Article réservé aux abonnés Archimag.com

Anonymat sur internet : les principes juridiques

  • anonymat-internet-principes-juridiques.jpg

    anonymat-internet-juridique
    Les personnes qui s’imaginent que sur internet «on ne peut jamais rien effacer» sont autant dans l’erreur que celles qui croient qu’avec une baguette magique informatique, on fait disparaître des contenus — ce qui reviendrait à faire du hacking, (Freepik)
  • Depuis que des moteurs de recherche surpuissants permettent de scruter internet et de retrouver tout contenu en quelques clics, à partir de mots-clés tels que le prénom et le nom d’une personne, et ainsi de découvrir tout ce qui existe sur elle en ligne, la question de l’anonymat sur internet se pose. Né en 1998, Google n’est certes pas le seul moteur au monde, mais il a pris une place hégémonique : en octobre 2021 plus de 91 % des internautes français utilisent Google. La question de l’anonymat est donc cruciale sur internet, de même celle de l’anonymisation. Nous tentons ici de faire un point sur le plan juridique.

    Temps de lecture : 7 minutes

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag sur la transformation numérique, les datas, les archives et la gestion de l'information !

    La protection des données personnelles

    Juridiquement, la protection des données à caractère personnel est aujourd’hui principalement réglementée par le règlement général sur la protection des données (RGPD), avec la jurisprudence élaborée sous l’empire des anciens textes : la directive de 1995 sur la protection des mêmes données et la loi « Informatique, fichiers et libertés » du 6 janvier 1978, dont la dernière version, tenant compte des récents textes européens est entrée en vigueur le 1er juin 2019.

    Le RGPD offre plusieurs facettes permettant de faire respecter l’anonymat des personnes.

    enlightenedLire aussi : RGPD : des outils pour se mettre en conformité

    Le principe du consentement, clé du RGPD

    Le RGPD a renforcé la notion de consentement des personnes concernées pour qu’un traitement de données soit réalisé, ce qui est le cas de la publication en ligne d’un prénom et d’un nom. Toutes les fois où le traitement n’est pas rendu obligatoire (pouvoirs publics) ou encore nécessaire par des impératifs particuliers, la personne concernée doit avoir donné son consentement (article 7 du RGPD). L’un de ces impératifs, accordé aux activités journalistiques professionnelles, est l’information du public. Un organe de presse peut donc nommer une personne dès lors qu’elle est présente dans l’actualité.

    Mais en revanche, un simple blogueur ne peut se le permettre puisqu’il n’est pas journaliste professionnel. L’article 7, point 3 spécifie également que la personne « a le droit de retirer son consentement à tout moment ».

    enlightenedLire aussi : Le RGPD dopé par le confinement

    Les personnes identifiées ou identifiables

    Il faut aussi savoir qu’il y a traitement de données à caractère personnel dès l’instant que la personne est identifiée ou identifiable.

    Ce sera le cas lorsque la photo du visage d’une personne sera publiée sur le net, quand bien même son nom ne serait pas cité. C’est encore le cas lorsqu’on diffuse des éléments de fait ou de contexte permettant d’identifier la personne sans la nommer, par exemple « le locataire de Matignon », mais aussi « la coiffeuse qui exerce au 5 rue Dajot à Melun ».

    Dès lors que la personne est identifiée ou identifiable, la protection du RGPD joue.

    enlightenedLire aussi : Données personnelles : méthode et outils pour les gérer

    Les données sensibles

    Dès 1978, il existait des données plus que protégées puisque la loi estimait qu’elles relevaient de l’intimité de la personne : ce que la Cnil a nommé données sensibles ; en voici la liste précise allongée par le RGPD (article 9) : origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données concernant la santé, la vie sexuelle ou l’orientation sexuelle.

    Toutes ces données sont super protégées par le RGPD. Cependant, dès 1978 et même aux termes du RGPD, les activités journalistiques professionnelles, au nom de l’information du public ne sont pas tenues de respecter ces données et peuvent donc en faire état (article 80, 2° de la loi de 1978 modifiée).

    enlightenedLire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?

    Les décisions de justice et données judiciaires

    Sous ce terme, se trouvent toutes données « relatives aux condamnations pénales et aux infractions » (article 10 du RGPD). Le « traitement » de ces données « ne peut être effectué que sous le contrôle de l’autorité publique ». Cette disposition existe depuis 1978, à l’origine de notre loi française.

    Aucune donnée de ce type ne devrait donc se retrouver sur internet, pas plus que des commentaires s’y référant.

    Sauf qu’il existe quelques exceptions dont la principale est le droit à l’information du public, au bénéfice des activités journalistiques professionnelles. Même solution que ci-dessus : si un organe de presse peut user de cette exception, les blogs et encore moins les réseaux sociaux ne le peuvent.

    enlightenedLire aussi : Quel calendrier pour les décisions de justice en open data ?

    L’obligation d’anonymiser les décisions de justice sur le net

    Dès 2001, la Cnil avait émis une recommandation pour que toute décision de justice publiée sur internet soit anonymisée. Autrement dit, les noms des personnes mises en cause dans la décision (prévenus, condamnés, mais aussi témoins, victimes…) doivent être remplacés par des initiales de fantaisie (M. X, Mme Z.).

