Page 26 - RIMD_2011-1
P. 26
26 | Le droit à l’oubli numérique : perspective comparée
l’attribution de dommages et intérêts, le préjudice subi par les victimes lorsque le
mal est déjà fait.
Il y a néanmoins un domaine où l’on commence à réguler a priori, c’est en
matière de « data retention » des données de connexion sur Internet. Il s’agit en
effet de définir en amont un temps de conservation des données obligatoires. Il
s’agit en fait d’une double obligation (i) obligation de conserver les données
pour une période définie afin de pouvoir identifier rétroactivement les personnes
ayant commis des actes illicites sur Internet (ii) une obligation de détruire ces
données à l’issue de cette période : une manière donc de consacrer là aussi un
droit à l’oubli cette fois strictement numérique.
Le principe de conservation des données a été consacré pour la première fois
21
dans la Recommandation 509 du Conseil de l’Europe , réaffirmé par le principe
22
4 de la Résolution 73 (22) : les individus doivent être protégés des atteintes qui
peuvent résulter de la durée de conservation des données trop élevée. Ce
raisonnement fait clairement écho aux impératifs édictés en matière de
prescription : prendre en compte l’effet et le passage du temps sur la recherche
des infractions.
23
Sur le modèle de la Directive Européenne 95-46 , la loi Canadienne PIPEDA
(Personal Information Protection and Electronic Document Act) a introduit une
obligation générale de ne conserver les données que pendant la durée nécessaire
24
à l’accomplissement de la finalité prévue lors de la collecte des données . Cette
loi va jusqu’à instaurer des "best practices" à destination des utilisateurs des
données, recommandant notamment la destruction ou l’anonymisation des
données après un certain temps.
De même, une proposition de loi américaine pourrait également concrétiser le
droit à l’oubli numérique (un peu à l’image de la proposition de loi française sur
le droit à la vie privée à l’heure du numérique déposée par les sénateurs
25
Détraigne et Escoffier ) en se basant sur un système proche des injonctions de
retrait déjà utilisées en cas de violation de copyright.
26
En effet, le « Cyber Privacy Act » imposerait aux sites Internet de retirer
« promptement » toute information personnelle publiée, sur simple injonction de
la part du principal intéressé. Cela se rapproche beaucoup, en cela, du fameux
27
Digital Millenium Copyright Act qui impose aux hébergeurs d’enlever tout
contenu protégé sur injonction d’un ayant droit. En attendant, l’Electronic
21 Recommandation 509 (1968) relative aux droits de l’homme et aux réalisations scientifiques et
technologiques modernes.
22 Résolution (73) 22 sur la protection des données à caractère personnel dans les traitements
automatiques de banques de données dans les secteurs privé.
23 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données.
24 J. Warner, « The Right to Oblivion : Data Retention from Canada to Europe in Three Backward
Steps », University of Ottawa Law & Technology Journal, Vol. 2, No. 1, p. 75, 200, SSRN,
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=777844.
25 Proposition de Loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, présentée
par M. Yves Détraigne et Mme Anne-Marie Escoffier, Sénateurs, enregistrée à la Présidence du
Sénat le 6 novembre 2009, http://www.senat.fr/leg/ppl09-093.pdf.
26 Bill Text 111 Congress (2009-2010) H.R.5108.IH, Cyber Privacy Act
th
27 The Digital Millenium Copyright Act, Public Law 105-304-Oct. 28, 1998,
http://www.copyright.gov/legislation/pl105-304.pdf.
RIMD – n° 1 – 2011
l’attribution de dommages et intérêts, le préjudice subi par les victimes lorsque le
mal est déjà fait.
Il y a néanmoins un domaine où l’on commence à réguler a priori, c’est en
matière de « data retention » des données de connexion sur Internet. Il s’agit en
effet de définir en amont un temps de conservation des données obligatoires. Il
s’agit en fait d’une double obligation (i) obligation de conserver les données
pour une période définie afin de pouvoir identifier rétroactivement les personnes
ayant commis des actes illicites sur Internet (ii) une obligation de détruire ces
données à l’issue de cette période : une manière donc de consacrer là aussi un
droit à l’oubli cette fois strictement numérique.
Le principe de conservation des données a été consacré pour la première fois
21
dans la Recommandation 509 du Conseil de l’Europe , réaffirmé par le principe
22
4 de la Résolution 73 (22) : les individus doivent être protégés des atteintes qui
peuvent résulter de la durée de conservation des données trop élevée. Ce
raisonnement fait clairement écho aux impératifs édictés en matière de
prescription : prendre en compte l’effet et le passage du temps sur la recherche
des infractions.
23
Sur le modèle de la Directive Européenne 95-46 , la loi Canadienne PIPEDA
(Personal Information Protection and Electronic Document Act) a introduit une
obligation générale de ne conserver les données que pendant la durée nécessaire
24
à l’accomplissement de la finalité prévue lors de la collecte des données . Cette
loi va jusqu’à instaurer des "best practices" à destination des utilisateurs des
données, recommandant notamment la destruction ou l’anonymisation des
données après un certain temps.
De même, une proposition de loi américaine pourrait également concrétiser le
droit à l’oubli numérique (un peu à l’image de la proposition de loi française sur
le droit à la vie privée à l’heure du numérique déposée par les sénateurs
25
Détraigne et Escoffier ) en se basant sur un système proche des injonctions de
retrait déjà utilisées en cas de violation de copyright.
26
En effet, le « Cyber Privacy Act » imposerait aux sites Internet de retirer
« promptement » toute information personnelle publiée, sur simple injonction de
la part du principal intéressé. Cela se rapproche beaucoup, en cela, du fameux
27
Digital Millenium Copyright Act qui impose aux hébergeurs d’enlever tout
contenu protégé sur injonction d’un ayant droit. En attendant, l’Electronic
21 Recommandation 509 (1968) relative aux droits de l’homme et aux réalisations scientifiques et
technologiques modernes.
22 Résolution (73) 22 sur la protection des données à caractère personnel dans les traitements
automatiques de banques de données dans les secteurs privé.
23 Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la
protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la
libre circulation de ces données.
24 J. Warner, « The Right to Oblivion : Data Retention from Canada to Europe in Three Backward
Steps », University of Ottawa Law & Technology Journal, Vol. 2, No. 1, p. 75, 200, SSRN,
http://papers.ssrn.com/sol3/papers.cfm?abstract_id=777844.
25 Proposition de Loi visant à mieux garantir le droit à la vie privée à l’heure du numérique, présentée
par M. Yves Détraigne et Mme Anne-Marie Escoffier, Sénateurs, enregistrée à la Présidence du
Sénat le 6 novembre 2009, http://www.senat.fr/leg/ppl09-093.pdf.
26 Bill Text 111 Congress (2009-2010) H.R.5108.IH, Cyber Privacy Act
th
27 The Digital Millenium Copyright Act, Public Law 105-304-Oct. 28, 1998,
http://www.copyright.gov/legislation/pl105-304.pdf.
RIMD – n° 1 – 2011
