Plusieurs points sont controversés à propos du droit à l’oubli, mais le premier est sans doute la définition-même de ce droit : il n’y a pas à proprement parler de définition du droit à l’oubli (du moins pas unique), que ce soit dans la loi comme nous l’a fait remarquer David Forest : « droit à l’oubli, cette expression ne figure dans aucun texte de loi [3E] », ou dans les différents articles de presse ou scientifiques [5P], [6S]. Qu’entend-on alors par « droit à l’oubli », que signifie être « oublié » sur Internet ?

La première interprétation qui viendrait à l’esprit serait la suppression pure et simple des données : « Pour oublier, il faut purger. C’est la seule solution,» explique Gérard Haas [7P]. Seulement cette solution serait inadaptée pour plusieurs raisons : cela pourrait empêcher le travail de certaines personnes et c’est de plus extrêmement compliqué du point de vue technique, ce que rappelle Yan Claeyssen dans son article « Oublions le ‘droit à l’oubli’ numérique ! [9P]» Plusieurs définitions sont alors en concurrence :

  • déréférencement ou désindexation des pages concernées
  • anonymisation ou cryptage des données [2P], [2S]
  • capacité d’un individu à contrôler les informations le concernant, et d’en empêcher l’accès à autrui [4S]

Cependant ces définitions présentent chacune plusieurs points de désaccord entre les différents partis.

Le déréférencement serait la solution la plus « simple » techniquement. C’est d’ailleurs quelque chose qui est déjà utilisé par Google. Il suffit aux moteurs de recherche de ne plus renvoyer la page où se trouvent les données que l’on veut « oublier », même si les mots-clés utilisés correspondent. Selon B. Nguyen, informaticien travaillant sur la question du droit à l’oubli, cette solution reste la plus adaptée la plupart du temps : en effet, lorsqu’un particulier effectue une recherche sur internet, il se contente souvent des sites proposés sur la première page de recherche [1E]. Ainsi, si les données sensibles disparaissent de cette page, il n’y a quasiment plus de problème. La contestation de cette définition vient du fait que l’information n’est en réalité pas supprimée : elle reste accessible par d’autres voies, que ce soit en utilisant d’autres mots-clés lors de la recherche, ou au moyen d’autres sites ayant un lien vers la page concernée, comme on peut le remarquer dans l’article de Stéphane Dreyfus [10P].

Le cryptage des données, qui permet de les rendre anonymes serait alors envisageable comme un moyen de se camoufler plutôt que d’être réellement oublié [2S]. Si les données sont anonymes, on ne peut normalement pas remonter à la personne concernée, et il n’y a plus de raison de demander à être ensuite oublié. Seulement, cette solution est très contestée car le cryptage de l’information n’empêche en rien son utilisation [5P], ce qui ne respecte plus la vie privée de l’individu et encore moins la nécessité de demander l’autorisation à la personne concernée pour utiliser ses informations personnelles.

La dernière possibilité pour mettre en place le droit à l’oubli serait de permettre à chacun de contrôler la diffusion de ses données personnelles et d’en empêcher l’accès à autrui s’il le désire [4S], [1E]. Il s’agirait donc de « prévenir plutôt que guérir », c’est-à-dire qu’il n’y aurait pas besoin là non plus d’effacer ses données puisque chacun aurait alors décidé avec qui il accepte de les partager. En effet, le contrôle est actuellement extrêmement difficile, particulièrement sur les réseaux sociaux, car les informations peuvent ensuite être utilisées sans autorisation par des tiers, ce que montre l’article « Realizing the Right to Be Forgotten in an SNS Environment [1S] ». De plus, il apparaît que quand nous renseignons nos données, les détenteurs n’ont pas besoin de les détenir indéfiniment [4S], le droit à l’oubli pourrait donc être considéré comme la possibilité de définir qui aurait accès à ses données personnelles ainsi que le temps pendant lequel on les laisse disponibles. Les problèmes principaux sont alors que ces informations peuvent être copiées, et qu’il faudrait renseigner les deux critères (personnes ou organisations autorisées et temps de disponibilité) pour chaque information, ce qui serait beaucoup trop long.

A cause de ces ambiguïtés et des problèmes propres à chacune des différentes définitions, les personnes débattant du droit à l’oubli, spécialistes ou non, et même les grandes instances telles que la CJUE (Cours de Justice de l’Union Européenne) ne réussissent pas à s’entendre sur une explication claire de ce qu’est le droit à l’oubli. De plus, les données concernées par le droit à l’oubli restent actuellement très discutées.

[2P] F. Dumontet, « L’Histoire au piège de la Toile? », Le Monde, p. ARH1, octobre 2013.

[5P] C. Quéguiner, « Données personnelles : faut-il oublier « le droit à l’oubli numérique » ? », France Info, 30 mai 2013.

[7P] L. Neuer, « Droit à l’oubli : « Demander à la machine d’oublier, c’est inconcevable » », Le Point, 15 décembre 2014.

[9P] Y. Claeyssen, « Oublions le ‘droit à l’oubli’ numérique ! » La Tribune (France), n° 4465, p. 12, 6 mai 2010.

[10P] S. Dreyfus, « La présidente de la Commission nationale de l’informatique et des libertés (Cnil) se réjouit de la décision européenne imposant un droit à l’oubli numérique, nouvelle arme à disposition des citoyens », La Croix, n°39983, p11, 12 septembre 2014.

[1S] Cheol Ho Sin, Nam A. Kim, Byeong Woo Go, « Realizing the Right to Be Forgotten in an SNS Environment », Advances in Computer Science and its Applications, Lecture Notes in Electrical Engineering, volume 279, pages. 1443-1449, 2014.

[2S] R. Agrawal, C. Johnson. « Securing electronic health records without impeding the flow of information », International Journal Of Medical Informatics, volume 76, pages 471-479, Mai-Juin 2007.

[4S] S. Corbett, « The retention of personal information online: A call for international regulation of privacy law », Computer Law and Security Review, Volume 29, Numéro 3, Pages 246-254, Juin 2013.

[6S] P. De Hert, V. Papakonstantinou, « The proposed data protection Regulation replacing Directive 95/46/EC : A sound system for the protection of individuals », Computer Law & Security Review, Volume 28, 2012.

[1E] Entretien avec Benjamin Nguyen, informaticien et professeur à l’INRIA, 19 janvier 2015.

[3E] Entretien avec David Forest, avocat au Barreau de Paris, spécialisé dans le droit du numérique, 26 mai 2015.