L’Application territoriale de la loi informatique et libertés est notamment problématique concernant la société Google.
L’article 2 alinéa 1 de la loi Informatique et libertés prévoit que cette loi s’applique « lorsque leur responsable [de traitement] remplit les conditions prévues à l’article 5 ».
L’article 5 de la loi Informatique et libertés pose le principe de territorialité de la loi :
« I. – Sont soumis à la présente loi les traitements de données à caractère personnel :
1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi.
2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.
II. – Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui ».
a. Critère lié à l’établissement de la personne sur le territoire français.
La loi considère que le responsable de traitements qui « exerce une activité sur le territoire français dans le cadre d’une installation quelle que soit sa forme juridique, y est considéré comme établi ».
L’article ne vise donc pas le lieu du siège social du responsable de traitement mais bien toute entité par laquelle il opère le traitement de données à caractère personnel. Autrement dit il peut s’agir d’une succursale ou d’une filiale.
Une simple domiciliation sans activité effective associée à l’installation ne suffirait pas à satisfaire le critère d’avoir un établissement sur le territoire français.
b. Critère de territorialité des moyens utilisés.
Indépendamment du fait que le responsable de traitements soit ou non établi sur ce territoire français, un autre critère permet l’applicabilité de la loi Informatique et libertés : des moyens utilisés en France. La notion de « moyens utilisés » est entendue très largement et englobe notamment :
-Les équipements informatiques.
-L’exploitation effective des traitements et ce même si les équipements sont localisés dans un autre pays.
-Le personnel dédié à la gestion des équipements ou à l’exploitation des ressources.
La jurisprudence concernant Google a évolué récemment :
–Dans une ordonnance du 14 avril 2008 du TGI de Paris : Google échappe à la loi informatique et liberté.
Bien que la demanderesse soit française, le juge écarte la loi « Informatique et libertés ». Pour cela, il s’appuie sur son article 5 qui prévoit que les traitements de données personnelles soumis à la loi de 1978 modifiée en 2004 sont ceux dont le responsable est établi en France ou qui a recours à des moyens de traitement situés en France. En l’occurrence, Google.fr, site à partir duquel les messages en question ont été envoyés et consultés, est édité par Google Inc., société américaine dont les serveurs se trouvent en Californie. Cette dernière dispose bien d’une filiale en France, mais le tribunal considère que celle-ci n’agit qu’en qualité de simple agent qui ne dispose d’aucun mandat pour administrer le moteur de recherche ou le service Google Groupes.
Le TGI a par ailleurs refusé l’application de la loi française, sur le fondement de l’exception d’ordre public. Cette règle de droit international privé permet au tribunal d’imposer le choix de la loi française s’il estime que le droit étranger compromettrait les valeurs fondamentales de notre droit.
–Dans une ordonnance de référé du 28 octobre 2010, le TGI de Montpellier la loi informatique et liberté vient s’appliquer à Google.
Le juge des référés ne s’est pas attardé sur la question de l’application de la loi de 1978 modifiée à Google Inc., société de droit américain dont les serveurs sont situés outre-Atlantique. Il s’est contenté de faire référence à l’article 5 de la loi qui prévoit les règles de compétence territoriale de ses dispositions, en indiquant que la loi s’applique « lorsque leur responsable remplit les conditions prévues à l’article 5 ».
-Concernant la même affaire, l’arrêt du 29 septembre 2011 de la Cour d’appel de Montpellier confirme le jugement du 28 octobre 2010, et la loi informatique et liberté vient à nouveau s’appliquer à Google.
« Or, dans le cadre de ses opérations d’indexation consistant en l’analyse par ses logiciels de dizaines de milliards de pages internet de par le monde dans le but de les indexer pour les mettre ensuite à la disposition des utilisateurs de ses services, la société GOOGLE INC, qui a elle-même ses propres serveurs de stockage dans différents pays de la Communauté européenne, utilise et a nécessairement besoin à des fins de traitement de l’ensemble des moyens que constituent les ordinateurs individuels et les serveurs lesquels, en ce qui concerne les sites incriminés dans le présent litige et libellés en langue française, sont nécessairement dans leur grande majorité, implantés sur le territoire français ou sur le territoire d’un Etat membre de le la communauté européenne.
Il convient en conséquence de considérer que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est bien territorialement applicable à la société GOOGLE INC. »
–Le 15 février 2012, le tribunal de grande instance de Paris a été saisi en référé d’une demande semblable à celle exposé ci-dessus : une femme qui dans sa jeunesse, avait tourné dans des films pornographiques, demandait que Google désindexer les liens renvoyant vers ces films. Sa demande était fondée sur le droit au respect de sa vie privée et sur son droit d’opposition au titre de la loi informatique et libertés.
Le tribunal a constaté une atteinte au droit au respect à la vie privée et a ordonné à Google Inc. De désindexer les pages en cause. Le tribunal s’est surtout attaché à vérifier la responsabilité de Google au sens de la LCEN, et n’a pas évoqué la question de l’application territoriale de la loi informatique et libertés.
–Le 6 novembre 2013, la 17ème chambre du TGI de Paris ordonne à Google de retirer et de cesser, pendant une durée de cinq années, l’affichage sur le moteur de recherche Google images qu’elle exploite, des neuf images dont Max Mosley a demandé l’interdiction. Cette décision se base sur le respect de la vie privée.
Dans ses demandes la partie défendant Max Mosley invoque la loi informatique et liberté (page 3), mais les juges ne reprennent pas cet argument dans leur décision.
Il semble que les dernières décisions rendues se penchent plus vers la protection de la vie privée. La question territoriale du traitement des données étant écartée.
–Le 13 mai 2014, dans l’arrêt « Google Spain » la Cour de justice de l’Union européenne se prononce notamment sur le droit à l’oubli et sur l’application territoriale de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. la Cour observe que Google Spain constitue une filiale de Google Inc. sur le territoire espagnol et, partant, un « établissement » au sens de la directive. La Cour rejette l’argument selon lequel le traitement de données à caractère personnel par Google Search n’est pas effectué dans le cadre des activités de cet établissement en Espagne. La Cour considère à cet égard que, lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers, dispose d’un établissement dans un État membre, le traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier.
Benoît Bellaïche
b.bellaiche@gmail.com