe (art.26 RGPD).

Le tribunal s’interroge au premier chef sur les conséquences de ces potentielles violations : le traitement en devient-il illicite au sens de l’article 17 d) RGPD, entrainant dès lors l’effacement des données ?

Avant de nous prononcer sur la l’illicéité d’un traitement de données personnelles (II), examinons la question de la licéité du traitement (I).

I. La licéité du traitement des données personnelles

A. La « base légale » d’un traitement de données personnelles ?

La base légale d’un traitement est ce qui autorise légalement sa mise en œuvre, ce qui donne le droit à un organisme de traiter des données à caractère personnel. On peut également parler de « fondement juridique » ou de « base juridique » du traitement.

Quelles sont les bases légales prévues par le RGPD ?

Il est permis de traiter des données personnelles lorsque le traitement repose sur une des 6 bases légales mentionnées à l’article 6 du RGPD :

le consentement : la personne a consenti au traitement de ses données ;

le contrat : le traitement est nécessaire à l’exécution ou à la préparation d’un contrat avec la personne concernée ;

l’obligation légale : le traitement est imposé par des textes légaux ;

la mission d’intérêt public : le traitement est nécessaire à l’exécution d’une mission d’intérêt public ;

l’intérêt légitime : le traitement est nécessaire à la poursuite d’intérêts légitimes de l’organisme qui traite les données ou d’un tiers, dans le strict respect des droits et intérêts des personnes dont les données sont traitées ;

la sauvegarde des intérêts vitaux : le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée, ou d’un tiers.

Lorsqu’un même traitement de données poursuit plusieurs finalités, c’est-à-dire plusieurs objectifs, une base légale doit être définie pour chacune de ces finalités. En revanche, il n’est pas possible de « cumuler » des bases légales pour une même finalité : il faut en choisir une seule.

Exemple : un fichier « clients et prospects » d’une entreprise peut poursuivre plusieurs finalités, qui doivent chacune reposer sur une base légale : le contrat pour la gestion des commandes, des livraisons ou du service après-vente ; l’obligation légale pour la tenue de la comptabilité ; le consentement pour les opérations de prospection commerciale par voie électronique ; etc.

B. Licéité et consentement

Le consentement est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Le consentement n’est pas un concept nouveau, puisqu’il était déjà inscrit dans la loi Informatique et Libertés. Le RGPD complète néanmoins sa définition et précise cette notion sur certains aspects, afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Le consentement est une des 6 bases légales prévues par le RGPD autorisant la mise en œuvre de traitements de données à caractère personnel.

Le responsable de traitement doit être en mesure de démontrer la validité du recours à cette base légale.

Tout changement important des conditions de mise en œuvre du traitement (finalité, données, durées de conservation, etc.) est susceptible d’avoir une incidence sur la validité de la base légale retenue : la démarche d’évaluation de cette validité doit donc, dans ce cas, être réitérée.

4 critères cumulatifs doivent être remplis pour que le consentement soit valablement recueilli. Le consentement doit être :

Libre : le consentement ne doit pas être contraint ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus.

Le caractère libre du consentement doit faire l’objet d’une attention particulière dans le cas de l’exécution d’un contrat, y compris pour la fourniture d’un service : refuser de consentir à un traitement qui n’est pas nécessaire à l’exécution du contrat ne doit pas avoir de conséquence sur son exécution ou sur la prestation du service.

Par exemple, un opérateur de téléphonie mobile recueille le consentement de ses clients pour l’utilisation de leurs coordonnées par des partenaires à des fins de prospection commerciale. Le consentement est considéré comme libre à condition que le refus des clients n’impacte pas la fourniture du service de téléphonie mobile.

Spécifique : un consentement doit correspondre à un seul traitement, pour une finalité déterminée.

