Dans un arrêt du 10 septembre 2014, la Cour de cassation a considéré que l’utilisation d’un nom patronymique au sein d’une « meta balise » ne relève pas du champ d’application de la loi Informatique et libertés.
Une meta balise est une commande du langage HTML, destinée à faciliter le référencement par les moteurs de recherche sur internet des pages qui le supportent.
Dans cette affaire, un blogueur qui avait mis en ligne des informations sur des tiers, avait introduit leurs nom et prénoms en » meta balises » dans le code source du site, afin d’orienter les recherches des internautes les concernant sur les pages de son blog. Décidés à faire cesser ces agissements, les tiers concernés ont assigné le blogueur en invoquant une atteinte à leur vie privée (1), la responsabilité pour faute du blogueur pour les préjudices qui leur a été causés, ainsi que le non-respect des formalités préalables à la mise en œuvre d’un traitement de données à caractère personnel.
Or, adaptant les motifs de la Cour d’appel, la Cour de cassation a rejeté l’ensemble des moyens soulevés par les demandeurs, permettant ainsi au blogueur de continuer à utiliser le nom des tiers dans le code source de son blog pour en faciliter le référencement par les moteurs de recherche et en jetant le trouble sur la définition de traitement de données à caractère personnel…
En effet, la cour de cassation considère par motif adopté que l’utilisation d’un nom patronymique au sein de « meta balise » pour faciliter l’indexation de la page web qui le supporte, exclusive de toute autre donnée personnelle relative à la personne concernée, ne relève pas du champ d’application de la loi Informatique et libertés, autrement dit ne constitue pas un traitement automatisés de données à caractère personnel…
N’ayant aucun doute sur le fait que le nom patronymique constitue une donnée à caractère personnel, la question qui se posait en l’espèce était de savoir si son utilisation en tant que meta balise dans le code source d’un site internet pouvait constituer « un traitement » au sens de l’article 2 de la loi Informatique et libertés.
A ce titre, l’article 2 de la loi Informatique et libertés dispose que « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction. »
En l’espèce, le nom patronymique est utilisé par le blogueur, qui l’enregistre dans les codes sources de la page, pour qu’il soit lu par le moteur de recherche, cette lecture entrainant une indexation spécifique sur le moteur de recherche…
La Cour de Justice de l’Union Européenne a considéré dans un arrêt du 6 novembre 2003 que la seule opération consistant à faire figurer, sur une page Internet, des données à caractère personnel constituait un traitement de données à caractère personnel (2). De son côté la Cnil, considère de façon constante « qu’il ne saurait être contesté sérieusement que la diffusion de données à caractère personnel sur un site internet constitue un traitement au sens de l’article 2 de la loi Informatique et libertés » (3).
Cette position de la Cour de Cassation est à surveiller pour savoir si elle se confirme dans la mesure où elle interprète la notion de traitement de données à caractère personnel de manière plutôt restrictive, alors que les autorités de protection lui concèdent habituellement une portée étendue.
Dans un tel contexte, cet arrêt de la cour de cassation doit être pris avec précaution et les éditeurs de site internet utilisant les techniques de référencement par « meta balise », doivent rester extrêmement vigilants quant aux éléments qu’ils y inscrivent.
Céline Avignon
Anaïs Gimbert-Bonnal
Lexing, Droit Informatique et libertés Contentieux
(1) Cf. post du 08-10-2014.
(2) CJCE, 6-11-2003, aff. C-101/01, Bodil Lindqvist, EU:C:2003:596, point 25
(3) Cnil, Délib. n°2014-040 du 29-1-2014