Entre anonymisation et droit à l’oubli judiciaire: Regard de la CNIL

Depuis plusieurs années maintenant on entend parler du droit à l’oubli et davantage de l’open data judiciaire. Mais où en est-on aujourd’hui ? La CNIL a eu la gentillesse de répondre aux questions de LexWeb sur ce sujet.

  1. Bonjour, quelle est l’évolution du droit à l’oubli judiciaire depuis la fameuse affaire Google Spain?

Dans son arrêt Google Spain rendu en 2014, la Cour de justice de l’Union européenne (CJUE) a consacré l’obligation pour les moteurs de recherche de déréférencer les liens portant atteinte à la protection des données à caractère personnel.

À titre liminaire, il convient de préciser que le droit au déréférencement, dont il est question ici, se distingue en réalité du « droit à l’oubli », bien que les deux termes soient généralement associés. En effet, le déréférencement permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne, mais cette suppression ne conduit pas à effacer l’information sur le site internet source : le contenu original reste inchangé et est toujours accessible, en utilisant d’autres critères de recherche ou en allant directement sur le site à l’origine de la diffusion. Pour que l’information du site source soit supprimée, c’est une demande d’effacement qui devra être réalisée auprès du responsable de traitement.

À la suite de cette affaire Google Spain, la CNIL avait alors prononcé, en 2016, une sanction pécuniaire publique à l’encontre de la société Google qui ne s’était pas conformée à une mise en demeure de la Présidente de la CNIL de rendre effectif le déréférencement sur l’ensemble des versions nationales de son moteur de recherche Google Search puisque pour la CNIL, seul un déréférencement mondial était de nature à permettre une protection effective des droits des personnes. La société Google avait alors saisi le Conseil d’État au motif que les mesures adoptées depuis mars 2016 étaient suffisantes.

L’arrêt du Conseil d’État, intervenu le 27 mars 2020, tranche définitivement ce contentieux et est venu préciser la portée géographique du droit au déférencement. En tirant les conséquences nécessaires de la décision rendue par la Cour de Justice de l’Union européenne (CJUE) dans son arrêt du 24 septembre 2019, le Conseil d’État a annulé la sanction de la CNIL, mais a précisé les marges de manœuvre de la Commission pour protéger efficacement les personnes. Le Conseil d’État a ainsi relevé que le législateur français n’a pas adopté de dispositions spéciales permettant, en France, à la CNIL d’opérer un déréférencement excédant le champ prévu par le droit de l’Union. En l’absence d’intervention du législateur, la CNIL ne peut dès lors qu’ordonner un déréférencement européen.

La CNIL a pris acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019. Elle a notamment adapté les contenus sur le sujet disponible sur son site internet www.cnil.fr.

  1. Pouvez-vous-nous expliquer ce qu’il en ait des techniques d’effacement et d’opposition issus de la loi du 6 janvier 1978 au prisme du RGPD?

Les grands principes qui régissent la protection des données personnelles, issues de la loi du 6 janvier 1978, n’ont pas été modifiés avec l’entrée en application du règlement général sur la protection des données (RGPD). Ce texte a toutefois permis un renforcement des droits des personnes concernées, en particulier :