Dès lors, pour un traitement qui comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Par exemple, un organisateur d’évènements culturels souhaite recueillir le consentement des spectateurs pour deux types de prestations : la conservation de leurs coordonnées de paiement (carte bancaire) afin de faciliter leurs prochaines réservations ; la collecte de leur adresse électronique pour leur adresser des courriels concernant des prochaines représentations. Pour que le consentement soit valide, les spectateurs doivent pouvoir consentir librement et séparément pour chacun de ces deux traitements : la conservation des coordonnées bancaires et l’utilisation de leur adresse électronique.

Eclairé : pour qu’il soit valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente.

Au-delà des obligations liées à la transparence, le responsable du traitement devrait fournir les informations suivantes aux personnes concernées pour recueillir leur consentement éclairé :

l’identité du responsable du traitement ;

les finalités poursuivies ;

les catégories de données collectées ;

l’existence d’un droit de retrait du consentement ;

selon les cas : le fait que les données seront utilisées dans le cadre de décisions individuelles automatisées ou qu’elles feront l’objet d’un transfert vers un pays hors Union européenne.

Univoque : le consentement doit être donné par une déclaration ou tout autre acte positif clairs. Aucune ambiguïté quant à l’expression du consentement ne peut demeurer.

Les modalités suivantes de recueil du consentement ne peuvent pas être considérées comme univoques :

les cases pré-cochées ou pré-activées

les consentements « groupés » (lorsqu’un seul consentement est demandé pour plusieurs traitements distincts)

l’inaction (par exemple, l’absence de réponse à un courriel sollicitant le consentement)

II. L’illicéité du traitement

La notion de licéité apparait ici et là dans le règlement, sans que l’on perçoive toujours la portée exacte du terme. On sent l’importance de la notion, transversale, mais moins bien sa portée exacte.

Si l’on adopte une approche restrictive, la licéité du traitement se limite à respecter les conditions de l’article 6 intitulé … « licéité du traitement ». Dans cette approche restrictive, l’illicéité du traitement viserait les hypothèses de violation de l’article 6.

Si l’on adopte à l’inverse une approche large, dans laquelle est illicite tout ce qui ne respecte pas la règle de droit ou la norme de bon comportement, l’illicéité du traitement viserait la violation de n’importe quelle disposition du RGPD.

La question est importante, non seulement par rapport aux dommages et intérêts ou aux mesures correctrices que l’autorité peut prendre, mais aussi par rapport aux dispositions du RGPD qui visent spécifiquement les hypothèses d’illicéité. La première d’entre elles étant l’article 17 d) consacré au droit à l’oubli lorsque « les données à caractère personnel ont fait l’objet d’un traitement illicite. »

A. Le rejet de l’approche restrictive

On savait déjà que l’approche restrictive n’est pas celle retenue par la CJUE.

Dans l’arrêt Google Spain, la Cour a considéré que le caractère illicite peut résulter « non seulement du fait que ces données sont inexactes mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédante celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques ».

Il en découle :

d’une part, que la Cour élargit la notion d’illicéité au-delà de la violation du seul article 6 et y englobe l’article 5 ; et

d’autre part, que la Cour semble considérer qu’une illicéité fondée sur l’article 5 peut naitre de la violation de n’importe quel principe énoncé au 1er paragraphe de cette disposition : licéité, loyauté, transparence ; limitation des finalités ; minimisation des données ; exactitude ; limitation de la conservation ; intégrité et confidentialité.

La Cour rejetait donc clairement une approche restrictive qui limiterait le concept d’illicéité aux seules violations de l’article 6.

B. Le rejet d’une approche (trop) extensive

En substance, la question préjudicielle posée par le tribunal administratif allemand porte sur l’élasticité du concept d’illicéité : une violation des articles 26 et 30, consacrés respectivement à l’établissement de règles entre responsables conjoints du traitement et à l’obligation de tenue d’un registre, constituerait-elle une illicéité au sens de l’article 17 d) (droit à l’oubli) ?