    La loi du 7 octobre 2016 pour une République numérique a confirmé ce principe en précisant en outre que :

    « Lorsque sa divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage, est également occulté tout élément permettant d’identifier les parties, les tiers, les magistrats et les membres du greffe » (articles L.111-13 al.2 du Code de l’organisation judiciaire et L.10 al.3 du Code de justice administrative).

    On évite ainsi que les personnes soient identifiables.

    enlightenedLire aussi : Diffuser la jurisprudence dans le mouvement de l'open data

    Le paradoxe de la double peine

    Dès lors que les décisions de justice sont anonymisées pour ne pas nuire outre mesure aux personnes concernées, comment en France, peut-on admettre que, au nom de l’information d’actualité, les organes de presse puissent maintenir en permanence sur leurs sites web des informations concernant les affaires et les décisions qui en découlent ?

    N’est-ce pas une manière de fournir « tout élément permettant d’identifier les parties » ? C’est à nos yeux une anomalie que nous avons très tôt dénoncée sous le terme de double peine (ou de flétrissure numérique) puisqu’un repris justice qui a payé sa dette à la société connaîtra les pires difficultés pour se réinsérer socialement et professionnellement, le premier employeur potentiel venu googlisant le nom de l’intéressé avant toute embauche.

    Or aucune disposition pénale — hormis pour certains délits très particuliers — et donc aucune décision de justice, n’ordonne la publication de celle-ci dans les médias.

    enlightenedLire aussi : 3 applications gratuites pour flouter et anonymiser ses photos

    L’arrêt de la CEDH du 21 juin 2021

    Le 21 juin dernier, la Cour européenne des droits de l’homme, instance judiciaire du Conseil de l’Europe — et non de l’Union européenne —, chargée de faire respecter la Convention de sauvegarde de droits de l’homme et des libertés fondamentales du Conseil de l’Europe de 1950, a rendu un arrêt remarquable soulignant que « l’archivage électronique d’un article relatif au délit commis ne doit pas créer pour l’intéressé une sorte de “casier judiciaire virtuel” ».

    On retrouve d’une certaine manière notre concept de double peine.

    enlightenedLire aussi : RGPD : se faire aider dans sa mise en conformité, c'est possible !

    Le droit au déréférencement

    Depuis le 13 mai 2014, la Cour de justice de l’Union européenne reconnaît un droit au déréférencement de certaines données personnelles qui seraient traitées par les moteurs de recherche à partir des sources qui sont en ligne et qui seraient nuisibles aux personnes concernées.

    Ce droit — trop hâtivement dénommé droit à l’oubli — consiste à obtenir des moteurs de recherche — principalement Google — que les contenus gênants pour l’image d’une personne soient déréférencés en association avec leur nom. Il s’agit donc pour les moteurs de déréférencer ces contenus, sans pour autant que ceux-ci disparaissent ou soient anonymisés sur les sites sources.

    Dès l’arrêt de 2014, la CJUE avait émis des limites : celles de la mise en balance entre le droit privatif du respect de la personne et, de nouveau, le droit à l’information du public. Cette frontière mouvante n’a cessé d’être affinée par la jurisprudence depuis 2014 et par les recommandations des autorités de contrôle des États membres (la Cnil et ses homologues européennes), ainsi que par le Comité européen de la protection des données (CEPD).

    Profitant de cette difficile délimitation entre vie privée et information publique, les moteurs de recherche répondent à peu près tout et n’importe quoi aux demandes de droit au déréférencement, ceci étant dû autant à la mauvaise volonté des services qui répondent qu’à leur incompétence. Il n’est pas rare dans des missions de nettoyage de ce genre que nous soyons obligés d’insister longuement avant que nos arguments fondés sur les textes européens soient acceptés, notamment par Google.

    enlightenedLire aussi : Tous les outils et conseils pour protéger votre vie privée numérique réunis sur une cartographie très utile

    Peut-on nettoyer sur le net ?

    Les personnes qui s’imaginent que sur internet « on ne peut jamais rien effacer » sont autant dans l’erreur que celles qui croient qu’avec une baguette magique informatique, on fait disparaître des contenus — ce qui reviendrait à faire du hacking, pratique parfaitement hors-la-loi.

    Des solutions, mises en œuvre dans nos missions d’e-réputation depuis plus de 17 ans, tournent autour des droits des personnes concernées tels que nous venons de les voir.

    Deux axes principaux : demander l’anonymisation à la source, c’est-à-dire sur les sites ou réseaux sociaux publiant ces données, sur les bases du droit à l’effacement et du droit d’opposition (articles 17 et 21 du RGPD) ; demander le déréférencement aux moteurs de recherche lorsque les conditions sont réunies pour le faire, sur les mêmes bases.

    Didier Frochot
    Les Infostratèges
    www.les-infostrateges.com

    Cet article vous intéresse? Retrouvez-le en intégralité dans le magazine Archimag !
    accessibilite-archives-bloque
    Mais où en sommes-nous du libre accès aux archives publiques ? La question peut étonner : le principe de l’accessibilité est posé de longue date par le Code du patrimoine et la loi de 2008. Dans les faits, c’est la classification secret défense qui fait débat.
    Acheter ce numéro  ou  Abonnez-vous
    À lire sur Archimag
    Le chiffre du jour
    1
    est en moyenne signalée toutes les semaines dans les établissements de santé depuis janvier 2021. Les hôpitaux ont subi 27 cyberattaques majeures - qui ont effectué tout ou partie de leurs systèmes d'information - en 2020.
    Publicité

    Serda Formations Data 2023