Temps de lecture : 7 minutes
Découvrez toutes les newsletters thématiques gratuites d'Archimag sur la transformation numérique, les datas, les archives et la gestion de l'information !
La protection des données personnelles
Juridiquement, la protection des données à caractère personnel est aujourd’hui principalement réglementée par le règlement général sur la protection des données (RGPD), avec la jurisprudence élaborée sous l’empire des anciens textes : la directive de 1995 sur la protection des mêmes données et la loi « Informatique, fichiers et libertés » du 6 janvier 1978, dont la dernière version, tenant compte des récents textes européens est entrée en vigueur le 1er juin 2019.
Le RGPD offre plusieurs facettes permettant de faire respecter l’anonymat des personnes.
Lire aussi : RGPD : des outils pour se mettre en conformité
Le principe du consentement, clé du RGPD
Le RGPD a renforcé la notion de consentement des personnes concernées pour qu’un traitement de données soit réalisé, ce qui est le cas de la publication en ligne d’un prénom et d’un nom. Toutes les fois où le traitement n’est pas rendu obligatoire (pouvoirs publics) ou encore nécessaire par des impératifs particuliers, la personne concernée doit avoir donné son consentement (article 7 du RGPD). L’un de ces impératifs, accordé aux activités journalistiques professionnelles, est l’information du public. Un organe de presse peut donc nommer une personne dès lors qu’elle est présente dans l’actualité.
Mais en revanche, un simple blogueur ne peut se le permettre puisqu’il n’est pas journaliste professionnel. L’article 7, point 3 spécifie également que la personne « a le droit de retirer son consentement à tout moment ».
Lire aussi : Le RGPD dopé par le confinement
Les personnes identifiées ou identifiables
Il faut aussi savoir qu’il y a traitement de données à caractère personnel dès l’instant que la personne est identifiée ou identifiable.
Ce sera le cas lorsque la photo du visage d’une personne sera publiée sur le net, quand bien même son nom ne serait pas cité. C’est encore le cas lorsqu’on diffuse des éléments de fait ou de contexte permettant d’identifier la personne sans la nommer, par exemple « le locataire de Matignon », mais aussi « la coiffeuse qui exerce au 5 rue Dajot à Melun ».
Dès lors que la personne est identifiée ou identifiable, la protection du RGPD joue.
Lire aussi : Données personnelles : méthode et outils pour les gérer
Les données sensibles
Dès 1978, il existait des données plus que protégées puisque la loi estimait qu’elles relevaient de l’intimité de la personne : ce que la Cnil a nommé données sensibles ; en voici la liste précise allongée par le RGPD (article 9) : origine raciale ou ethnique, opinions politiques, religieuses ou philosophiques, appartenance syndicale, données génétiques, données biométriques, données concernant la santé, la vie sexuelle ou l’orientation sexuelle.
Toutes ces données sont super protégées par le RGPD. Cependant, dès 1978 et même aux termes du RGPD, les activités journalistiques professionnelles, au nom de l’information du public ne sont pas tenues de respecter ces données et peuvent donc en faire état (article 80, 2° de la loi de 1978 modifiée).
Lire aussi : Archivage électronique : comment (bien) archiver des données sensibles ou confidentielles ?
Les décisions de justice et données judiciaires
Sous ce terme, se trouvent toutes données « relatives aux condamnations pénales et aux infractions » (article 10 du RGPD). Le « traitement » de ces données « ne peut être effectué que sous le contrôle de l’autorité publique ». Cette disposition existe depuis 1978, à l’origine de notre loi française.
Aucune donnée de ce type ne devrait donc se retrouver sur internet, pas plus que des commentaires s’y référant.
Sauf qu’il existe quelques exceptions dont la principale est le droit à l’information du public, au bénéfice des activités journalistiques professionnelles. Même solution que ci-dessus : si un organe de presse peut user de cette exception, les blogs et encore moins les réseaux sociaux ne le peuvent.
Lire aussi : Quel calendrier pour les décisions de justice en open data ?
L’obligation d’anonymiser les décisions de justice sur le net
Dès 2001, la Cnil avait émis une recommandation pour que toute décision de justice publiée sur internet soit anonymisée. Autrement dit, les noms des personnes mises en cause dans la décision (prévenus, condamnés, mais aussi témoins, victimes…) doivent être remplacés par des initiales de fantaisie (M. X, Mme Z.).
La loi du 7 octobre 2016 pour une République numérique a confirmé ce principe en précisant en outre que :
« Lorsque sa divulgation est de nature à porter atteinte à la sécurité ou au respect de la vie privée de ces personnes ou de leur entourage, est également occulté tout élément permettant d’identifier les parties, les tiers, les magistrats et les membres du greffe » (articles L.111-13 al.2 du Code de l’organisation judiciaire et L.10 al.3 du Code de justice administrative).
