Et si les publications sur Facebook pouvaient nous nuire dans la vie réelle ? La question mérite qu’on s’y intéresse car les exemples de personnes ayant été démises de leurs fonctions en raison d’anciennes publications controversées sont nombreux. Même chose pour les personnes à la recherche d’un emploi : un postulant qui perd sa chance d’être embauché parce que son futur employeur a trouvé une vidéo de lui sur internet où ledit postulant tient des propos critiquables et politiquement incorrects. Telle est la réalité des profils de réseaux sociaux en ligne.

C’est pour éviter ce genre de situation et afin de mieux protéger la vie privée que le droit à l’oubli numérique a été instauré. Et son renforcement constitue aujourd’hui l’un des plus grands axes du nouveau règlement sur la protection des données (RGPD). Ce dernier oblige notamment tout responsable du traitement à mettre en place un système facile à appréhender permettant aux personnes concernées d’exercer le droit à l’oubli en toute liberté. Force est de constater que malgré l’existence de cette disposition légale, beaucoup ignorent encore la portée du droit à l’oubli et ses modalités d’exercice.

Qu’est-ce que le droit à l’oubli numérique ?

Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014. Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.

Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement. Dans son article 17, le nouveau règlement sur la protection des données hisse le droit à l’oubli numérique à un droit à l’effacement. Dorénavant donc, la personne qui exerce son droit à l’oubli peut demander l’effacement de ses données personnelles, et ce à partir du moment où il n’existe plus de raison légitime pour les conserver. On ne parle donc plus de déréférencement, c’est-à-dire une simple exclusion des moteurs de recherche, mais d’effacement total d’un contenu qui pourrait nuire (article de presse, photo…).

Mise en œuvre du droit à l’oubli

Pour exercer son droit à l’oubli, la personne concernée doit en faire la demande auprès du responsable du traitement, l’organisation qui traite ses données. Une fois saisi, le responsable du traitement doit traiter la demande dans les meilleurs délais. Si la personne concernée ne reçoit pas de nouvelles ou si elle essuie un refus, elle peut saisir la CNIL qui mènera une enquête. Si la demande est bien fondée, la CNIL a le pouvoir de forcer le responsable du traitement à s’exécuter.

Il est toutefois important de préciser que le droit à l’oubli s’exerce sous certaines conditions.

Il ne concerne pas les traitements réalisés pour des motifs d’intérêt public (santé publique, statistique, scientifique, archivage et historique). Il est également limité si le traitement concerne les intérêts légitimes du responsable du traitement. C’est une disposition prévue par l’article 6 du RGPD, un article vu par beaucoup comme une disposition fourre-tout parce qu’il prête à interprétation. Les intérêts légitimes du responsable du traitement peuvent consister en sa sécurité, la lutte contre la fraude… Une disposition qui permettrait dans une certaine mesure d’éviter l’application de la loi. Enfin, le droit à l’oubli ne peut être exercé si le traitement est réalisé pour la constatation, l’exercice ou la défense des droits en justice ou encore pour l’exercice du droit à la liberté d’expression et d’information.