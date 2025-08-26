Le droit à l’oubli en Europe et aux États-Unis : vers un alignement normatif mondial ?
À l’intersection de la mémoire digitale et des droits individuels émerge un concept essentiel : le droit à l’oubli. Ce principe incarne l’un des défis les plus cruciaux de notre ère technologique : réconcilier la permanence des traces numériques avec la protection des libertés fondamentales. En Europe, ce droit trouve sa consécration dans le règlement général sur la protection des données, qui confère aux individus le pouvoir d’exiger l’effacement de leurs informations personnelles en ligne. À l’inverse, les États-Unis adoptent une posture distincte, favorisant la liberté d’expression. À l’heure où internet et les réseaux sociaux deviennent le théâtre d’un dialogue entre souverainetés, une convergence entre ces deux modèles relèverait-elle du compromis pragmatique ou d’une véritable reconfiguration des paradigmes juridiques ?
Dans The Great Convergence1 publié aux Presses universitaires d’Harvard, Richard Baldwin décrit un monde en mutation où les frontières économiques et technologiques s’estompent, entraînant une interdépendance croissante des sociétés. D’abord circonscrite aux échanges commerciaux, cette dynamique gagne désormais la sphère juridique, bien que des différences semblent subsister. Le droit à l’oubli en constitue un exemple révélateur, cristallisant la tension entre universalisation des technologies et diversité des régulations. La conception européenne est fondée sur l’autonomie informationnelle. De leur côté, les États-Unis érigent la liberté d’expression en pilier de leur ordre juridique. À ce titre, comme le souligne Lawrence Lessig2, professeur à Harvard, la suppression d’informations y demeure une exception. Cette opposition révèle une fracture plus large entre deux visions : l’une protectrice des droits individuels, l’autre orientée vers l’efficience du marché. Elle se double d’un déplacement du pouvoir normatif : certaines entreprises numériques exercent une souveraineté fonctionnelle en définissant leurs propres règles de gestion des données et de résolution des conflits. Dans un contexte où, selon des auteurs, « l’information a rejoint le pétrole, les tanks et l’argent comme monnaie d’échange clé des affaires internationales »3, le droit à l’oubli constitue un marqueur de la souveraineté numérique en ce qu’il permet aux États de revendiquer un encadrement de la circulation des données personnelles dans un espace globalisé. Sous l’effet de la mondialisation des flux d’informations, des pressions sociales croissantes et de certaines évolutions jurisprudentielles, un rapprochement normatif semble se dessiner. Dès lors, plusieurs questions s’imposent : le droit à l’effacement des données est-il en passe de devenir un standard international ? Dans quelle mesure les approches européenne et états-unienne tendent-elles à se rapprocher ? Pour y répondre, il conviendra d’examiner d’abord les oppositions historiques et juridiques entre les deux modèles (I), puis d’envisager les signes d’une convergence émergente (II). L’intérêt de cette étude est triple : juridique, en analysant la manière dont les juridictions européennes arbitrent entre droits concurrents ; comparatif, en confrontant deux conceptions de la vie privée4 et de la mémoire ; et prospectif, en évaluant les conditions d’un éventuel alignement normatif à l’échelle mondiale.
I – Deux modèles de gouvernance à l’épreuve de la mémoire numérique
D’un point de vue linguistique et conceptuel, une distinction sémantique importante existe entre les approches européenne et américaine du droit à l’oubli. En Europe (A), il confère à l’individu à la fois un droit positif, lui permettant de maîtriser son passé en demandant la suppression d’informations le concernant, et un droit négatif, interdisant aux tiers de rappeler certains éléments de ce passé. Cette conception s’inscrit dans une logique où les droits fondamentaux ne se contentent pas de protéger les individus contre les ingérences de l’État, mais imposent également à ce dernier une obligation positive : celle de garantir la protection des personnes face aux atteintes émanant d’autres individus ou entités privées. À l’inverse, dans le cadre états-unien (B), le « right to be forgotten » est davantage perçu comme une obligation imposée aux tiers de ne pas conserver ou diffuser certaines données personnelles. Toutefois, cette vision reste marginale car le droit du public à l’information revêt une importance cardinale.