La logique du juge allemand n’est pas dénuée de logique. Puisque la CJUE a elle-même élargi la notion d’illicéité à tous les principes énoncés à l’article 5.1, pourquoi ne pas aller au bout de la logique et considérer que toute violation du RGPD est une violation du principe de responsabilité énoncé à l’article 5.2 et, dès lors, une illicéité au sens de l’article 17 d) ?

La CJUE s’y refuse.

Avant de se consacrer à l’illicéité visée à l’article 17 d), la Cour commence par s’intéresser à la notion de licéité.

Elle rappelle tout d’abord sa jurisprudence selon laquelle « tout traitement de données à caractère personnel doit être conforme aux principes relatifs au traitement des données énoncés à l’article 5, paragraphe 1, de ce règlement et satisfaire aux conditions de licéité du traitement énumérées à l’article 6 dudit règlement [voir, notamment, arrêts du 6 octobre 2020, La Quadrature du Net e.a., C‑511/18, C‑512/18 et C‑520/18, EU:C:2020:791, point 208 ; du 22 juin 2021, Latvijas Republikas Saeima (Points de pénalité), C‑439/19, EU:C:2021:504, point 96, ainsi que du 20 octobre 2022, Digi, C‑77/21, EU:C:2022:805, points 49 et 56] ».

La Cour ajoute ensuite une précision importante pour la suite du raisonnement : les articles 7 à 11 du RGPD, qui figurent, à l’instar des articles 5 et 6 de celui-ci, dans le chapitre II relatif aux principes, ont pour objet de préciser la portée des obligations incombant au responsable du traitement en vertu de l’article 5, paragraphe 1, sous a), et de l’article 6, paragraphe 1.

Il s’ensuit, selon la Cour que « le traitement de données à caractère personnel, afin d’être licite, doit également respecter, ainsi qu’il ressort de la jurisprudence de la Cour, ces autres dispositions dudit chapitre qui concernent, en substance, le consentement, le traitement de catégories particulières de données personnelles à caractère sensible et le traitement de données personnelles relatives aux condamnations pénales et aux infractions ».

Ayant posé les bases, la Cour s’attache enfin à l’hypothèse spécifique d’une violation des articles 26 et 30 : pareille violation, à la supposer établie, est-elle une illicéité au sens de l’article 17 d) qui autorise la personne concernée à exiger l’effacement de données, le lien entre les deux étant le concept de responsabilité (accountability) énoncé à l’article 5.2 ?

Elle répond par la négative, soulignant que :

Les articles 26 et 30 ne font pas partie du chapitre 2 consacré aux « principes » ;

La distinction opérée entre le chapitre 2 et le reste du règlement se reflète dans les dispositions relatives aux amendes administratives et aux mesures correctrices, qui varient selon le niveau de gravité des violations constatées ;

Cette interprétation est également corroborée par l’objectif du règlement qui est de garantir un niveau élevé de protection aux personnes concernées. Or relève la Cour, autant une violation des principes est susceptible de mettre en cause cet objectif, autant on ne peut affirmer de manière générale qu’une violation des articles 26 et 30 porte, en tant que telle, atteinte à cet objectif.

En conséquence, la Cour juge qu’une violation des articles 26 et 30 n’est pas une illicéité au sens des articles 17.1 d) (oubli) et 18.1 b) (limitation) dès lors qu’une telle méconnaissance n’implique pas, en tant que telle, une violation par le responsable du traitement du principe de « responsabilité » tel qu’énoncé à l’article 5, paragraphe 2, dudit règlement, lu conjointement avec l’article 5, paragraphe 1, sous a), et l’article 6, paragraphe 1, premier alinéa, de ce dernier.

Pour lire une version plus complète de cet article sur le traitement illicite des données, cliquez

Sources :
https://curia.europa.eu/juris/document/document.jsf?text=&docid=273289&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=12884265
https://www.cnil.fr/fr/les-bases-legales/liceite-essentiel-sur-les-bases-legales
https://www.cnil.fr/fr/les-bases-legales/consentement

Par internet-et-droit • Tags: , , ,

1 2 3

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2025
Powered by WordPressThemify WordPress Themes