Droit à l’oubli numérique : où en est on sur le plan légal et comment faire sur un plan technique ?

Remis à la mode par Nathalie Koziuscko-Morizet et quelques affaires (Facebook ...), le droit à l’oubli numérique résulte des articles suivants de la directive européenne 95/46 du 24 octobre 1995 sur la protection de la vie privée [1] :

• art. 6-1 : les données doivent être conservées (...) pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées
• art. 12 : les Etats membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :
  a) la communication sous une forme intelligible des données faisant l’objet d’un traitement ;
  b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive.

Il résulte aussi des articles 6 et 7 et 38 de la loi française Informatique et libertés (loi n° 78-17 du 6 janvier 1978), qui créent notamment le droit d’opposition à figurer dans un fichier :

• Article 6
  Un traitement ne peut porter que sur des données à caractère personnel qui satisfont aux conditions suivantes :
  1° Les données sont collectées et traitées de manière loyale et licite ;
  2° Elles sont collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités. Toutefois, un traitement ultérieur de données à des fins statistiques ou à des fins de recherche scientifique ou historique est considéré comme compatible avec les finalités initiales de la collecte des données, s’il est réalisé dans le respect des principes et des procédures prévus au présent chapitre, au chapitre IV et à la section 1 du chapitre V ainsi qu’aux chapitres IX et X et s’il n’est pas utilisé pour prendre des décisions à l’égard des personnes concernées ;
  3° Elles sont adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ;
  4° Elles sont exactes, complètes et, si nécessaire, mises à jour ; les mesures appropriées doivent être prises pour que les données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées ;
  5° Elles sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées.
• Article 7
  Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :
  1° Le respect d’une obligation légale incombant au responsable du traitement ;
  2° La sauvegarde de la vie de la personne concernée ;
  3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;
  4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
  5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.
• Article 38
  Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.
  Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur.
  Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement.

Mini-webibliographie sur le droit à l’oubli numérique [2] :

• Droit à l’oubli : Internet changerait-il la donne ? (TGI Paris, ord. réf., 25 juin 2009) / Thomas Roussineau, avocat.
  Ce commentaire d’une ordonnance de référé du TGI de Paris [3] sur LegalBizNext est à garder en mémoire quand on débat d’anonymisation de la jurisprudence et de droit à l’oubli. Son auteur précise bien que le droit à l’oubli n’existe pas en tant que tel et que son éventuelle consécration législative devrait être très précise et limitée pour éviter des abus.
• Une charte pour le droit à l’oubli sur Internet ?
  Nathalie Kosciusko-Morizet, la secrétaire d’Etat au numérique plaide pour la création de labels des solutions de protection des données privées proposées par les sites internet.
• Nathalie Kosciusko-Morizet, secrétaire d’Etat chargé de la prospective et du développement de l’économie numérique organise l’atelier "Droit à l’oubli numérique" le 12 novembre 2009 9h00 à 12h30 SciencesPo
• Vers l’instauration d’un « droit à l’oubli » numérique, Le Figaro 13 novembre 2009
• Internautes : le droit à l’oubli aux abonnés absents, Les Echos 7 novembre 2008
• Pas de liberté sans droit à l’oubli dans la société numérique / Yann Padova (CNIL), 27 novembre 2009

Quelques articles et posts récents sur le sujet expliquent et donnent des trucs techniques. Rappelons que si effacer la totalité de l’historique du navigateur ne gêne pas vraiment l’internaute, en revanche, l’effacement des cookies doit rester sélectif car on en a besoin pour acheter sur Internet quoi que ce soit et pour consulter quelque base de données payante que ce soit et même des gratuites ...

• Supprimer totalement les traces de nos visites sur internet, Commentcamarche.net > Astuces > Internet > Web, 16 juillet 2009
• Comment effacer nos traces sur Internet ?, Les Echos 7 novembre 2008. Voir en bas de page l’encadré "Des astuces pour surfer sans laisser de traces".
• A signaler que depuis janvier 2009, l’excellent métamoteur Ixquick [4] ne garde aucune trace de vos recherches chez lui ...

Emmanuel Barthe
documentaliste juriodique