La période de participation est maintenant fermée. Merci à tous d'avoir participé.
sam, 04/10/2014 - 09:00 La concertation est terminée. Les débats en ligne ainsi que les commentaires sur les synthèses ont été à la base du travail des membres du Conseil national du numérique, qui préparent actuellement les recommandations au gouvernement. Les synthèses des débats, enrichies des commentaires, seront publiées en annexe du rapport.

De quoi parle-t-on ? Présentation des enjeux

Propositions dans le débat public
le 25/09/2014 - 19:20

Droit à l'oubli et déréférencement

Le 13 mai 2014, la Cour de justice de l’Union Européenne a ouvert la possiblité aux internautes de demander à un moteur de recherche de retirer des liens qui les concernent. Google et Bing ont depuis mis en place un formulaire de demandes de suppression de résultats de recherche. Cette décision a ouvert la voie à nombreuses demandes de déréferencement par des particuliers et son l’application concrète suscite des interrogations : comment gérer l’afflux des demandes et comment évaluer leur légitimité? ? Quels critères d’équilibre avec le droit du public à l’information et la  liberté d’expression ? Quelle application sur un internet mondial où les règles diffèrent en fonction des pays ? A l’approche de l’adoption d’un nouveau cadre européen pour la protection des données personnelles, les parties prenantes recherchent toujours les points d’équilibres adaptés.

 

Comment concilier les impératifs de protection de la vie privée des personnes concernées avec l’usage effectif de la liberté d’expression et l’intérêt du public à avoir accès aux informations ?

Quels problèmes, quels défis ? Diagnostic

Proposer un problème/défi
Orange  Compte vérifié
#2784, le 16/01/2015 - 19:32

Droit à l'oubli et déréférencement

Le droit à l’oubli, plus encore que d’autres dispositions comme la confidentialité par exemple, est difficile à satisfaire par la technique. Lors d’un chiffrement de données, la conservation du secret garantit l’inviolabilité du mécanisme. Pour le droit à l’oubli, il en tout autrement, car rien ne peut détecter une recopie illégitime et non-signalée d’une donnée (hormis peut-être avec une généralisation des DRMs). Il semble important, sur ce constat, de considérer l’effectivité du droit à l’oubli au travers une combinaison de technique et de juridique. La qualification du recel de données pourrait être un atout dans ce sens, de même que la certification de conformité ou le contrôle par l’audit. Orange pourrait, au travers de son tableau de bord des données personnelles, proposer à ses clients d’archiver délibérément des données au-delà de leur conservation légale ou de les supprimer définitivement.

Le droit à l’oubli est également un droit fondamental consacré par la Cour de Justice européenne en mai 2014 dans l’arrêt Google Spain. Des clarifications quant à la mise en œuvre de ce droit sont fondamentales pour sécuriser tous les acteurs ( personnes concernées, responsable de traitements). Cela couvre non seulement le champ d’application de ce droit tel qu’interprété par la Cour de Justice que ses modalités d’application. Le droit à l’oubli se situe en effet au carrefour de plusieurs droits fondamentaux que sont le droit à la vie privée, la liberté d’expression et l’accès à l’information. Compte tenu de ces enjeux, l’appréciation d’une demande ne doit pas relever du seul secteur privé. Les discussions en cours sur la proposition de règlement européen seront également déterminantes pour aider à cette mise en en œuvre, le droit à l’oubli étant développé dans l’article 17 du texte.

Reporters sans frontières
#2765, le 16/01/2015 - 17:22

Concernant la censure et la privatisation de la censure : le droit à l'oubli

Dans le cadre de son mandat, Reporters sans frontières (RSF) apporte son expertise et formule des recommandations à l’occasion de la concertation nationale sur le numérique menée par le Conseil national du numérique (CNNum). L’organisation présente dans ses contributions les principaux enjeux liés au respect et  à la garantie de la liberté d’information, notamment la protection des sources et des lanceurs d’alerte, la surveillance des communications, la limitation de l’accès à l’information par la consécration d’un droit à l’oubli et le développement d'algorithmes non démocratiques.

 

Concernant la censure et la privatisation de la censure : le droit à l'oubli :

Les moteurs de recherche et autres intermédiaires permettent l’exercice de la liberté d’expression au sens de l’article 19 du Pacte international des droits civils et politiques et de l’article 10 de la Convention européenne de protection des droits de l’homme. Le Comité des ministres du Conseil de l’Europe les a d’ailleurs qualifié de “facilitateurs d’accès à l’information”. Cette fonction doit être protégée.

 

Les règles qui doivent s’appliquer aux demandes de déréférencement ne peuvent résulter de l’application pure et simple des règles relatives au traitement des données personnelles. Les moteurs de recherche ne doivent pas pouvoir être qualifiés de “responsables de traitement”. Ils doivent au contraire pouvoir bénéficier de l’exception journalistique.

 

Pourtant, le 13 mai 2014, la Cour de justice de l’Union européenne (CJUE) a tranché dans un sens contraire dans sa décision Google Spain. Par sa décision, la CJUE impose aux moteurs de recherches (tels que Google) de prendre en charge les demandes de déréférencement formulées par les internautes. Ainsi, la Cour confie de fait à un acteur privé une tâche revenant normalement à un juge judiciaire, seul compétent pour garantir les libertés individuelles.

 

Cette décision accentue la privatisation rampante de l’application de la régulation d’Internet, d’autant que l’arrêt se fonde sur des principes vagues et généraux qui n’apportent aucune garantie pour la liberté d’expression.

