Le droit à l’oubli existe-t-il sur internet ? (G. Desgens-Pasanau)

Guillaume Desgens-Pasanau publie une réflexion sur le droit à l’oubli sur Internet, le 27/11 sur les Echos.fr et en extrait dans les Echos.

Jusqu’à l’informatisation de nos sociétés, l’oubli était une contrainte de la mémoire humaine. Avec l’informatisation, l’oubli n’existe plus. Les capacités de la mémoire informatique sont aujourd’hui telles que la durée de conservation d’une information dépasse, de loin, la durée de la vie humaine. Ce tout savoir des machines peut ainsi devenir, potentiellement, un véritable livret social virtuel et, pour certains, un passeport pour l’exclusion.

Plusieurs initiatives parlementaires, telle celle des sénateurs Détraigne et Escoffier (rapport sur la vie privée à l’heure des mémoires numériques et une proposition de loi), ont récemment attiré l’attention sur la problématique du droit à l’oubli sur internet. De même, le Secrétariat d’Etat en charge du développement de l’économie numérique organise cette semaine un atelier sur le droit à l’oubli numérique.

Internet se caractérise par la possibilité offerte à toute personne de mettre en ligne du contenu informationnel facilement accessible, au plan mondial, depuis n’importe quel ordinateur connecté. Le développement fulgurant des blogs et des réseaux sociaux est, de ce point de vue, symptomatique : celui qui verra sa candidature à un emploi rejetée pourra se demander s’il n’aurait pas, par hasard, laissé de lui un portrait un peu trop fantaisiste quelque part sur un site…

Les moteurs de recherche jouent, sur ce chapitre, un rôle primordial en étant le premier point de contact pour accéder à l’information sur Internet. Combien de siècles faudrait-il à un individu pour rechercher dans tous les livres entreposés à la BNF le nom de quelqu’un ? Le même résultat peut aujourd’hui être obtenu sur Internet en interrogeant un moteur de recherche. En tapant son nom, on sait en moins d’une seconde quelles sont les pages parmi les milliards présentes sur le Web qui contiennent le nom de cette personne.

En contrepoint, les récentes initiatives parlementaires plaident pour l’institution d’un droit à l’oubli sur Internet. En réalité, ce droit a l’oubli est consacré en France depuis plus de 30 ans par la loi informatique et libertés du 6 janvier 1978 modifiée. Ce même droit à l’oubli est également consacré au niveau européen dans une directive du 24 octobre 1995, transposée en France le 6 août 2004.

En application de ces textes, tout responsable de traitement a obligation de définir techniquement une durée de conservation précise des données personnelles qu’il détient sur ses utilisateurs, durée à l’issue de laquelle l’information est détruite. Toute personne dispose également du droit de demander à ce que les données qui la concerne soient effacées d’un fichier. Le non-respect de ces obligations est pénalement sanctionné.

Si l’on ne peut que se féliciter de la prise de conscience, par la classe politique, des enjeux induits par le développement des technologies numériques en termes de protection de la vie privée, force est de constater que les outils juridiques existent déjà.

En réalité, le problème se situe moins dans l’absence de règles que dans le manque d’effectivité de celles qui préexistent. Bien qu’anciennes, ces règles sont en effet encore fort méconnues tant des citoyens eux-mêmes que de la part des responsables de traitements ou  des professions judiciaires en charge de les appliquer.

Autre exemple : la CNIL et ses homologues européens considèrent depuis plusieurs années que la réglementation informatique et libertés s’applique à certains traitements effectués par des entreprises situées en dehors de l’Union européenne, en particulier aux Etats-Unis. Cette analyse est contestée par certains moteurs de recherche établis aux Etats-Unis, concernant la durée de conservation des clés de recherche saisies par les utilisateurs et conservées aux fins de définir des profils marketing. Ce point illustre la nécessité d’une approche commune, au plan international, sur les questions de protection des données.

Des solutions existent : lors de la Conférence mondiale des Commissaires à la protection des données qui s’est tenue à Madrid le 6 novembre 2009, les représentants de près de 80 autorités nationales de protection des données ont, à l’unanimité, voté une résolution visant à établir des standards internationaux sur la protection des données personnelles et de la vie privée. Il s’agit d’un premier pas essentiel attendu depuis plusieurs années, tant par les organisations de défense des libertés que par les entreprises. Des initiatives individuelles sont également prises par les professionnels, tel que la mise en œuvre la semaine dernière par Google de son application Dashboard qui permet aux utilisateurs de supprimer certaines informations personnelles emmagasinées par le moteur de recherche.

Ainsi que l’indique le rapport des sénateurs Détraigne et Escoffier, Internet se révèle par ailleurs être un terrain mal adapté à l’exercice des droits reconnus par la loi informatique et libertés. Par exemple, le droit d’opposition ne permet pas à un individu, en l’état des textes, de demander l’effacement de données le concernant qu’auraient rendues publiques, via un réseau social, un ami, un collègue ou un parent. En justice, d’autres qualifications juridiques existent par ailleurs et pourraient néanmoins être utilisées en vue de protéger la personne concernée.

Surtout, il faut rappeler que droit à l’oubli ne signifie pas droit à l’anonymat. Toute utilisation d’internet génère, sur le plan technique, des traces. En France, les opérateurs de communications électroniques sont par exemple tenus de conserver pendant un an, aux fins des enquêtes judiciaires, ces traces  techniques (notamment l’adresse IP) nécessaires à l’identification de quiconque à contribué à la création d’un contenu diffusé sur Internet à destination du public. En revanche, ces mêmes opérateurs ont l’interdiction formelle de conserver le contenu des correspondances échangées ou des informations consultées, interdiction qui ne s’impose pas, en l’état des textes, aux autres acteurs de l’internet.

En réalité, au-delà des questions juridiques, l’enjeu n’est-il pas aussi d’assurer une meilleure sensibilisation de tous les acteurs et notamment les utilisateurs eux-mêmes (en particulier les plus jeunes), et de les encourager à plus de modération dans les informations qu’ils rendent délibérément publiques sur internet ? Si la loi informatique et libertés a été instaurée, il y a si longtemps, pour protéger les personnes contre le fichage abusif par les administrations ou par les entreprises, faudra-t-il désormais qu’elle les protège également contre elles-mêmes ?

Guillaume Desgens-Pasanau