Un déposant de brevet ancien est en droit d’obtenir le déréférencement de ses données personnelles de Google, cette information ne présentant plus pour le public ou la communauté scientifique une information pertinente et légitime.
Saisine de la CNIL
Un déposant de
brevet a obtenu du Conseil d’Etat l’annulation du refus de la CNIL d’enjoindre
à Google de déréférencer ses données. Outre les détails techniques relatifs à l’invention couverte par son brevet, les pages en cause mentionnaient également son adresse.
Voie du REP
Pour rappel, les refus d’intervention de la CNIL en matière de déréférencement relèvent du juge de l’excès de pouvoir (REP). L’effet utile de l’annulation pour excès de pouvoir du refus de la CNIL de mettre en demeure l’exploitant d’un moteur de recherche de procéder au déréférencement de liens vers des pages web réside dans l’obligation, que le juge peut prescrire d’office en vertu des dispositions de l’article L. 911-1 du code de justice administrative, pour la CNIL de procéder à une telle mise en demeure afin que disparaissent de la liste de résultats affichée à la suite d’une recherche les liens en cause.
Pouvoir d‘intervention de la CNIL
Il appartient en principe à la CNIL, saisie par une personne d’une demande tendant à ce qu’elle mette l’exploitant d’un moteur de recherche en demeure de procéder au déréférencement de liens renvoyant vers des pages web publiées par des tiers et contenant des données personnelles ne relevant pas de catégories particulières la concernant, d’y faire droit. Toutefois, il revient à la CNIL d’apprécier, compte tenu du droit à la liberté d’information, s’il existe un intérêt prépondérant du public à avoir accès à une telle information à partir d’une recherche portant sur le nom de cette personne de nature à faire obstacle au droit au déréférencement.
Pour procéder ainsi à
une mise en balance entre le droit au respect de la vie privée et à la
protection des données à caractère personnel et le droit à la liberté
d’information et apprécier s’il peut être légalement fait échec au droit au
déréférencement, il lui incombe de tenir notamment compte, d’une part, de la
nature des données en cause, de leur contenu, de leur caractère plus ou moins
objectif, de leur exactitude, de leur source, des conditions et de la date de
leur mise en ligne et des répercussions que leur référencement est susceptible
d’avoir pour la personne concernée et, d’autre part, de la notoriété de cette
personne, de son rôle dans la vie publique et de sa fonction dans la société.
Il lui incombe
également de prendre en compte la possibilité d’accéder aux mêmes informations
à partir d’une recherche portant sur des mots-clés ne mentionnant pas le nom de
la personne concernée ainsi que le rôle qu’a, le cas échéant, joué cette
dernière dans la publicité conférée aux données la concernant.
Légitime information du public
Eu égard à la nature et
au contenu des données à caractère personnel figurant sur les pages web faisant
état du brevet déposé, à l’ancienneté de ce brevet et au fait que le requérant
ne bénéficie plus, depuis 2010, du monopole d’exploitation de son invention,
n’a déposé aucun autre brevet depuis et ne joue ni n’a joué aucun rôle dans la
communauté scientifique autre que celui que les liens en litige permettent
d’identifier, la CNIL aurait
dû faire droit à la demande de déréférencement. Il n’existait pas un intérêt prépondérant pour le public d’accéder auxdites informations.
Cadre juridique du déréférencement de données personnelles
L’article 51 de la loi du 6 janvier 1978 dispose, dans sa rédaction
applicable à la date des
faits pose que le droit à
l’effacement s’exerce dans les conditions prévues à l’article 17 du règlement
(UE) 2016/679 du 27 avril 2016
(RGDP). La personne concernée a le
droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs
délais, de données à caractère personnel la concernant et le responsable du
traitement a l’obligation d’effacer ces données à caractère personnel dans les
meilleurs délais, lorsque l’un des motifs suivants s’applique :
a) les données à caractère personnel ne sont plus nécessaires au regard
des finalités pour lesquelles elles ont été collectées ou traitées d’une autre
manière ;
b) la personne concernée retire le consentement sur lequel est fondé le
traitement et il n’existe pas d’autre fondement juridique au
traitement ;
c) la personne concernée s’oppose au traitement et il n’existe pas de
motif légitime impérieux pour le traitement ;
d) les données à caractère personnel ont fait l’objet d’un traitement
illicite ;
e) les données à caractère personnel doivent être effacées pour
respecter une obligation légale qui est prévue par le droit de l’Union ou par
le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de
l’offre de services de la société de l’information.
Le droit à l’effacement ne s’applique pas dans la mesure où ce traitement est
nécessaire, entre autres, à l’exercice du droit à la liberté d’expression
et d’information.
Position de la CJUE
Par son arrêt du 24 septembre 2019 C-136/17, la
CJUE a précisé en ce qui concerne le » droit au
déréférencement » de données à caractère personnel ne relevant pas de
catégories particulières, que
personne concernée a le droit d’obtenir du
responsable du traitement l’effacement, dans les meilleurs délais, de données à
caractère personnel la concernant et le responsable du traitement a
l’obligation d’effacer ces données dans les meilleurs délais, lorsque l’un des
motifs énumérés par l’article
17 du RGDP s’applique.
La circonstance que l’article 17 prévoit
désormais expressément que le droit à l’effacement de la personne concernée est
exclu lorsque le traitement est nécessaire à l’exercice du droit relatif,
notamment, à la liberté d’information, garantie par l’article 11 de la Charte
des droits fondamentaux de l’Union européenne, constitue une expression du fait
que le droit à la protection des données n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en
balance avec d’autres droits fondamentaux, conformément au principe de
proportionnalité.
Le RGDP consacre ainsi explicitement l’exigence d’une mise en balance entre, d’une part, les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés par les articles 7 et 8 de la Charte, et, d’autre part, le droit fondamental à la liberté d’information, garanti par l’article 11 de la Charte.
Par ailleurs, par son arrêt du 13 mai 2014 Google Spain SL, Google Inc. contre Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez (C-131/12), la CJUE a également précisé qu’il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Téléchargez la décision