 

Les dispositions relatives à la protection des données personnelles ne sauraient limiter la liberté d’expression. Elles doivent demeurer inapplicables pour l’ensemble des contenus éditoriaux et toute information d’intérêt public, en vertu de l’exception journalistique.

 

Le contrôle des contenus par des acteurs privés ou des autorités de protection des données personnelles doit être écarté car ceux ci n’ont ni la légitimité ni la compétence pour déterminer l’équilibre entre protection de la vie privée et liberté d’expression.

 

Si un contenu déplaît à un internaute, le principe classique d’action auprès de l’éditeur du contenu doit s’appliquer pour lui demander de retirer ou de corriger les informations qu’il a diffusé sur Internet et qui ont par la suite été indexées par le moteur de recherche.

 

Google a mis en place un comité consultatif qui travaille actuellement à déterminer des règles plus précises permettant aux moteurs de recherche de répondre aux demandes de déréférencement qui lui sont adressées. Dans le même temps, les autorités nationales de protection des données ont publié une liste de critères généraux à prendre en compte dans l'acceptation ou le refus d'une demande de droit à l'oubli. La réponse doit néanmoins venir des législateurs européens et nationaux. C’est à eux qu’incombe la responsabilité de mettre en place un cadre juridique clair, prenant pleinement en compte la liberté d’expression, et dont la mise en oeuvre devrait relever de l’autorité judiciaire.

 

Reporters sans frontières et La Quadrature du Net ont présenté dans un argumentaire leurs recommandations en matière de droit à l’oubli, fondées sur trois axes à savoir l’application abusive du droit des données personnelles aux contenus éditoriaux, le rôle des moteurs de recherche dans l’accès à l’information, et les droits de la défense et les procédures adéquates.

 

Recommandations :

  • Appliquer le droit commun de la presse pour arbitrer entre le droit à la vie privée et la liberté d’expression. Lorsque les données personnelles concernent un contenu d’information, la directive et les dispositions relatives à la protection des données doivent être écartées. “L’exception journalistique” doit être élargie à l’ensemble des contenus éditoriaux et informations d’intérêt public. Cette notion est définie de manière trop restrictive dans la directive actuelle.

  • Limiter le champ d’application du droit à l’oubli aux données personnelles mises en ligne par la personne elle-même.

  • Consacrer le rôle des moteurs de recherche dans la collecte d’information et leur contribution essentielle à l’exercice de la liberté d’expression et du droit à l’information dès lors qu’ils fournissent des liens vers des contenus éditoriaux et des informations d’intérêt public.

  • Agir à la source en exigeant du responsable du traitement de données personnelles de retirer ou de corriger les informations qu’il diffuse sur Internet et qui ont par la suite été indexées par le moteur de recherche.

  • Garantir la compétence exclusive du juge judiciaire (garant des libertés individuelles) pour concilier la liberté d’expression et le respect de la vie privée.

  • Réfléchir à la création d’une instance de médiation multipartite, permettant aux parties au litige (d’une part, le plaignant qui dénonce d’une atteinte à sa vie privée, et d’autre part l’éditeur du contenu litigieux) de parvenir à un règlement à l’amiable. Afin de permettre a minima le respect d’un principe contradictoire ainsi qu’un recours à un conseil juridique.

  • Rappeler que le déréférencement de liens dans les moteurs de recherche constitue l’une des multiples mesures possibles pour concilier la liberté d’expression et le droit à la vie privée. Selon les cas, l’actualisation, le retrait, l’anonymisation, la pseudonymisation à la source du contenu litigieux peuvent s’avérer plus adaptés.

IAB France  Compte vérifié
#2758, le 16/01/2015 - 15:36

Proposition de l'IAB France sur le droit à l'oubli

Le droit à l’oubli à fait objet d’un grand débat suite à l’arrêt Google Spain de la Cour de Justice de l’Union européenne (CJUE). L’application de cet arrêt n’est pas sans difficulté, et se révèle un facteur d’insécurité juridique pour les entreprises numérique européennes. Par conséquent, l’IAB France estime que toute inscription de ce droit dans législation nationale doit être un facteur de sécurité juridique pour les acteurs privés ainsi que pour les consommateurs.

 

  • Clarifier le champ d’application du droit à l’effacement/droit à l’oubli

 

Il est important de prévoir dans la future loi sur le numérique ainsi que dans le futur règlement sur la protection des données personnelles un mécanisme effectif permettant la mise en œuvre du droit à l’oubli. Un tel mécanisme pourrait juguler le champ d’application du droit à l’oubli en prévenant ses invocations abusives tout en clarifiant la responsabilité du responsable de traitement et de son sous-traitant. La future loi sur le numérique ainsi que le futur règlement sur la protection des données personnelles devraient également préciser que le droit à l’oubli ne doit pas être considéré comme un droit absolu, qui prévaudrait systématiquement sur les intérêts légitimes du responsable de traitement. Ils devraient également tenir explicitement compte  des droits fondamentaux tels que la liberté d’expression, la liberté de la presse ou encore la liberté d’expression artistique et littéraire qui impliquent chacune de diffuser et de transmettre de l’information. La future loi  ainsi que le règlement pourraient également prévoir des lignes directrices permettant en cas de conflit entre droits fondamentaux de déterminer quel est l’équilibre qui doit être préservé.

 

  • Les réseaux de publicités comme responsable de traitement

 

Dans son arrêt, la CJUE a considéré qu’un système de traitement qui trouve, indexe et stocke de l’information (qui peut potentiellement contenir des données personnelles), est suffisant pour déterminer que l’entité qui a conçu ce système a la qualité de responsable du traitement. L’idée est ainsi que par la conception d’un système de traitement, le moteur de recherche a déterminé de manière discrétionnaire les finalités et les moyens de traitement des données personnelles. L’implication de ce raisonnement est potentiellement très large car il peut impacter d’autres acteurs qui ont conçu des systèmes de traitement de données similaires. 

