Logo Éduscol
Accueil du portail  Ressources  Légamedia  Le droit à l’oubli

Le droit à l’oubli

Page mise à jour le 17 octobre 2016

Lorsque des personnes ou des médias publient des textes, des propos ou des images sur internet, il est possible, après un certain temps, d’obtenir leur effacement du web : c’est le droit à l’oubli.

Présentation

Le droit à l’oubli des données à caractère personnel est consacré par la loi « Informatique et libertés », le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, qui n’entrera en vigueur qu’en 2018, ainsi que par la jurisprudence de la Cour de justice de l’Union européenne.

Ce droit s’impose à tous : aux acteurs du web mais également à l’Éducation nationale et aux établissements scolaires. Le monde éducatif n’échappe donc pas à cette obligation. Il est important de noter que ce droit n’est pas absolu et que certains services publics peuvent refuser de faire valoir ce droit.

Ce droit à l’oubli prend plusieurs formes :

  • le droit d’opposition ;
  • le droit à l’effacement ;
  • le droit au déréférencement. 

Droit d’opposition

Le droit d’opposition prévu à l’article 38 de la loi « Informatique et libertés » permet de s’opposer, pour des motifs légitimes, à ce que ses données fassent l’objet d’un traitement. En matière de prospection, notamment commerciale, ce droit peut s'exercer sans avoir à justifier d'un motif légitime. Ce droit permet donc de s’opposer à ce que des données à caractère personnel soient collectées, enregistrées, diffusées, transmises ou conservées.

Le droit d'opposition s'exerce soit au moment de la collecte des données, soit plus tard, en s'adressant au responsable du traitement de ces données.

Ce droit n’est pas absolu et présente quelques limites. Le droit d'opposition est un droit personnel qui ne peut être étendu aux données concernant des tiers, même s'il s'agit de membres de sa famille, sauf les cas de représentation de mineurs ou de majeurs protégés.

Le droit d'opposition n'existe pas non plus pour de nombreux fichiers du secteur public comme, par exemple, ceux des services fiscaux, des services de police, des services de la justice, de la sécurité sociale.

L’article 226-18-1 du Code pénal incrimine « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes ». De tels agissements sont punis de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Droit à l’effacement

Le droit à l’oubli numérique peut être défini comme étant le droit d’obtenir du responsable du traitement l’effacement de tout ou partie de ses données à caractère personnel, ainsi que la cessation de la diffusion de ses données.[1]

Cette possibilité d’obtenir l’effacement de ses données à caractère personnel est prévue par l’article 40 de la loi « Informatique et libertés » qui précise que « toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite ».

La demande doit être adressée au responsable de traitement, accompagnée de la copie d’un titre d’identité de la personne portant sa signature. Le responsable du traitement est tenu de procéder aux opérations demandées et de répondre à la personne sous deux mois suivant la réception de la demande.

Le non-respect de ces dispositions fait l’objet de sanctions pénales, la peine encourue correspondant à l’amende prévue pour les contraventions de 1 500 euros, montant à multiplier par le nombre de manquements (cette amende pouvant être portée au quintuple si la personne dont la responsabilité est retenue est une personne morale).

Dans tous les cas, il est possible à la personne concernée de saisir la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
(au moyen d’une plainte par exemple) en cas de non-respect par un responsable de traitement de son obligation de suppression des données ou d’effacement des données suite à une demande en ce sens. Dans une telle hypothèse, outre les sanctions pénales susvisées, des sanctions administratives et/ou pécuniaires peuvent être prononcées par la formation restreinte de la CNIL.

L’article 40-II de la loi « Informatique et libertés » prévoit une procédure accélérée d’effacement des données de personnes mineures au moment de la collecte. Sans réponse de la part du responsable de traitement dans un délai d’un mois, la personne concernée peut saisir la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
qui se prononcera dans un délai de 3 semaines.

Enfin, l’article 40-1 de la loi « Informatique et libertés » autorise toute personne à définir des directives pour gérer sa propre mort numérique après son décès.

Droit au déréférencement

Depuis une récente décision de la Cour de justice de l’Union européenne, l’internaute dispose également d’un droit au déréférencement, c’est-à-dire qu’il peut saisir les moteurs de recherche (Google, Yahoo, Bing, etc.) de demandes de déréférencement d’une page web qui est associée à ses nom et prénom.[2]

Depuis la reconnaissance du droit au déréférencement, la société Google a reçu plusieurs dizaines de milliers de demandes de citoyens français.

Pour exercer ce droit, l’internaute doit :

-accéder au formulaire en ligne mis à disposition par le moteur de recherche ou, s’il n’existe pas de formulaire, se reporter aux mentions légales de son site web pour obtenir l’adresse à laquelle adresser sa demande ;

-communiquer au moteur de recherche le contenu le concernant apparaissant dans la liste des résultats accompagné de la copie du titre d’identité.

