La Cour de cassation et le Conseil d’Etat (les cours suprêmes françaises) ont transposé en droit national la décision de la Cour de justice de l’Union Européenne (CJUE) du 24 septembre 2019.

Les différents arrêts de la Cour de cassation et du Conseil d’Etat font référence à des situations différentes. Par exemple, un expert-comptable déclaré coupable d’escroquerie a voulu se faire déréférencer, mais la Cour d’appel de Paris lui avait donné tort car elle estimait que la profession de l’intéressé appelait à une probité particulière et donc, qu’il était de l’intérêt des internautes d’avoir accès à une telle information. Dans une autre affaire, une personne a souhaité le déréférencement de deux liens hypertextes renvoyant à des articles de presse faisant état de sa condamnation pour attouchements sexuels sur mineurs à 7 ans de prison assortie d’un suivi socio-judiciaire, mais sa demande a été refusée par Google et sa plainte a été clôturée par la CNIL.

On savait depuis près de 20 ans que les moteurs étaient soumis à la réglementation sur les données personnelles. Mais désormais, les règles sont harmonisées :

  • Le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit et pas une simple option à la merci du moteur ;
  • Mais une balance doit être effectuée par le moteur entre le « droit à la vie privée » du demandeur et le « droit à l’information du public ».
  • Désormais, on sait que l’arbitrage entre ces deux libertés dépend de la nature des données personnelles.
    • des données dites sensibles (données les plus intrusives dans la vie d’une personne comme celles concernant sa santé, sa vie sexuelle, ses opinions politiques, ses convictions religieuses …),
    • des données pénales (relatives à une procédure judiciaire ou à une condamnation pénale),
    • et des données touchant à la vie privée sans être sensibles.

Toute demande de déréférencement qui touche aux données sensibles ou pénales ne peut être refusée que si et seulement si l’accès aux données concernées est « strictement nécessaire à l’information du public ».

Toute demande de déréférencement qui touche aux données touchant à la vie privée sans être sensibles peut être refusé s’il existe « un intérêt prépondérant du public à accéder à l’information en cause ».

Mais concrètement, comme apprécie-t-on ces deux notions ?

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont le rôle social du demandeur (sa notoriété, son rôle dans la vie publique et sa fonction dans la société) et les conditions dans lesquelles les données ont été rendues publiques (par exemple, si l’intéressé a de lui-même rendu ces informations publiques) et restent par ailleurs accessibles.

En d’autres termes, il est désormais plus facile de se faire entendre de Google ou d’autres moteurs, la jurisprudence étant fixée. Il faut donc avoir le réflexe de ne plus hésiter à demander tout référencement en cas d’atteinte à la vie privée et la e-réputation, les enjeux sont trop importants et les moyens à mettre en place si faciles désormais.