Parmi nos membres figurent des régies publicitaires qui servent d’intermédiaires aux annonceurs (qui génèrent de la publicité) et aux éditeurs (qui permettent l’accès à la publicité par le public). A l’instar des moteurs de recherche, les régies ont élaboré des dispositifs de recueil d’information qui ont vocation à être utilisés par un responsable de traitement tiers (en occurrence l’annonceur) pour ses finalités propres. L’information recueillie n’est pas susceptible d’être considérée comme des données personnelles lorsque qu’elle est détenue par la régie  publicitaire, mais une fois agrégée avec d’autres informations potentiellement détenues par les annonceurs ou une autre tierce partie, elle  pourra être assimilée à une donnée personnelle.  Ainsi, en vertu de l’arrêt C-131/12 de la CJUE, le fait que la régie publicitaire ait conçu un système traitement risque de la voir qualifiée de responsable de traitement.

Nous estimons qu’il est important de mieux définir quelles sont les actions qui permettent de déterminer les finalités et les moyens de traitement, afin de ne pas qualifier involontairement des entités de responsables de traitement alors qu’elles ne devraient pas être considérées comme telles.

Nous souhaiterions ainsi attirer  l’attention des autorités publiques françaises sur ce point. Nous estimons que la future loi sur le numérique ainsi que le futur règlement sur la protection des données personnelles doivent préciser quels sont les systèmes de traitement qui tombent dans le champ d’application du droit à l’oubli et ceux qui en sont exclus. En l’absence de cette distinction, tous les systèmes de traitement qui pourraient potentiellement traiter des données personnelles, indépendamment du fait que le responsable du système soit au courant ou non, se verraient soumis aux mêmes obligations qu’un responsable de traitement, ce qui pourrait représenter une charge onéreuse pour le système de traitement, qui n’est désormais pas nécessaire, tout en augmentant les coûts pour les entreprises numériques.

Nous croyons qu’il s’agit d’une conséquence involontaire de l’arrêt, et nous souhaiterions que la future loi sur le numérique et le futur règlement sur la protection des données personnelles soient formulés de façon à assurer que l’industrie numérique française et européenne reste sur un pied d’égalité avec l’industrie numérique provenant de pays tiers. 

Propositions dans le débat public  Compte vérifié
#86, le 30/09/2014 - 10:37

Les ambiguïtés sur les critères du droit au déréférencement

Il n’existe pas d’indication sur la mise en œuvre du déréférencement. Les moteurs de recherche analysent donc les justifications les demandes au cas par cas. Cette situation est fréquemment pointée du doigt car elle confie à des acteurs privés un pouvoir de décision impactant les droits et libertés de tiers.

Epistol
#198, le 04/10/2014 - 12:32

Droit à l'oubli ou droit à l'oubli historique ?

Google dans sa grande magnianimité à permis le droit à l'oubli d'article de presse. Hors, la presse n'est que ce qu'elle est, une trace dans l'histoire et vouloir effacer cette trace, c'est vouloir censurer l'histoire.

 

Ceux qui veulent appliquer ce droit à l'oubli doivent comprendre que ça ne sert pas à gommer leurs mauvaises actions passées.

Propositions dans le débat public  Compte vérifié
#85, le 30/09/2014 - 10:37

Les difficultés tenant à l’efficacité du déréférencement

Parmis les exemples souvent mentionnés : lorsque le déréférencement est appliqué aux seules versions européennes d’un moteur de recherche (.fr, .it, .uk, etc.) les liens restent accessible par les autres versions (ex: .com). Une décision appliquée par tel moteur de recherche n’est pas automatiquement prise en compte par un autre. Les acteurs pointent également le risque de ne plus référencer des pages pouvant contenir d’autres informations pertinentes non concernées par une demande de retrait.

CNIL
#2645, le 14/01/2015 - 09:04

Propositions de la CNIL sur les évolutions de la loi informatique et libertés

Le Gouvernement avait annoncé, au mois de février 2013, à l’occasion d’un séminaire sur le numérique, son intention de déposer un projet de loi au cours de la législature. La CNIL a alors engagé une réflexion qui l’a conduite, en mars 2014, à présenter plusieurs propositions d’évolution législative au Gouvernement. Plusieurs rapports ont depuis contribué à enrichir le débat, parmi lesquels l’étude annuelle 2014 du Conseil d’Etat sur le numérique et les droits fondamentaux. Dans le cadre de la consultation confiée au Conseil national du numérique, la CNIL verse au débat public les propositions qu’elle avait présentées au Gouvernement. Elle s’est en outre fortement engagée dans la journée contributive du 9 janvier, à Strasbourg. La Présidente de la CNIL, Isabelle Falque-Pierrotin y a notamment rappelé les principes fondamentaux qui doivent structurer les réflexions et actions concrètes en matière de protection des données, tandis que deux agents de la CNIL ont animé des ateliers participatifs.

Ces propositions concernent les quatre principaux acteurs de l’écosystème « informatique et libertés » : la personne, les entreprises, les pouvoirs publics et la CNIL.