  • le droit à l’effacement (article 17 du RGPD) : il permet de demander à un organisme l’effacement de ses données à caractère personnel par la personne concernée (par exemple, un contenu gênant qui a été publié sur un réseau social). Il ne trouve toutefois à s’appliquer que dans un nombre de cas limitativement énumérés (notamment si les données sont utilisées à des fins de prospection ou encore si la personne retire son consentement à l’utilisation de ses données). Des exceptions sont aussi prévues afin de permettre de l’écarter dans certaines hypothèses (par exemple, s’il va à l’encontre de l’exercice du droit à la liberté d’expression et d’information ou du respect d’une obligation légale). La CNIL a publié sur son site internet un contenu qui détaille comment procéder et les conditions pour exercer ce droit, auquel je me permets de renvoyer : https://www.cnil.fr/fr/le-droit-leffacement-supprimer-vos-donnees-en-ligne ;
  • le droit d’opposition (article 21 du RGPD) : il permet à la personne de s’opposer à tout moment à ce qu’un organisme utilise certaines de ses données et peut s’exercer à tout moment. La prise en compte de l’opposition doit intervenir dès la première demande. Toutefois, ce droit peut faire l’objet d’un refus par l’organisme, s’il prouve que des motifs légitimes et impérieux lui imposent de continuer à traiter des données malgré la demande ou justifier que les données sont nécessaires pour la constatation, l’exercice ou la défense de droits en justice. Ici aussi, un contenu spécifique a été publié sur le site de la CNIL : https://www.cnil.fr/fr/le-droit-dopposition-refuser-lutilisation-de-vos-donnees.
  1. Quel est le regard de la CNIL sur le choix de «loccultation» des données judiciaires effectué par les juridictions suprêmes?

La Commission a eu l’occasion, à plusieurs reprises, de participer aux réflexions sur l’ouverture de ces données, notamment dans le cadre du rapport du professeur Loïc Cadiet, remis à la garde des Sceaux le 9 janvier 2018.

Le décret relatif à l’open data des décisions de justice (décret n° 2020-797 du 29 juin 2020), sur lequel la Commission s’est prononcée dans son avis du 6 février 2020, s’inscrit dans la continuité des lois Lemaire (loi n° 2016-1321 du 7 octobre 2016 pour une République numérique), de la loi du 20 juin 2018 (loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles) et de programmation de la justice (loi n° 2019-222 du 23 mars 2019 de programmation 2018-2022 et de réforme pour la justice) en ce qu’il a vocation à fixer les conditions d’application de certaines de leurs dispositions.

Ce décret n’a toutefois pas vocation à détailler l’ensemble des modalités d’occultation et le dispositif doit encore être complété pour ce qui est des conditions précises de mise en œuvre de l’open data des décisions de justice.

4.Quel est le regard de la CNIL sur les décisions de justice qui ne sont pas occultées et qui restent accessibles au public via Légifrance par exemple?

Dès 2001, la CNIL a édicté une recommandation en matière de diffusion sur Internet des décisions de justice afin d’assurer la protection des données des personnes concernées par ces décisions lors de leur diffusion.

Dans son avis du 6 février 2020, la CNIL n’a pas eu à se prononcer sur les modalités de diffusion/publication qui seront éventuellement retenues pour les décisions de justice déjà accessibles sur Légifrance.

De manière générale, deux principaux enjeux « Informatiques et Libertés » de l’open data des décisions de justice, sur lesquels la CNIL est particulièrement vigilante, peuvent toutefois être mentionnés :

  • le risque de ré-identification des personnes concernées ;
  • le recours à des traitements algorithmiques développés pour traiter les volumes de données conséquentes issues des décisions de justice, ces traitements pouvant potentiellement avoir des effets sur les jugements futurs, sur les droits des personnes ou sur l’organisation de la justice dans les limites fixées par les articles 47, 95 et 120 de la loi informatique et libertés.

Par ailleurs, si les personnes peuvent réutiliser les données des décisions de justice accessibles au public via Légifrance par exemple, il convient de souligner que, les décisions de justice – même pseudonymisées – comprenant des données à caractère personnel, ces personnes devront s’assurer que cette réutilisation se fait en conformité avec la réglementation relative à la protection des données à caractère personnel (cf. sur ce point les éléments de réponse apportée à la question n° 6 ci-dessous).

  1. Quel est le regard de la CNIL sur le décret portant la création d’un traitement automatisé des données à caractère personnel dénommé «DATAJUST»?

La Commission avait été saisie pour avis par la ministre de la Justice d’un projet de décret portant création d’un traitement automatisé de données à caractère personnel dénommé « DataJust ». Ce décret n° 2020-356 du 27 mars 2020 vise à encadrer uniquement la phase de développement d’un traitement algorithmique (d’une durée de deux ans) ayant notamment pour finalité la réalisation d’un référentiel relatif à l’indemnisation des préjudices corporels.

