Le Groupe de travail "Article 29", qui réunit les autorités de protection des données des États membres de l’UE, a publié le 26 novembre 2014 ses lignes directrices pour la mise en œuvre de l’arrêt Google. La Cour de justice de l’UE (CJUE) avait jugé en mai 2014 que les internautes disposaient d’un "droit à l’oubli", c’est-à-dire qu’ils pouvaient demander à un opérateur de recherche de supprimer des résultats de recherche un lien contenant des informations personnelles du requérant. La publication des lignes directrices intervient alors que le Parlement européen vient d’accroître la pression sur Google, appelant dans une résolution à un "dégroupage" entre les activités de recherche et les autres services commerciaux des moteurs de recherche sur Internet.

Le contexte

La décision de supprimer un lien dans ses résultats de recherche revient à Google qui a instauré un comité d’experts pour trouver un "juste équilibre entre les critères qui plaident en faveur de la vie privée et ceux de l’accès du public à cette information", comme l’avait expliqué en septembre 2014 Peter Fleischer, responsable juridique pour la protection des données personnelles chez Google-France, tout en dénonçant les "critères vagues" dans l’arrêt de la Cour et en qualifiant de "travail de justice" le travail de Google. Depuis l'arrêt de la Cour, Google a reçu plus de 602 400 demandes de déréférencement (surtout de France et d'Allemagne) et a donné une suite positive à 42 % de ces requêtes, selon un rapport publié par Google le 10 octobre 2014.

Tandis que Google avait été, selon Peter Fleischer, obligé de répondre "en urgence" à cet arrêt, les ministres de la Justice de l’UE n’ont pas encore décidé de la réponse à y donner. "On veut éviter que la question ne soit réglée par les opérateurs privés", avait conclu le ministre italien Andrea Orlando lors d’un Conseil JAI en octobre 2014, jugeant qu’il faudrait "essayer de trouver des instruments qui puissent permettre de concilier tous ces droits".

Le groupe demande un déréférencement sur toutes les déclinaisons "pertinentes"

Dans un communiqué, le Groupe de travail "Article 29" a rappelé que l’arrêt Google constituait une "étape importante" pour la protection des données dans l’UE. Il critique le fait que le déréférencement de liens ("de-listing") se limite aux déclinaisons nationales (comme google.lu) alors que le lien en question est toujours repérable via google.com et demande un déréférencement sur toutes les déclinaisons "pertinentes". Le groupe rappelle que, selon l’arrêt, le droit à l’oubli concerne seulement les résultats de recherche à partir du nom de la personne et qu’il ne s'agirait pas de faire supprimer le contenu original qui pourra être retrouvé par d'autres termes clefs. Le déréférencement est par ailleurs "inapproprié" si l’intérêt du public "passe outre les droits de la personne concernée".

Le Groupe de travail constate que les droits des personnes concernées "prévalent sur les intérêts économiques d’un opérateur de recherche" ainsi que sur les droits des internautes d’avoir accès à l’information sur une personne via un opérateur de recherche. Il estime qu’il faut trouver un équilibre entre les différents droits et intérêts, jugeant que le résultat dépendra "de la nature et de la sensibilité" des données en question ainsi que de l’intérêt d’avoir accès à cette information, et qui dépendra encore du rôle public de la personne concernée.

Le Groupe de travail annonce que les autorités nationales de protection des données vont se focaliser sur les demandes de déréférencement s’il y a un "lien clair entre la personne concernée et l’UE", par exemple si la personne est "un citoyen ou un résident de l’UE".

Le fait que les opérateurs de recherche informent les administrateurs de sites concernés sur le déréférencement ne doit pas devenir une "pratique générale", estime le Groupe de travail, rappelant qu’il n’y a "pas de base légale pour une telle communication de routine" dans la législation européenne sur la protection des données.

Le groupe établit une liste de 13 critères pour traiter les plaintes des Européens après un refus de Google

Le Groupe de travail a également émis 13 critères permettant aux autorités nationales de traiter les plaintes des Européens face à un refus de Google. Les critères sont considérés par le groupe comme un "outil de travail flexible" qui seront appliqués "en conformité avec la législation nationale pertinente".

Les critères traitent les questions suivantes : s’agit-il d’une personne physique (le groupe considérant que les pseudonymes sont également à prendre en considération), d’une personne publique ou d’une personne mineure ? Est-ce que les données en question sont exactes (le groupe considérant qu’un déréférencement est "plus approprié" quand des données sont inexactes) ? Est-ce que les données sont à jour ? Est-ce que les résultats de recherche mettent en danger la personne concernée ou ont-ils un impact négatif sur la vie privée de la personne, voire causent-ils un préjudice ?

Quel est le contexte de la publication de l’information (était-elle volontaire ?) ? Est-ce que l’information a été publiée par des médias ? Est-ce qu’il existe une obligation légale de publier ces informations ? Est-ce que l’information concerne des infractions pénales (les autorités nationales devront alors respecter les législations nationales en vigueur et décider au cas par cas) ? Est-ce que l’information est "sensible" au sens de la directive 95/46/EC sur la protection des données ?

Un critère abondamment traité est celui de la pertinence des données en question. Le groupe estime qu’une information est plus susceptible à être pertinente si elle relève de la vie professionnelle, mais que cela dépend de la nature du travail de la personne concernée.

Le Groupe de travail a été institué par l’article 29 de la directive 95/46/CE sur la protection des données. Il s’agit d’un organe consultatif indépendant qui a pour objectif d’examiner les questions relatives à la protection des données et de promouvoir une application harmonisée de la directive dans les 28 États membres de l’Union européenne.