Concrètement, cinq axes peuvent se dégager :

  1. Le renforcement de l’effectivité des droits pour les personnes
  2. La simplification des formalités et des règles applicables pour les entreprises
  3. L’amélioration du cadre juridique de certains traitements publics
  4. Le renforcement des relations entre la CNIL et les pouvoirs publics 
  5. L’adaptation des pouvoirs de la CNIL, notamment en vue de renforcer l’efficacité et la crédibilité de la politique de contrôle et de sanction

Les propositions de modifications législatives doivent être combinées avec trois exigences qu’il convient de garder à l’esprit. La première est la discussion actuelle sur le projet de règlement européen ; les modifications éventuelles de la loi informatique et libertés devront naturellement être compatibles avec le règlement à venir dont l’adoption définitive est attendue au cours de l’année 2015. La deuxième tient au cadre juridique actuel, issu de la directive de 1995, que les modifications ne sauraient contredire. La troisième tient à la portée économique croissante de la législation sur les données personnelles, qui conduit à veiller à la cohérence des dispositions envisagées par rapport aux dispositions applicables dans les autres pays de l’Union. En revanche, ces mêmes modifications peuvent être l’occasion de valoriser les bonnes pratiques en la matière, qui constituent, dans l’univers numérique, un élément de compétitivité.

Enfin, la discussion autour d’une réforme du cadre juridique prescrit par loi ordinaire pourrait être utilement complétée par une réflexion sur la constitutionnalisation du droit à la protection des données personnelles.

 

Proposition : Renforcer l’effectivité des droits pour les personnes

Face à cet objectif global de faire de l’univers numérique un espace de droits et de libertés, l’individu a un rôle particulier à jouer et il est essentiel de renforcer ses droits. La principale difficulté, sur ce point, tient à l’articulation avec le futur règlement qui prévoit de nouveaux droits au bénéfice de l’individu (droit à l’oubli, à la portabilité des données, etc.)

Cependant, plusieurs propositions peuvent d’ores et déjà être retenues à cadre européen constant :

  • Le renforcement du droit d’accès : parmi les droits actuellement reconnus, le droit d’accès apparaît comme peu utilisé, alors qu’il est « premier » en ce qu’il permet à toute personne de savoir ce qu’un responsable de traitement a sur elle. Ce droit – qui pourrait être renommé « droit à la connaissance de ses données » ou « droit à la transparence des données » - pourrait être utilement renforcé, à la fois dans son contenu et dans ses modalités. Dans son contenu, l’article 39 de la loi pourrait être modifié pour donner aux individus un accès aux informations relatives aux durées de conservation et, de manière plus systématique, sur l’origine des données, sur demande effectuée auprès du responsable de traitement. S’agissant des modalités, il est proposé d’introduire explicitement, dans une logique de simplification, la possibilité pour les individus d’exercer les droits conférés par les articles 38 à 40 (opposition, accès, rectification) aussi par voie électronique. Une telle possibilité n’ouvrirait pas de risques de fraude supplémentaire, dans la mesure où l’article 92 du décret n° 2005-1309 du 20 octobre 2005 prévoit que toute demande écrite tendant à l’exercice de ces droits doit être accompagnée, pour être recevable, de la copie d’un titre d’identité. De même, pourrait être introduite l’obligation du responsable de traitement de transmettre aux personnes une preuve de l'exercice de leurs droits afin de faciliter le régime de la preuve (par exemple, permettre aux personnes, exerçant leur droit d’opposition via un lien de désabonnement, de recevoir un email prouvant l’exercice de ce droit, constitutif d’une preuve en cas de non-respect de celui-ci).
  • La protection des mineurs : la loi de 1978 ne comporte aucune disposition propre aux mineurs, alors même que l’immense majorité d’entre eux utilise, notamment, les réseaux sociaux, et que les questions de e-réputation sont régulièrement liées à des données mises en ligne avant l’âge de la majorité. Il pourrait donc être proposé d’introduire dans la loi la possibilité d’obtenir l’effacement, notamment en ligne, de données à caractère personnel de mineurs, via l’exercice du droit d’opposition. Il conviendrait, soit de prévoir que l’exercice d’un tel droit est inconditionnel s’agissant des données portant sur une personne mineure (ce qui reviendrait à supprimer l’exigence d’un « motif légitime », actuellement prévu à l’article 38, dans cette hypothèse), soit de considérer que le fait que les données portent sur une personne mineure constitue en soi un motif légitime. Ce droit pourrait être exercé sur toute donnée collectée, traitée ou mise en ligne avant les 18 ans de la personne concernée. Ceci permettrait ainsi d’exercer un « droit à l’oubli » protecteur de la vie privée des intéressés, qui sont les plus vulnérables dans l’univers numérique.

 

Retrouvez les autres propositions de la CNIL :

La simplification des formalités et des règles applicables pour les entreprises

L’amélioration du cadre juridique de certains traitements publics

Le renforcement des relations entre la CNIL et les pouvoirs publics 

L’adaptation des pouvoirs de la CNIL, notamment en vue de renforcer l’efficacité et la crédibilité de la politique de contrôle et de sanction

Inria  Compte vérifié
#2658, le 14/01/2015 - 16:52

Droit à l'oubli

Au-delà du déréférencement, le droit à l’oubli pose la question du contrôle des données personnelles.

Pendant longtemps, la préoccupation principale a été de se souvenir, de ne pas oublier. Avec la révolution numérique, la mémoire est devenue la norme, et l’oubli l’exception, la difficulté.  Le défi est aujourd’hui de rééquilibrer la balance, de réhabiliter l’oubli dans un monde de mémoires. Ce défi n’est pas uniquement technique, il est aussi social et juridique, comme l’a montré récemment la décision de la Cour de justice de l’Union Européenne sur les moteurs de recherche. Cette décision va dans le bon sens même si elle ne conduit qu’à des déréférencements (et pas tous, pas partout), même si la conciliation du droit à l’oubli avec d’autres considérations comme le droit à  l’information, la liberté d’expression ou le devoir de mémoire est très délicate, même si son encadrement juridique est à revoir (pour éviter de faire d’acteurs privés les arbitres en la matière, il convient de remettre le juge au cœur du dispositif, comme l’ont suggéré de nombreux commentateurs).