Dans sa délibération n° 2020-002 du 9 janvier 2020, la Commission a notamment rappelé que, « compte tenu de la particulière sensibilité des informations susceptibles d’être traitées, relatives tant à des personnes majeures que mineures, ainsi que du périmètre particulièrement large du traitement projeté, une attention particulière devra être portée aux évolutions envisagées de l’algorithme et plus particulièrement à la présence d’éventuels biais (pratiques discriminatoires liées par exemple à l’origine ethnique, au genre ou encore à la situation géographique) ». Elle a ainsi demandé à ce que ce bilan lui soit transmis, le cas échéant, avant toute mise en œuvre de la phase de pérennisation par un second traitement et a demandé également que lui soient aussi communiqués, à l’occasion de ce bilan, une description détaillée des algorithmes, des méthodes mises en œuvre ainsi que les indicateurs de performance utilisés, les résultats obtenus avec ceux-ci et les modalités d’audit de l’algorithme utilisé.

La publication du décret du 27 mars 2020, durant la période d’urgence sanitaire, a pu susciter des inquiétudes, notamment de la part des professionnels de la justice. Dans une réponse ministérielle du 26 mai 2020, le ministère est venu indiquer que : « […] Loin de remplacer les professionnels du droit par des algorithmes, ce référentiel indicatif vise à mieux les informer, ainsi que les victimes qu’ils sont amenés à conseiller, sur le montant de la réparation à laquelle ces victimes sont susceptibles d’obtenir devant les juridictions – à l’instar du référentiel inter-cours ou des bases de données de jurisprudence actuellement utilisées par les praticiens. […] Si les travaux à mener s’avèrent concluants, un second décret viendra ensuite encadrer la mise à disposition au public, en conformité avec les règles prévues pour la mise œuvre de l’open data des décisions de justice. »

Si le dispositif est pérennisé, la CNIL serait vraisemblablement amenée à se prononcer sur ce second décret qui permettra la mise à disposition du public du référentiel indicatif.

  1. Quel est le regard de la CNIL sur la réutilisation des données portée par l’open data judiciaire?

Dans son avis du 6 février 2020 précité, la CNIL n’a pas eu à se prononcer précisément sur cet aspect.

Il peut néanmoins être indiqué qu’une personne qui réutilise des informations publiques contenant des données à caractère personnel doit se conformer à la réglementation en la matière (règlement européen sur la protection des données à caractère personnel dit « RGPD » et loi du 6 janvier 1978 modifiée) et aux grands principes qu’elle édicte.

Pour ce qui est des décisions de justice, il convient de relever que les décisions mises en open data, qui seront pour partie pseudonymisées et non anonymisées (dès lors que la réidentification n’est pas toujours impossible), contiennent des données dites « sensibles », dont le traitement est par principe interdit par la réglementation, et des données d’infraction (articles 9 et 10 du RGPD). Le législateur est toutefois intervenu en 2018 pour permettre aux réutilisateurs des décisions de justice diffusées en open data de traiter des données sensibles et des données d’infraction qu’elles contiendront, même après avoir été pseudonymisées (voir le 5° de l’article 44 et le 5° de l’article 46 de la loi du 6 janvier 1978 modifiée).

Je remercie la CNIL pour cette interview.

LW

Express Your Reaction
Like
Love
Haha
Wow
Sad
Angry

2 réflexions sur « Entre anonymisation et droit à l’oubli judiciaire: Regard de la CNIL »

  1. Je n’ai pas encore entendu parler de ce droit à l’oubli. De toute façon, je ne me suis jamais intéressée à tout ce qui se rattache au domaine de droit avant. Mais, maintenant, je trouve que c’est de plus en plus indispensable.

  2. Belle explication ! J’espère que ceci va renforcer la confiance des citoyens envers le pouvoir judiciaire. Mais j’ai encore une petite chose qui me chiffonne les amies, pourquoi seul un pourcentage très faible en ce qui concerne les informations est disponible à titre gratuit.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *