L’essentiel : Le droit au déréférencement s’applique aux accusations d’adultère en ligne, comme l’illustre le cas d’une femme ayant obtenu le retrait d’articles et vidéos concernant sa relation avec un ancien Président. La CNIL doit évaluer la nécessité de maintenir l’accès à ces informations, en tenant compte de leur nature sensible et des droits fondamentaux à la vie privée. Selon le RGPD, le traitement de données personnelles sensibles est interdit, sauf exceptions. Ainsi, la CNIL doit peser l’intérêt public contre le droit au déréférencement, en considérant la notoriété de la personne concernée et les circonstances entourant la publication des données.

Le droit au déréférencement s’étend aux accusations d’adultère publiées en ligne. Une femme a obtenu le déréférencement d’articles et vidéos faisant état de sa relation extraconjugale avec un ancien Président de la république.

Appréciation spécifique des données sensibles

Eu égard à la nature et au contenu d’informations
qui touchent à l’intimité et qui proviennent de rumeurs, la CNIL n’aurait pas dû
retenir que le maintien des liens permettant d’avoir accès à ces informations à
partir d’une recherche, était strictement nécessaire à l’information du public.

Déréférencement de données sensibles

Lorsque des liens mènent vers des pages web contenant
des données à caractère personnel relevant de catégories particulières visées
par l’article 9 du règlement 2016/679 du 27 avril 2016 (RGDP), l’ingérence dans
les droits fondamentaux au respect de la vie privée et à la protection des
données à caractère personnel de la personne concernée est susceptible d’être
particulièrement grave en raison de la sensibilité de ces données. Il s’ensuit
qu’il appartient à la CNIL, saisie par une personne d’une demande tendant à ce
qu’elle mette l’exploitant d’un moteur de recherche en demeure de procéder au
déréférencement de liens renvoyant vers des pages web, publiées par des tiers
et contenant des données personnelles relevant de catégories particulières la
concernant, de faire droit à cette demande.

Il n’en va autrement que s’il apparaît, compte tenu du
droit à la liberté d’information, que l’accès à une telle information à partir
d’une recherche portant sur le nom de cette personne est strictement nécessaire
à l’information du public. Pour apprécier s’il peut être légalement fait échec
au droit au déréférencement au motif que l’accès à des données à caractère
personnel relevant de catégories particulières à partir d’une recherche portant
sur le nom de la personne concernée est strictement nécessaire à l’information
du public, il incombe à la CNIL de tenir notamment compte, d’une part, de la
nature des données en cause, de leur contenu, de leur caractère plus ou moins
objectif, de leur exactitude, de leur source, des conditions et de la date de
leur mise en ligne et des répercussions que leur référencement est susceptible
d’avoir pour la personne concernée et, d’autre part, de la notoriété de cette
personne, de son rôle dans la vie publique et de sa fonction dans la société.
Il lui incombe également de prendre en compte la possibilité d’accéder aux
mêmes informations à partir d’une recherche portant sur des mots-clés ne
mentionnant pas le nom de la personne concernée.

Dans l’hypothèse particulière où les données
litigieuses ont manifestement été rendues publiques par la personne qu’elles
concernent, il appartient à la CNIL d’apprécier s’il existe ou non un intérêt
prépondérant du public de nature à faire obstacle au droit au déréférencement,
une telle circonstance n’empêchant pas l’intéressé de faire valoir, à l’appui
de sa demande de déréférencement, des  » raisons tenant à sa situation
particulière « .

Pour rappel, selon l’article 9 du RGDP, le traitement
des données à caractère personnel qui révèle l’origine raciale ou ethnique, les
opinions politiques, les convictions religieuses ou philosophiques ou
l’appartenance syndicale, ainsi que le traitement des données génétiques, des
données biométriques aux fins d’identifier une personne physique de manière
unique, des données concernant la santé ou des données concernant la vie
sexuelle ou l’orientation sexuelle d’une personne physique sont interdits.

Cette interdiction ne s’applique pas si, entre autres,
l’une des conditions suivantes est remplie : i) la personne concernée a donné
son consentement explicite au traitement de ces données à caractère personnel
pour une ou plusieurs finalités spécifiques, sauf lorsque le droit de l’Union
ou le droit de l’État membre prévoit que l’interdiction ne peut pas être levée
par la personne concernée ; ii) le traitement porte sur des données à caractère
personnel qui sont manifestement rendues publiques par la personne concernée ; iii)
le traitement est nécessaire pour des motifs d’intérêt public important, sur la
base du droit de l’Union ou du droit d’un État membre qui doit être
proportionné à l’objectif poursuivi, respecter l’essence du droit à la
protection des données et prévoir des mesures appropriées et spécifiques pour
la sauvegarde des droits fondamentaux et des intérêts de la personne concernée.