L’expression « droit à l’oubli » elle-même est parlante mais trompeuse : elle laisse entrevoir un droit absolu alors que l’oubli ne peut pas l’être, ni dans la vie réelle, ni dans le monde numérique. Par ailleurs l’oubli, au sens commun, n’est pas forcément un acte délibéré. On interprète généralement l’oubli numérique de manière restrictive comme l’effacement des données. Or on sait que l’effacement est difficile à mettre en œuvre pour de multiples raisons techniques : multiplication des copies des données, soit explicites, soit de manière cachée dans la machinerie des systèmes (caches, sauvegardes, etc.), rémanence des données, etc. Cependant cette difficulté ne rend pas obsolète le « droit à l’oubli » en soi, elle condamne simplement une vision absolutiste du droit à l’oubli.

De fait, des solutions existent pour favoriser la mise en application du droit à l’oubli : certaines sont techniquement simples comme l’ajout systématique d’une date limite de conservation aux données et une gestion automatique des effacements par les systèmes d’exploitation (comme suggéré par Viktor Mayer-Schönberger) ou par les applications mais elles n’apportent pas de garanties très fortes dans le sens où elles peuvent être contournées par un acteur malveillant. Par exemple, la disparition apparente des messages Snapchat ne signifie absolument pas leur effacement effectif et différents outils ont été proposés pour sauvegarder des snaps ou récupérer des snaps « disparus ».

D’autres solutions apportent des garanties plus fortes au prix d’une plus grande complexité de mise en œuvre ou de déploiement: par exemple, l’effacement automatique peut être réalisé par un système sécurisé comme une carte à puce ou un module sécurisé (sans garantie cependant sur les éventuelles copies existant à l’extérieur du système). Autre option, le système EphPub (Ephemeral Publishing) permet de manipuler des données éphémères (messages électroniques, publications) qui disparaissent au bout d’un temps donné. Enfin, quand l’effacement se révèle hors de portée, une autre démarche consiste à rendre plus difficile l’accès aux données, par exemple en les noyant dans une masse d’informations (techniques de e-réputation).

De manière plus large, la mise en œuvre effective du droit à l’oubli relève du contrôle des individus sur leurs données personnelles. Ce contrôle peut être amélioré par des solutions décentralisées dans lesquelles les données restent proches de l’utilisateur et sous leur maîtrise effective. A titre d’exemple, des solutions décentralisées ont notamment été proposées pour des réseaux sociaux (Safebook, Diaspora, etc.). Elles permettent d’éviter qu’un acteur unique possède toutes les informations et s’octroie le droit de les garder sans limite de temps (comme Max Schrems a pu le constater quand il a demandé à Facebook les données qui le concernaient). 

Pour conclure :

  • Le droit à l’oubli ne peut pas être et ne doit pas être un droit absolu : une partie des faux débats à ce sujet découle d’une interprétation absolutiste du droit à l’oubli.
  • Le droit à l’oubli est difficile à mettre en œuvre mais il peut et doit être mieux assuré à l’avenir par des combinaisons d’instruments techniques, juridiques et sociaux. Certains existent déjà mais pour la plupart ils restent à améliorer ou à inventer.
Tru Do-Khac
#2623, le 13/01/2015 - 09:35

Oubli du droit moral des oeuvres de l'esprit

Les propriétés littéraires et artistiques sont souvent exploitées pour donner du sens à des discours à finalité commerciale
Par exemple,
- une photo d'une œuvre conservée dans un musée,
- un extrait d'article d'un journaliste,
- une photo d'un reporter,
- un dessin d'un humoriste,
...
On peine à retrouver l'auteur et la source cités en fin du discours à finalité commerciale. Pourtant, avec le numérique, la recherche et l'affichage sont faciles (moteur de recherche, tag HTML).

Syntec Numérique  Compte vérifié
#2568, le 08/01/2015 - 09:49

Quelle est la pertinence de reconnaitre un droit à l’oubli ? Quelle peut être son application aux usages et acteurs du monde numérique ?

Syntec Numérique souhaite préciser que le droit à l’oubli n’existe pas stricto sensu, alors que les droits d’opposition et de rectification existent déjà en droit français.
Notre questionnement porte sur deux axes :
- Quelle est la pertinence de reconnaitre un tel droit à l’oubli ?
- Quelle peut être son application aux usages et acteurs du monde numérique ?

