Coopération internationale | Peut-on se faire oublier sur Internet ?

« Jurisdiction is generally based on sovereignty (boundaries and borders), but cyberspace is (semi-) borderless and therefore problematic [9S]. »

(La juridiction est généralement basée sur la souveraineté (limites et frontières), mais le cyberespace est (presque) sans frontières, et donc problématique.)

C’est ainsi que Meg Leta Ambrose, chercheuse au département Communication, Culture & Technologie de l’Université de Georgetown résume les principales difficultés que rencontre toute tentative de législation d’Internet. Ce réseau mondial relie des milliards d’ordinateurs à travers la planète, mettant tous les utilisateurs du monde en communication permanente. C’est pourquoi une loi sur le droit à l’oubli ne concernant qu’un certain territoire ne pourra jamais être suffisante pour faire respecter ce droit parfaitement.

En 2013, Susan Corbett, chercheuse en droit du numérique à l’université Victoria de Wellington prévenait : « Without international reciprocity arrangements, any enforcement of privacy laws in other jurisdictions by an aggrieved individual is likely to be impractical [4S]. »

(Sans des accords réciproques internationaux, toute application des lois concernant la vie privée dans d’autres juridictions pour un individu lésé a peu de chances d’être réalisable.)

Mais bien que la Commission européenne ait instauré le droit à l’oubli, les autres membres de l’Organisation de coopération et de développement économiques (OCDE) n’ont jamais pris de mesures contraignantes, et l’organisation s’est limitée à ses Lignes directrices régissant la protection de la vie privée et les flux transfrontières de données de caractère personnel datant de 1980. De même La Coopération économique pour l’Asie-Pacifique (APEC) n’a donné aucun cadre restrictif après avoir publié en 2005 son Privacy Framework, pour promouvoir plusieurs principes relatifs aux données personnelles [4S]. Si la suppression des données personnelles n’est pas imposée partout, l’efficacité de cette mesure européenne risque donc d’être très limitée.

Ce manque d’accord international rend d’ailleurs les quelques décisions juridiques déjà adoptées, comme en Europe, beaucoup moins efficaces. Ainsi l’effacement des liens par Google suite à des requêtes ne s’applique que pour les versions européennes de Google, et on peut les retrouver en utilisant la version américaine [1P].
Il arrive également que le droit ne puisse pas être appliqué simplement à cause d’une mauvaise communication entre les deux parties, ce que rapportait Google dans son Transparency Report de 2013 : « Some requests may not be specific enough for us to know what the government wanted us to remove (for example, no URL is listed in the request), and others involve allegations of defamation through informal letters from government agencies, rather than court orders. We generally rely on courts to decide if a statement is defamatory according to local law. [9S] »

(Certaines requêtes peuvent ne pas être assez précises pour que nous sachions ce que le gouvernement voulait que nous retirions (par exemple, aucune URL n’est listée dans la requête), et d’autres contiennent des lettres d’agences gouvernementales impliquant des allégations de diffamation plutôt que des ordonnances du tribunal. En principe nous nous appuyons sur les tribunaux pour décider si une déclaration est diffamatoire selon la loi locale.)

En 2014, la CNIL (Commission nationale de l’informatique et des libertés) prévenait des dangers d’un droit à l’oubli qui ne serait pas homogène partout, surtout avec des entreprises et des entités pouvant opérer dans plusieurs pays différents.
En effet si une entreprise installée en Europe effectue des traitements dans plusieurs États membres, l’autorité compétente sera celle du pays où l’entreprise a installé son établissement principal, même si l’un de ces établissements est installé sur un autre territoire, quel que soit le public ciblé.
Il y a alors un double danger : ce déséquilibre favorisera la délocalisation dans les États où les autorités de contrôle ont moins de moyens pour exercer leur mission et les citoyens devront référer à des autorités qui ne seront pas forcément celles de leur pays de résidence [8S].

Mais pourquoi cette coopération internationale, cette homogénéisation des règles d’application du droit à l’oubli n’est-elle pas déjà en place ?

Premièrement, si la bataille face aux contrôleurs de ces données a été gagnée en Europe, c’est loin d’être le cas aux États-Unis.

Meg Leta Ambrose, expliquait en 2014 dans la revue Telecommunications Policy qu’une différence majeure venait de la priorisation de la vie privée ou de la liberté d’expression en Europe et aux États-Unis [9S] .
Le premier amendement de la constitution américaine, interdisant au Congrès des États-Unis d’adopter des lois limitant la liberté d’expression et la liberté de la presse, constitue un réel obstacle au droit à l’oubli aux États-Unis. Le résultat est que les critères légaux permettant l’accès au droit à l’oubli ne sont presque jamais atteints, et ainsi la justice tranche très rarement en faveur de celui-ci. Il se trouve donc que certaines entités américaines tentent d’appliquer le droit à l’oubli dans l’UE, mais n’y arrivent pas toujours, à cause des contradictions que cela engendre avec la constitution américaine. Les options possibles pour les États-Unis seraient donc :

adopter les mêmes règles de droit à l’oubli qu’en Europe ;
ignorer les réclamations relatives au droit à l’oubli ;
se plier aux requêtes de suppression et de déréférencement des données ;
chercher à établir une version modifiée du droit à l’oubli.

D’autre part, on peut se demander s’il est légitime qu’aucun pays ne puisse accéder à une page seulement parce que la législation d’un certain pays a imposé aux moteurs de recherche de les effacer. Pourtant aujourd’hui l’Union Européenne demande à ce que tout service opérant dans leurs pays membres respectent leurs obligations [9S].

En 2014, Felicity Gerry Q.C., avocate anglaise spécialisée dans le droit informatique international, prévenait qu’au niveau d’Internet, aucune législation ne peut être appliquée sans dimension internationale : « Any framework concerning the online ‘rule of law‘ must be approached from a truly international perspective and must embrace both the more economically developed and the less economically developed countries [3S]. »

(Tout cadre concernant ‘l’État de droit‘ en ligne doit être envisagé d’un point de vue international et doit englober tous les pays, développés comme moins développés.)

Ainsi le droit à l’oubli, comme toute régulation d’Internet, nécessite une profonde coopération internationale.

Un enjeu majeur du droit à l’oubli sera donc d’homogénéiser les lois au niveau international afin de le rendre efficace, mais les différences de traitement des données personnelles vis-à-vis de la liberté d’expression dans chaque pays rendent difficile le consensus.

[1P] L. Checola, « Droit à l’oubli : est-ce à Google de décider ce qu’il faut effacer? », SudOuest, 8 juillet 2014.

[3S] Felicity Gerry Q.C., N. Berova, « The rule of law online: Treating data like the sale of goods: Lessons for the internet from OECD and CISG and sacking Google as the regulator », Computer Law and Security Review, Volume 30, Numéro 5, Pages 465-481, Octobre 2014.

[4S] S. Corbett, « The retention of personal information online: A call for international regulation of privacy law », Computer Law and Security Review, Volume 29, Numéro 3, Pages 246-254, Juin 2013.

[8S] R. Florence, F. Amiard, D. Carnel, « De nouvelles dispositions pour protéger les données personnelles », Documentaliste-Sciences de l’Information, Volume 51, Pages 23–25, Mars 2014.

[9S] M. Ambrose, «Speaking of forgetting : Analysis of possible non-EU responses to the right to be forgotten and speech exception». Telecommunications Policy, Volume 38, Pages 800-811, Septembre 2014.