Droit au déréférencement sur Google hors d'Europe : les choses bougent

À la suite de la mise en demeure de la présidente de la Cnil en mai dernier (notre actualité du 15 juin 2015) et au rejet final du recours gracieux formé par Google contre cette décision le 21 septembre (notre actualité du 25 septembre) les protagonistes campaient sur leurs positions cependant que l'affaire continuait d'être instruite au sein de la Cnil en vue d'une sanction contre le célèbre moteur.

Google vient semble-t-il de faire un pas dont il convient de bien mesurer la portée, en fonction des actuelles informations dont on dispose, mais aussi à l'usage dans les semaines à venir.

La firme californienne est en effet sur le point de modifier son système de déréférencement, permettant à toute personne résidant dans l'Union européenne de ne pas voir les liens déréférencés, quelle que soit la plateforme consultée, google.fr, google.es, etc. — ce qui est actuellement le cas — mais aussi google.com ou google.co.nz (Nouvelle Zélande) et autres. Un algorithme réagirait en fonction de l'adresse IP de l'internaute.
De sorte que, même en ayant la curiosité de scruter google.com, aucun internaute, même extra-européen, interrogeant depuis l'Europe ne pourrait avoir accès aux liens déréférencés.

Un premier pas qui ne règle pas tous les litiges

Cette solution, pour positive qu'elle soit, est loin de vider le contentieux de tout son contenu.

Sur un plan juridique, l'analyse de la présidente de la Cnil, pour mettre Google en demeure en mai 2015, se basait sur le fait que le moteur de recherche est une base de données mondiale unique, ce que tout internaute peut vérifier tous les jours puisqu'il est possible d'accéder, à partir de n'importe quelle plateforme de Google (.fr, .es, .de...) aux mêmes résultats disséminés sur le web mondial.

Un traitement de données mondial unique

On a donc affaire à un unique traitement de données à caractère personnel, réalisé au niveau planétaire — c'était du reste un des arguments de Google pour invoquer l'application d'une loi unique pour son moteur, la loi américaine à l'exclusion de toute autre. Les plateformes nationales d'interrogation du moteur ne sont donc que des interfaces permettant l'accès à une même et unique base mondiale.

Sur ce terrain à la fois juridique et hyper-pratique, il s'agit donc d'une base de données unique : n'accepter de déréférencer que sur certaines plateformes et pas sur d'autres n'est absolument pas logique.

Un masquage encore plus localisé

Sur le terrain de la protection des personnes, on se heurte à un nouveau problème.

Tout d'abord, un Américain qui se trouverait à consulter "son" moteur Google depuis Montpellier ou Madrid ne pourrait pas voir toutes les données qu'il pourrait voir depuis les États-Unis.
Mais surtout, un Français séjournant ne serait-ce que quelques heures aux États-Unis, par exemple le temps d'une escale aérienne, pourrait voir sans difficulté toutes les informations qui pourtant doivent lui être masquées puisqu'il est ressortissant européen.
Et plus encore, les mêmes données concernant des européens et que ceux-ci ont souhaité voir masquées resteront visibles aux États-Unis, quel que soit le degré de nuisance qu'elles causent.

La question n'est pas que théorique. Nous avons quelques clients qui, ayant une vie internationale, ont une e-réputation à défendre sur plusieurs continents. La solution qui sera adoptée dans les semaines qui viennent, leur fait grief autant que celle actuellement en cours.

Il n'est donc pas sûr que cette nouvelle solution de compromis satisfasse les autorités de protection des données européennes de l'Union, groupées dans le G29.
La position de la Cnil semble pour le moment très réservée.

Une question insoluble ?

Tout ce contentieux révèle en fait une question très profonde et qui sera sans doute très difficile à résoudre : celle de la territorialité du droit protégeant les personnes.

Pour schématiser :

  • Les données privatives des personnes, de par leur nationalité, sont-elles protégées par les lois de leur pays quel que soit le lieu de consultation de ces données ?
  • Ou à l'inverse, ces données privatives sont-elles soumises aux lois des pays d'où on les consulte ?

À ce jour, aucune législation n'est capable, à notre connaissance, de répondre à cette question.
Ce qui ne signifie pas qu'elle soit insoluble ; elle fait bel et bien partie des questions nouvelles qui émergent de la mondialité du phénomène internet.

Vers des conventions internationales  ?

Au lendemain de la journée mondiale sur la protection des données, on ne peut qu'appeler à des conventions internationales pour normaliser la protection des données personnelles dans le monde. Il est significatif que certains citoyens américains lorgnent avec envie sur le système du droit au déréférencement imposé par l'Union européenne. Persuadés de vivre dans la plus grande démocratie du monde, ils ont du mal à comprendre pourquoi le degré de protection de leur vie privée est moindre que dans la "vieille Europe" (nos actualités du 16 juillet 2015 et du 24 juillet sur notre blog spécialisé Votre Réputation).
 

Didier FROCHOT