1/ La création d’un droit à la marge de droits déjà existants
Le droit à l’oubli existe, sous diverses formes, dans différents textes, principalement la directive 95/46/CE du 24 octobre 1995, la convention 108 du conseil de l’Europe, la loi informatique et libertés de 1978 (modifiée en 2004), le Code civil (par le droit au respect de la vie privée), les règles de prescription en matière judiciaire.
Pour mémoire, les droits d’accès, d’information, d’opposition et de rectification existent dans la directive de 1995. Ces droits sont maintenus dans le projet de Règlement. La pertinence de l’ajout d’un droit à l’oubli stricto sensu se pose donc réellement. N’est-il pas une simple réponse politique à une question de comportement sur les réseaux ?
En outre, le projet de Règlement prend en considération le droit des personnes au sein des articles 15 et 19.
L’article 15 énonce ainsi que « la personne concernée a le droit d'obtenir, à tout moment, à sa demande, auprès du responsable du traitement, confirmation que les données à caractère personnel la concernant sont ou ne sont pas traitées. Lorsque ces données à caractère personnel sont traitées, le responsable du traitement fournit les informations suivantes : … l’existence du droit de demander au responsable du traitement la rectification ou l'effacement de données à caractère personnel relatives à la personne concernée ou de s'opposer au traitement de ces données ».
Quand bien même la CJUE, dans son arrêt « Google » du 13 mai 2014, a commencé à établir une jurisprudence favorable au droit au déréférencement, comment expliquer que ces dispositions claires et compréhensibles de l’article 15 soient complexifiées par la création d’un droit à l’oubli ?

Nous proposons « d’oublier » le droit à l’oubli, ceci d’autant plus qu’il a été inventé pour répondre à une seule situation, celle des réseaux sociaux (publication d’informations liées à la vie privée vers des personnes identifiées ou non). Le droit à l’oubli constitue par conséquent un dénominateur minimal et ne se place pas au service du plus grand nombre (comme a pu la faire la loi informatique et Libertés en 1978).
En réalité, le droit à l’effacement, tel que présent dans les différents textes, constitue une notion suffisamment souple pour être interprétée. Il n’est pas utile de la rigidifier dans un processus binaire.

2/ L’inapplicabilité du droit à l’oubli aux prestataires de services numériques

L’article 17-2 du projet de Règlement impose aux prestataires de services de prendre toutes les mesures raisonnables, pour ce qui concerne les données sous leur responsabilité, afin d’informer les tiers qui ont à traiter les données, que la personne demande l’effacement des liens vers ces données ou la reproduction de ces données.

Il convient de souligner que les prestataires de services n’ont pas :
- de connaissance absolue des personnes reprenant les données sur les réseaux ;
- de contrôle sur les données reprises par les tiers.
Il faudrait d’ailleurs différencier entre les données accessibles à un nombre indéterminé de personnes (sur lesquels il n’existe pas de contrôle possible, sauf à filtrer le trafic Internet en contradiction avec le principe de neutralité des réseaux) et les données accessibles à des tiers limitativement énumérés.
Il est clair que dans le monde numérique les données sont propagées rapidement, sans limite d’espace et sans que les parties concernées n’aient pour autant un lien contractuel.

Les prestataires n’ont pas vocation à surveiller les réseaux et toute mesure en ce sens irait à l’encontre des usages de l’Internet, du statut des intermédiaires techniques et consisterait à envisager l’utilisation de techniques d’interception des flux particulièrement invasives.

Au-delà, c’est parce que certains acteurs veulent a tout prix créer un droit sui generis à l’oubli que les prestataires n’ont qu’une issue : analyser les demandes au cas par cas et ainsi créer un premier degré de juridiction, échappant au contrôle du régulateur national.
A nouveau, est donné ici l’exemple d’une rigidification préjudiciable aux prestataires techniques, aux citoyens et aux institutions.
3/ Difficultés liées à l’efficacité du droit au déréférencement

La création d’un droit au déréférencement n’est pas anodine. La création d’une prérogative empiète sur d’autres déjà existantes.
Ainsi, le droit à l’information pertinente sera atteint par les demandes de déréférencement et le citoyen perdra des informations qui peuvent lui être utiles sur des personnes ou entreprises. Se pose donc la question de la cohabitation entre droit au déréférencement et droit à accéder à l’information.
Par ailleurs, il ne peut être fait reproche aux prestataires de faire disparaitre des mentions sur un site (ex .fr) et non sur un autre (ex .com). En effet, la jurisprudence et les textes européens leur feront obligation de déréférencer des liens, mais n’ont pas donné de principes directeurs pour le faire. Les prestataires doivent s’adapter à une notion nouvelle et à une charge technique et financière (le déréférencement suppose de la main d’œuvre). Ils ne sauraient être critiqués dans leur volonté d’agir alors que l’état de l’art n’existe pas.
Le déréférencement ne doit pas contredire le principe d’innovation qui sous-tend le droit à l’expérimentation, dans le cadre de la valorisation des données et de leur conservation, notamment avec les technologies Big data, qui font partie du cœur de filière du numérique français.

4 / Mobiliser les instruments de droit souple

Il est certain que des instruments de droit souples seront une réponse intéressante à la détermination de critères et de l’état de l’art en matière de déréférencement. Ils ne pourront prospérer sans l’implication des acteurs des réseaux et du monde numérique.
Un document peut être élaboré puis mis en place par une autorégulation des acteurs concernés, avec l’éventuelle collaboration des régulateurs nationaux et européens.
Si le juge devait intervenir dans le dispositif, il conviendra de définir quelle loi doit primer afin de lui donner des indications claires, par voie de circulaire ministérielle. Nous proposons que le juge ne connaisse que des cas critiques afin d’éviter l’engorgement des juridictions et d’éviter de soumettre les prestataires à des contraintes de procédures et pécuniaires allant bien au-delà de leurs obligations naturelles.
Les instruments d’autorégulation possèdent l’avantage de constituer un état de l’art de référence, sans pousser une fois de plus les intermédiaires techniques à bloquer des contenus qui semblent illicites. La place du juge n’en sera que réaffirmée.
Dans le but d'accélérer l'adoption de ces instruments, Syntec Numérique recommande la mise en place, en matière de données personnelles, de mécanismes incitatifs récompensant les efforts des entreprises dans leur mise en œuvre. Ainsi, la nomination d’un DPO, la sécurisation des transferts internationaux de données par des clauses contractuelles types ou l'adoption de BCR, une reconnaissance officielle par l’autorité de protection des données des efforts réalisés, la réduction du montant des amendes qu’elles pourraient encourir, à l’instar du mécanisme mis en place en France par l’Autorité de la Concurrence seraient autant de pistes à considérer.