Attention, le déréférencement consiste à supprimer certains résultats figurant dans la liste de ceux affichés par un moteur de recherche après une requête effectuée sur la base de données relatives à une personne. En revanche, le déréférencement par le moteur de recherche n’entraine pas la suppression des informations qui figurent sur le site ressorti dans la liste des résultats, c'est-à-dire le site internet source qui héberge le contenu. Celui-ci reste ainsi inchangé et est toujours accessible via les moteurs de recherche en utilisant d’autres mots clés de recherche ou en allant directement sur le site concerné. De même, il est précisé que le déréférencement ne jouera que pour le moteur de recherche auprès duquel la demande a été faite.

Cependant, le moteur de recherche n’a pas l’obligation de systématiquement procéder au déréférencement demandé : il apprécie au cas par cas si la demande est légitime[3] et dispose donc de la possibilité de refuser le déréférencement (par exemple, lorsque la personne qui a fait la demande est une personne publique). Les personnes concernées s’étant vu opposer un refus de déréférencer ont toujours la possibilité de s'adresser aux juridictions ou à la CNIL.

Illustration

De nombreuses sanctions prononcées par la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
visent notamment le non-respect du droit à l’oubli, qu’il s’agisse d’une durée de conservation des données disproportionnée ou d’un refus de faire droit à une demande d’effacement des données.

Exemple 1 - Un site internet diffusait sous la forme de curriculum vitae des informations nominatives provenant de plusieurs réseaux sociaux. Les plaignants ne parvenaient pas à obtenir la suppression de leurs données, dont certaines étaient périmées depuis plusieurs années. La CNIL a été saisie et a prononcé un avertissement envers la société éditrice du site[4].

Exemple 2 - La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a infligé une amende de 10 000 euros à l’encontre d’une association qui mettait en ligne des décisions de justice non anonymisées portant atteinte au « droit à l’oubli » des internautes et au respect de la vie privée[5].

Exemple 3 - La CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
a sanctionné d’une sanction pécuniaire de 3 000 euros une fédération pour des manquements à l’information des sportifs concernant la publication de leurs résultats sur son site internet. Le contrôle opéré faisait d’ailleurs suite à une plainte déposée auprès de la CNIL concernant une personne qui souhaitait obtenir la suppression des résultats sportifs de son enfant mineur publiés sur le site web de la fédération[6].

Exemple 4 - Une sanction pécuniaire d’un montant de 15 000 euros a été prononcée à l’attention d’un éditeur de revues et de périodiques (papier et online), notamment pour avoir méconnu les règles applicables en matière de durée de conservation des données d’internautes ayant souscrit à sa lettre d'information[7].

Exemple 5 - Dans une première affaire, une personne sollicitait le déréférencement auprès du moteur de recherche d’un lien vers un article de presse datant de plus de 8 ans et faisant état d’une condamnation pénale dont elle avait fait l’objet pour escroquerie. Compte tenu de l’ancienneté de la condamnation et de l’absence de mention de cette condamnation sur le bulletin n°3 du casier judiciaire de la demanderesse au jour des débats, la demande de déréférencement a été jugée fondée, et il a été enjoint à Google de déréférencer ou supprimer le lien dont il était question[8].

Dans une seconde affaire, à l’inverse, il a été refusé en référé de faire droit à une demande d’un plaignant qui souhaitait voir déréférencés des liens vers des sites internet faisant mention de griefs qui lui avaient été adressés par son employeur et qui avaient justifié son licenciement. Considérant que la société Google avait démontré l’existence d’un intérêt prépondérant du public à avoir accès aux informations (informations relevant de la sphère publique en ce qu’elles avaient donné lieu à des décisions judiciaires rendues publiquement et accessibles à tous, et que ces décisions avaient fait l’objet d’une large couverture médiatique en ce qu’elles portaient sur des faits de harcèlement constitutifs d’un sujet d’intérêt général[9].

Exemple 6 - Dans une autre affaire, la CNILCNIL
« La Commission nationale de l’informatique et des libertés est chargée de veiller à ce que l’informatique soit au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. » (www.cnil.fr)
La CNIL remplit des missions :
  * d’information générale ;
  * de veille (droit d’accès des particuliers aux données numériques les concernant) ;
  * de recensement et de publication des fichiers déclarés ;
  * de contrôle et d’investigation auprès des créateurs de fichiers et des systèmes informatiques les traitant ;
  * de proposition pour faire évoluer les réglementations.
Contactez la CNIL pour :
  * les SMS frauduleux (tél. : 33700) ;
  * les spams insidieux (www.signal-spam.fr).
avait demandé à la société Google de procéder au déréférencement de plusieurs résultats sur l’ensemble du moteur de recherche, quelle que soit l’extension géographique du nom de domaine de celui-ci (« .fr », « .com », etc.). La société ayant déréférencé les contenus sur les seules extensions européennes, la présidente de la CNIL a mis en demeure en mai 2015 la société Google de procéder au déréférencement sur toutes les extensions de « Google Search » dans un délai de 15 jours. En l’absence de mise en conformité de Google dans le délai imparti, la Présidente de la CNIL a décidé d’engager une procédure de sanction à l’encontre de la société qui a été condamnée à une sanction pécuniaire de 100 000 euros[10].

Astuce

Citations

« [Les données] sont conservées sous une forme permettant l’identification des personnes concernées pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. » (Article 6 de la loi « Informatique et libertés »)

« Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite. » (Article 40 de la loi « Informatique et libertés »)

Liens internes