Page 35 - RIMD_2011-1
P. 35
Revue de l’Institut du Monde et du Développement | 35
Première observation : on ne PEUT pas oublier sous l’effet de la volonté, fut-ce
sous la contrainte de la loi. Une loi qui imposerait un devoir d’oublier, corollaire
du droit à l’oubli n’aurait pas de sens.
B. Le droit à l’oubli numérique, une formule « pense-bête »
En réalité, cette formule sert dans le contexte évoqué à désigner autre chose.
Il s’agit de l’obligation des responsables de traitement de fixer une durée de
conservation – qui devrait correspondre au temps nécessaire à la finalité du
traitement. À l’issue du traitement, les responsables ont l’obligation, en théorie
de détruire ou d’effacer les données en question.
Mais pourquoi désigner ainsi cette obligation ? On pourrait avancer plusieurs
justifications.
En premier lieu, cette obligation a une nature hybride. Certes, il s’agit d’une
obligation d’origine légale. Cependant, le régime particulier propre aux
modalités d’exécution de cette obligation légale a une nature contractuelle. C’est
au sein par exemple, d’un contrat de souscription à un service en ligne, que le
responsable de traitement s’engagera à ne conserver les données que pour le
temps nécessaire à l’exécution du contrat dans telles conditions de sécurité, pour
telle finalité, pour telles catégories de destinataires.
Ainsi, lorsque nous souscrivons à un service sur Internet, ou même lorsqu’on
signe un contrat de travail ou une convention de compte-courant, on accepte de
divulguer des données à caractère personnel, le responsable s’engageant alors à
ne conserver les données que pour la durée définie contractuellement.
Ainsi, il est permis de s’interroger : en cas de manquement du responsable de
traitement, sur quel fondement la personne concernée aura intérêt à intenter une
action en responsabilité ?
On pourrait penser à engager la responsabilité délictuelle de l’opérateur, ayant
pour fondement un manquement à une obligation d’origine légale. Pourtant,
l’existence d’un contrat aura pour conséquence d’attraire le litige sur le terrain
contractuel.
Par ailleurs, l’obligation de ne pas conserver les données est en fait une
obligation qui « survit à la mort du contrat », dans la mesure où même lorsque le
consommateur décide de résilier le contrat en question, l’obligation de
confidentialité et celle de ne pas traiter les données par la suite, engage toujours
le responsable du traitement après la résiliation, c’est-à-dire alors que le contrat
n’existe plus.
C’est d’ailleurs un des problèmes relatifs à l’utilisation du réseau social
Facebook : les demandes de désinscription, c’est-à-dire de résiliation sont
traitées comme des demandes de suspension, ce qui se traduit par une
désactivation du compte, une forme d’amnésie temporaire du système. Les
données ne sont pas détruites ou effacées puisque le compte peut être réactivé à
tout moment, de sorte que dans ce cas précis, la règle est le « droit à l’oubli
temporaire » ou le « droit à l’oubli réversible ».
Il existe d’autres zones grises du même type.
Ainsi, en matière de droit social, un recruteur peut être amené à conserver des
informations sur les candidats, notamment des données sensibles. Combien de
temps peut-il garder ces données au vue de la finalité du traitement, i.e. le
recrutement ? Le temps de recruter un collaborateur ? Un temps plus long
RIMD – n° 1 – 2011
Première observation : on ne PEUT pas oublier sous l’effet de la volonté, fut-ce
sous la contrainte de la loi. Une loi qui imposerait un devoir d’oublier, corollaire
du droit à l’oubli n’aurait pas de sens.
B. Le droit à l’oubli numérique, une formule « pense-bête »
En réalité, cette formule sert dans le contexte évoqué à désigner autre chose.
Il s’agit de l’obligation des responsables de traitement de fixer une durée de
conservation – qui devrait correspondre au temps nécessaire à la finalité du
traitement. À l’issue du traitement, les responsables ont l’obligation, en théorie
de détruire ou d’effacer les données en question.
Mais pourquoi désigner ainsi cette obligation ? On pourrait avancer plusieurs
justifications.
En premier lieu, cette obligation a une nature hybride. Certes, il s’agit d’une
obligation d’origine légale. Cependant, le régime particulier propre aux
modalités d’exécution de cette obligation légale a une nature contractuelle. C’est
au sein par exemple, d’un contrat de souscription à un service en ligne, que le
responsable de traitement s’engagera à ne conserver les données que pour le
temps nécessaire à l’exécution du contrat dans telles conditions de sécurité, pour
telle finalité, pour telles catégories de destinataires.
Ainsi, lorsque nous souscrivons à un service sur Internet, ou même lorsqu’on
signe un contrat de travail ou une convention de compte-courant, on accepte de
divulguer des données à caractère personnel, le responsable s’engageant alors à
ne conserver les données que pour la durée définie contractuellement.
Ainsi, il est permis de s’interroger : en cas de manquement du responsable de
traitement, sur quel fondement la personne concernée aura intérêt à intenter une
action en responsabilité ?
On pourrait penser à engager la responsabilité délictuelle de l’opérateur, ayant
pour fondement un manquement à une obligation d’origine légale. Pourtant,
l’existence d’un contrat aura pour conséquence d’attraire le litige sur le terrain
contractuel.
Par ailleurs, l’obligation de ne pas conserver les données est en fait une
obligation qui « survit à la mort du contrat », dans la mesure où même lorsque le
consommateur décide de résilier le contrat en question, l’obligation de
confidentialité et celle de ne pas traiter les données par la suite, engage toujours
le responsable du traitement après la résiliation, c’est-à-dire alors que le contrat
n’existe plus.
C’est d’ailleurs un des problèmes relatifs à l’utilisation du réseau social
Facebook : les demandes de désinscription, c’est-à-dire de résiliation sont
traitées comme des demandes de suspension, ce qui se traduit par une
désactivation du compte, une forme d’amnésie temporaire du système. Les
données ne sont pas détruites ou effacées puisque le compte peut être réactivé à
tout moment, de sorte que dans ce cas précis, la règle est le « droit à l’oubli
temporaire » ou le « droit à l’oubli réversible ».
Il existe d’autres zones grises du même type.
Ainsi, en matière de droit social, un recruteur peut être amené à conserver des
informations sur les candidats, notamment des données sensibles. Combien de
temps peut-il garder ces données au vue de la finalité du traitement, i.e. le
recrutement ? Le temps de recruter un collaborateur ? Un temps plus long
RIMD – n° 1 – 2011