Trans Europe Experts  Compte vérifié
#1671, le 28/11/2014 - 11:18

Le droit à l'oubli numérique pour garantir des risques de la perpétuité et de la globalité du Net

 

La problématique du droit à l’oubli doit être clairement circonscrite au domaine de l’Internet. La question n’est pas de porter atteinte à la liberté d’expression et d’information, qui constituent des garanties nécessaires dans toutes sociétés démocratiques. Il convient toutefois de prendre la mesure de la révolution numérique. Internet permet une remise en cause des frontières traditionnelles, temporelles comme géographiques. A la perpétuité du net répond la globalité de l’accessibilité à l’information (Pour voir l’ensemble des propositions sur cette question élaborées par le groupe de travail http://www.transeuropexperts.eu/index.php?part=4&sujet=263).

Comment faire ? Proposition des parties prenantes

Proposer une solution
Propositions dans le débat public  Compte vérifié
#92, le 30/09/2014 - 10:50

Confier au législateur la définition des principes devant régir l’équilibre entre le droit à la vie privée de la liberté d’expression et replacer le juge au coeur du dispositif

Afin que le droit au déréférencement ne devienne ni automatique ni entièrement soumis à la seule appréciation d’acteurs privés, il est nécessaire de réaffirmer le rôle du juge, seul à même de déterminer où s’arrête le droit à l’information et où commence la vie privée. Le législateur doit réfléchir au droit applicable en la matière: doit-on privilégier le droit des données personnelles ou bien plutôt le droit de la presse?

Propositions dans le débat public  Compte vérifié
#93, le 30/09/2014 - 10:50

Mobiliser des instruments de droit souple, pour fixer les orientations de mise en oeuvre du déréférencement

Il convient d’agir au niveau européen, en éditant par exemple des lignes directrices dont la création serait confiée à la CNIL, au titre de sa mission de contrôle du respect des droits d’opposition et d’effacement.

Propositions dans le débat public  Compte vérifié
#94, le 30/09/2014 - 10:51

Permettre aux éditeurs de sites concernés par les demandes de déréférencement de faire valoir leurs observations

Il s’agit d’introduire un argumentaire contradictoire et un droit aux éditeurs de faire valoir leurs arguments dans le cadre d’une procédure de déréférencement, notamment au sujet de l’intérêt du public à avoir accès à l’information. Il est nécessaire de réfléchir à une procédure assez souple, de façon à ne pas ralentir les demandes de déréférencement.

Paul-Olivier GIBERT
#2457, le 22/12/2014 - 23:12

Si un « droit au déréférencement » prenait corps, quel serait le rôle du CIL (ou du futur DPO) ?

Dans le cadre des réflexions menées par l’AFCDP, association qui représente les CIL et les professionnels de la conformité à la loi Informatique et Libertés, voici quelques pistes qui peuvent être imaginées concernant le rôle du CIL dans l’application d’un éventuel droit au déréférencement :

Tout d’abord...désigner un CIL, pour prendre en compte le sujet et entamer une réflexion ;
Recenser les processus d'indexation existants ;
Commencer par faire respecter les droits existants ;
Mettre le CIL en avant, par exemple comme point de contact pour les demandes de désindexation ;
Formaliser une procédure avant publication sur le site Web, par exemple pour éviter l'indexation par les moteurs de recherche ;
Créer une procédure de gestion des demandes de désindexation ;
Réfléchir à la formalisation d’une durée de vie pour les éléments postés ;
Etudier la possibilité d’utiliser des métadonnées permettant la gestion des durées de vie et des purges ;
Se former sur les techniques de désindexation ;
Sensibiliser les Webmaitres/Webmaster ;

Propositions dans le débat public  Compte vérifié
#91, le 30/09/2014 - 10:50

Permettre des décisions uniques, valables pour l’ensemble des moteurs de recherche, sur les demandes de déréférencement

Il s’agit d’instaurer, par exemple, une reconnaissance mutuelle de décisions prises par chaque exploitant, par voie d’accords volontaires, en créant une instance commune chargée de mutualiser les charges, ou par une loi permettant l’extension des décisions de déréférencement homologuées par le juge.

Alain Bensoussan  Compte vérifié
#1982, le 09/12/2014 - 10:32

Créer une loi sur les droits de l’homme numérique

Créer une loi sur les droits de l’homme numérique sous forme de texte court reprenant les principes cardinaux nouveaux et préexistants.

Alain Bensoussan  Compte vérifié
#1981, le 09/12/2014 - 10:30

Droit à l’intimité numérique

Créer un droit à l'intimité numérique.

Alain Bensoussan  Compte vérifié
#1972, le 09/12/2014 - 10:12

Renforcer le droit à la dignité

CCI Paris Ile-de-France  Compte vérifié
#1607, le 27/11/2014 - 16:11

La mise en oeuvre de l'oubli par le diffuseur

A priori, ce droit à l’oubli ne semble pas faire double emploi avec l’actuel droit à la suppression des données inexactes, incomplètes, équivoques ou périmées. A l’époque des forums en ligne et des réseaux sociaux, il n’est pas choquant dans son principe. Mais en pratique, il en va différemment. Le responsable n’ayant pas systématiquement le contrôle des données ainsi publiées. C’est à l’égard du diffuseur que cette mesure devrait s’exercer, les citoyens conservant leur droit d’opposition. C’est pourquoi, il serait plus judicieux que le responsable du traitement avertisse l’autorité de contrôle qui mettra alors en demeure le tiers diffuseur de procéder à l’effacement des données concernées.