On évite ainsi que les personnes soient identifiables.
Lire aussi : Diffuser la jurisprudence dans le mouvement de l'open data
Le paradoxe de la double peine
Dès lors que les décisions de justice sont anonymisées pour ne pas nuire outre mesure aux personnes concernées, comment en France, peut-on admettre que, au nom de l’information d’actualité, les organes de presse puissent maintenir en permanence sur leurs sites web des informations concernant les affaires et les décisions qui en découlent ?
N’est-ce pas une manière de fournir « tout élément permettant d’identifier les parties » ? C’est à nos yeux une anomalie que nous avons très tôt dénoncée sous le terme de double peine (ou de flétrissure numérique) puisqu’un repris justice qui a payé sa dette à la société connaîtra les pires difficultés pour se réinsérer socialement et professionnellement, le premier employeur potentiel venu googlisant le nom de l’intéressé avant toute embauche.
Or aucune disposition pénale — hormis pour certains délits très particuliers — et donc aucune décision de justice, n’ordonne la publication de celle-ci dans les médias.
Lire aussi : 3 applications gratuites pour flouter et anonymiser ses photos
L’arrêt de la CEDH du 21 juin 2021
Le 21 juin dernier, la Cour européenne des droits de l’homme, instance judiciaire du Conseil de l’Europe — et non de l’Union européenne —, chargée de faire respecter la Convention de sauvegarde de droits de l’homme et des libertés fondamentales du Conseil de l’Europe de 1950, a rendu un arrêt remarquable soulignant que « l’archivage électronique d’un article relatif au délit commis ne doit pas créer pour l’intéressé une sorte de “casier judiciaire virtuel” ».
On retrouve d’une certaine manière notre concept de double peine.
Lire aussi : RGPD : se faire aider dans sa mise en conformité, c'est possible !
Le droit au déréférencement
Depuis le 13 mai 2014, la Cour de justice de l’Union européenne reconnaît un droit au déréférencement de certaines données personnelles qui seraient traitées par les moteurs de recherche à partir des sources qui sont en ligne et qui seraient nuisibles aux personnes concernées.
Ce droit — trop hâtivement dénommé droit à l’oubli — consiste à obtenir des moteurs de recherche — principalement Google — que les contenus gênants pour l’image d’une personne soient déréférencés en association avec leur nom. Il s’agit donc pour les moteurs de déréférencer ces contenus, sans pour autant que ceux-ci disparaissent ou soient anonymisés sur les sites sources.
Dès l’arrêt de 2014, la CJUE avait émis des limites : celles de la mise en balance entre le droit privatif du respect de la personne et, de nouveau, le droit à l’information du public. Cette frontière mouvante n’a cessé d’être affinée par la jurisprudence depuis 2014 et par les recommandations des autorités de contrôle des États membres (la Cnil et ses homologues européennes), ainsi que par le Comité européen de la protection des données (CEPD).
Profitant de cette difficile délimitation entre vie privée et information publique, les moteurs de recherche répondent à peu près tout et n’importe quoi aux demandes de droit au déréférencement, ceci étant dû autant à la mauvaise volonté des services qui répondent qu’à leur incompétence. Il n’est pas rare dans des missions de nettoyage de ce genre que nous soyons obligés d’insister longuement avant que nos arguments fondés sur les textes européens soient acceptés, notamment par Google.
Lire aussi : Tous les outils et conseils pour protéger votre vie privée numérique réunis sur une cartographie très utile
Peut-on nettoyer sur le net ?
Les personnes qui s’imaginent que sur internet « on ne peut jamais rien effacer » sont autant dans l’erreur que celles qui croient qu’avec une baguette magique informatique, on fait disparaître des contenus — ce qui reviendrait à faire du hacking, pratique parfaitement hors-la-loi.
Des solutions, mises en œuvre dans nos missions d’e-réputation depuis plus de 17 ans, tournent autour des droits des personnes concernées tels que nous venons de les voir.
Deux axes principaux : demander l’anonymisation à la source, c’est-à-dire sur les sites ou réseaux sociaux publiant ces données, sur les bases du droit à l’effacement et du droit d’opposition (articles 17 et 21 du RGPD) ; demander le déréférencement aux moteurs de recherche lorsque les conditions sont réunies pour le faire, sur les mêmes bases.
Didier Frochot
Les Infostratèges
www.les-infostrateges.com
![](https://www.archimag.com/sites/archimag.com/files/styles/vignette/public/web_articles/image/ia-services-publics-cnil-conclusions-projet-accompagnement-bac-sable.png?itok=bw0xVHDT "Illustration des capteurs "temps de vol" de la RATP, l'un des trois projets accompagnés par la Cnil (RATP)")