Déréférencement de données non sensibles

Pour les autres types de données, aux termes de l’article
17 du RGDP, la personne concernée a le droit d’obtenir du responsable du
traitement l’effacement, dans les meilleurs délais, de données à caractère
personnel la concernant et le responsable du traitement a l’obligation
d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque
l’un des motifs suivants s’applique :

a) les données à caractère personnel ne sont plus
nécessaires au regard des finalités pour lesquelles elles ont été collectées ou
traitées d’une autre manière ;

b) la personne concernée retire le consentement sur
lequel est fondé le traitement et il n’existe pas d’autre fondement juridique
au traitement ;

c) la personne concernée s’oppose au traitement et il
n’existe pas de motif légitime impérieux pour le traitement, ou la personne
concernée s’oppose au traitement;

d) les données à caractère personnel ont fait l’objet
d’un traitement illicite ;

e) les données à caractère personnel doivent être
effacées pour respecter une obligation légale qui est prévue par le droit de
l’Union ou par le droit de l’État membre auquel le responsable du traitement
est soumis ;

f) les données à caractère personnel ont été
collectées dans le cadre de l’offre de services de la société de l’information.

 
Par son arrêt du 24 septembre 2019 (C-136/17), la CJUE a rappelé que dans le cadre de l’article 17 du RGDP, une disposition régit spécifiquement le  » droit à l’effacement « , également dénommé  » droit à l’oubli « . La personne concernée a ainsi le droit d’obtenir du responsable du traitement l’effacement de ses données lorsque l’un des motifs énumérés par cette disposition s’applique. Ce droit à l’effacement est exclu lorsque le traitement est nécessaire à l’exercice du droit relatif, notamment, à la liberté d’information, garantie par l’article 11  de la Charte des droits fondamentaux de l’Union européenne. L’article 17 consacre explicitement l’exigence d’une mise en balance entre, d’une part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés par les articles 7 et 8 de la Charte, et, d’autre part, le droit fondamental à la liberté d’information, garanti par l’article 11 de la Charte. Téléchargez la décision

Q/R juridiques soulevées :

Qu’est-ce que le droit au déréférencement ?

Le droit au déréférencement permet à une personne de demander la suppression de liens renvoyant à des informations la concernant, notamment lorsque ces informations sont sensibles ou portent atteinte à sa vie privée.

Ce droit est particulièrement pertinent dans le contexte des données à caractère personnel, comme les accusations d’adultère, qui peuvent nuire à la réputation et à la vie personnelle d’un individu.

La CNIL (Commission Nationale de l’Informatique et des Libertés) est l’autorité compétente en France pour traiter ces demandes. Elle évalue si le maintien des liens est nécessaire à l’information du public ou si le droit à la vie privée de la personne concernée doit prévaloir.

Quels types de données sont concernés par le déréférencement ?

Le déréférencement s’applique principalement aux données à caractère personnel, en particulier celles qui relèvent de catégories sensibles, comme l’origine raciale, les opinions politiques, les convictions religieuses, la santé ou la vie sexuelle.

Ces données sont protégées par l’article 9 du RGPD, qui interdit leur traitement sauf dans certaines conditions, comme le consentement explicite de la personne concernée ou si ces données ont été rendues publiques par elle-même.

La CNIL doit donc examiner chaque demande de déréférencement en tenant compte de la nature des données, de leur exactitude, de leur source, et de l’impact potentiel sur la personne concernée.

Comment la CNIL évalue-t-elle les demandes de déréférencement ?

La CNIL évalue les demandes de déréférencement en considérant plusieurs critères. D’abord, elle examine la nature des données en cause et leur caractère sensible.

Ensuite, elle prend en compte la notoriété de la personne concernée, son rôle dans la vie publique, et l’impact que le référencement des données peut avoir sur elle.

La CNIL doit également déterminer si l’accès à ces informations est strictement nécessaire pour l’information du public, ce qui peut justifier le maintien des liens.

Quelles sont les conditions pour le traitement des données sensibles ?

Selon le RGPD, le traitement des données sensibles est interdit sauf si certaines conditions sont remplies. Par exemple, la personne concernée doit avoir donné son consentement explicite pour le traitement de ses données.

De plus, le traitement peut être autorisé si les données ont été manifestement rendues publiques par la personne elle-même ou si le traitement est nécessaire pour des motifs d’intérêt public.

Ces conditions visent à protéger les droits fondamentaux des individus tout en permettant un équilibre avec les besoins d’information du public.

Quels sont les droits des personnes concernant les données non sensibles ?

Pour les données non sensibles, l’article 17 du RGPD accorde aux personnes le droit d’obtenir l’effacement de leurs données personnelles dans certaines situations.

Ces situations incluent le cas où les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées, ou si la personne retire son consentement au traitement.

Le responsable du traitement a alors l’obligation d’effacer ces données dans les meilleurs délais, sauf si des motifs légitimes justifient leur conservation.

Comment le droit à l’effacement est-il équilibré avec la liberté d’information ?

Le droit à l’effacement, également connu sous le nom de « droit à l’oubli », doit être équilibré avec le droit à la liberté d’information.

La CJUE a précisé que ce droit à l’effacement peut être exclu lorsque le traitement des données est nécessaire à l’exercice de la liberté d’information.

Ainsi, la CNIL doit peser les droits fondamentaux au respect de la vie privée et à la protection des données contre le droit à l’information, garantissant ainsi une approche équilibrée et juste.