Proposition extraite du rapport de la CCI Paris Île-de-France : www.cci-paris-idf.fr/etudes

FIEEC  Compte vérifié
#1186, le 17/11/2014 - 17:46

Droit à l'oubli et déréférencement-FIEEC-1416242808

Dans le prolongement de l’arrêt CJCE du 13 mai 2014, il est nécessaire de trouver un équilibre entre la possibilité pour l’utilisateur de demander le déréférencement et le droit du public à l’information et à la liberté d’expression. La FIEEC est favorable à une clarification et à une harmonisation des règles relatives au déréférencement.

GESTE  Compte vérifié
#1992, le 09/12/2014 - 17:37

Droit à l'oubli - Positions du GESTE

Le GESTE a publié diverses contributions concernant le droit à l'oubli et ses modalités d'application. Ces documents pourront utilement contribuer aux débats sur ce sujet :

 

Trans Europe Experts  Compte vérifié
#1672, le 28/11/2014 - 11:20

Une consécration d'un droit à l'oubli numérique strictement circonscrit.

 

Il est nécessaire de prévoir des moyens offerts aux individus pour préserver leur vie privée face à cette immensité et cette éternité du net. Le droit à l’oubli numérique ne doit être vu que comme une adaptation du droit d’opposition et de retrait qui existe en matière de protection des données à caractère personnel. La mise en œuvre de ce droit doit être proportionnée au but poursuivi, conformément à la balance des intérêts qui doit présider à tout concours de libertés fondamentales. En ce sens, le déréférencement de l’information sans porter atteinte à l’information d’origine est sans nul doute l’illustration d’une application mesurée du droit à l’oubli numérique tel qu’il devrait être expressément consacré par le législateur (Pour voir l’ensemble des propositions sur cette question élaborées par le groupe de travail http://www.transeuropexperts.eu/index.php?part=4&sujet=263)

emmanuel cauvin
#1415, le 23/11/2014 - 21:32

Localisation du client par le numéro IP

La solution va consister à géolocaliser le client par son numéro IP, afin de déterminer s’il se trouve, ou non, dans la juridiction de la Cour. Le numéro IP est déjà collecté par Google, qui dispose donc des ressources lui permettant de s’exécuter, c'est-à-dire de faire ce que la justice lui ordonne de faire.

Les décisions des tribunaux s’appliquent à la régie publicitaire Google Inc. comme à n’importe quel justiciable. Le "Comité consultatif" mis sur pied par Google pour trancher les cas difficiles mettant en jeu la liberté d'information est une mauvaise farce, une manœuvre de diversion. Google doit exécuter la décision de la Cour de justice ! Google n'a aucune légitimité pour venir s'ériger en tribunal du Web !

Chaque ordinateur connecté à Internet est identifié par un numéro, appelé « adresse IP », (Internet protocol). Étant donné que ces numéros sont généralement attribués par groupe de pays, une adresse IP permet souvent d’identifier le pays dans lequel se trouve l’ordinateur connecté à Internet (dixit Google, Dernière modification le 31 mars 2014). Le numéro IP du client est bel et bien collecté à chaque recherche : s’il n’identifie pas nécessairement une personne, il pointe un ordinateur au moment de la connexion (c’est sa finalité). Google sait donc où vous vous trouvez ! Un ordinateur, quincaillerie informatique, n’est pas dans un « nuage » de passage dans l’Ether numérique (l’Etherciel), il ne surfe pas sur des serveurs éparpillés aux quatre coins du monde, il est bien situé quelque part sur la surface du globe.

L'ordinateur est le point d'ancrage à retenir pour une application effective et conforme de la décision sur le "droit à l'oubli".

http://etherciel.over-blog.com/article-l-application-par-google-de-la-de...

Kus
#413, le 06/10/2014 - 21:20

Permettre l'anonymisation à la source

Les droits et la liberté de la presse ont été façonné pour un presse de l’éphèmère. Les archives ont toujours été consultables, mais jamais de manière aussi aisée qu'aujourd’hui. Les journaux ayant sans cesse des archives publiques et référencées qui croissent (tant vers l'avenir avec les années que vers le passé par la numérisation), il est grand temps de réfléchir à remettre en cause certains principes:

  1. Au bout d'une période à déterminer, il serait possible de demander son anonymisation à un éditeur. (La réflexion sur les critères est la même que pour le référencement)
  2. L'éditeur cacherait ainsi le nom de la personne dans l'article incriminé.
  3. L'éditeur aurait la possibilité de laisser, s'il le souhaite, le nom non-censuré dans une navigation avec connexion (gratuite ou payante), ceci empêcherait ainsi le référencement de manière efficace, sans toutefois censurer l’information.

Bien entendu il reste toujours le problème des éditeurs à l’étranger, mais le problème est le même que pour les moteurs de recherche.
 

Corbeille

Les messages se trouvant dans la corbeille sont des arguments ou des propositions signalés abusifs par les utilisateurs ou le CNNum. Les contenus signalés sont examinés par l'équipe du CNNum afin de déterminer s'ils enfreignent le règlement. En cas de non-respect du règlement, les comptes concernés sont pénalisés et des infractions graves ou répétées peuvent entraîner leur fermeture.

Accéder à la corbeille