A – L’Europe : un droit à l’autodétermination informationnelle
1 – Les innovations apportées par le règlement général sur la protection des données (RGPD)
Le droit européen de la protection des données repose sur sept principes fondamentaux : licéité, séparation, transparence, contrôle, confidentialité, intégrité et disponibilité. Ces derniers forment un cadre cohérent mais parfois en tension. Par exemple, la conservation fidèle des données (intégrité) peut entrer en conflit avec l’obligation de mise à jour ou de suppression (contrôle). C’est ici qu’intervient le droit à l’oubli, consacré par le RGPD (art. 17). Il découle directement du principe de contrôle : toute personne concernée peut demander la suppression de ses données et en bloquer toute réutilisation future, notamment lorsque le consentement initial a été retiré ou que les données ne sont plus nécessaires au regard des finalités pour lesquelles elles avaient été collectées ou traitées. Le droit de rétractation du consentement s’enracine dans une tradition juridique européenne profondément marquée par la primauté de l’autonomie individuelle et la protection de la dignité humaine. Contrairement au modèle états-unien, fragmenté et sectoriel, le RGPD érige cette notion en principe intangible, reflet d’une philosophie politique où l’autodétermination informationnelle devient un pilier de la citoyenneté numérique. Le droit à l’oubli est aussi lié à la disponibilité et à la confidentialité, car il exige que les données effacées ne soient ni accessibles ni conservées inutilement. Sa mise en œuvre illustre bien la logique de privacy by design : les systèmes doivent être conçus pour permettre l’effacement, dès que les conditions sont réunies. Cela oblige les responsables de traitement à anticiper les cas où l’effacement devient nécessaire, en conciliant ce droit avec d’autres obligations légales, comme la conservation à des fins juridiques. En approfondissant la lecture de l’article 17 du RGPD, on constate que les paragraphes (d) et (e) instituent deux fondements juridiques distincts, mais complémentaires, pour justifier l’effacement des données à caractère personnel :
-
premièrement5, cette obligation peut découler d’une prescription légale à laquelle le responsable du traitement est soumis en vertu du droit de l’Union ou des États membres. Cela traduit la primauté du droit, en rattachant l’effacement à des normes contraignantes, telles que des lois nationales imposant des délais de conservation maximaux pour certaines catégories de données, comme celles relatives aux archives publiques ou aux données de santé ;
-
deuxièmement6, l’effacement devient obligatoire lorsque le traitement est, ab initio, illicite – soit par absence de base légale, soit par violation des finalités déclarées, soit encore au regard d’interdictions spécifiques prévues par d’autres instruments juridiques ou décisions de justice.
En somme, ces deux motifs illustrent l’imbrication systémique du RGPD au sein de l’ordre juridique pluriel de l’Union européenne (UE), où l’effacement agit à la fois comme un mécanisme de conformité ex ante (via les obligations légales) et comme un remède ex post face à des violations substantielles du droit. En conséquence, l’article 17 du RGPD ne se limite pas à instaurer un droit à l’oubli : il reflète une philosophie où la maîtrise des données personnelles relève des droits fondamentaux (Charte des droits fondamentaux de l’UE, art. 8). C’est dans ce contexte que les autorités européennes ont intensifié leurs efforts pour garantir l’effectivité de ce principe, en lançant de nouvelles initiatives de contrôle à grande échelle. Le 5 mars 2025, le comité européen de la protection des données (CEPD) a lancé le CEF 2025 (Coordinated Enforcement Framework) sur le droit à l’oubli. L’action mêle enquêtes formelles et collecte d’informations. Le partage des résultats entre autorités est fondamental. Cette initiative renforce la conformité au RGPD et la confiance des citoyens.
2 – Le rôle essentiel des juridictions européennes : tournant subjectiviste ou volonté de pondération ?
En 2022, dans l’affaire TU et RE contre Google7, la Cour de justice de l’UE (CJUE) a précisé l’application du droit à l’effacement. Deux dirigeants contestaient le refus de Google de déréférencer des articles critiques et des photographies affichées en vignettes. La CJUE devait interpréter la portée de l’article 17 du RGPD face aux droits fondamentaux, notamment la protection des données personnelles (Charte, art. 7 et 8) et la liberté d’information (art. 11). La Cour a affirmé que Google n’avait pas besoin d’une décision judiciaire préalable pour évaluer la demande de déréférencement. Toutefois, les requérants devaient apporter des éléments de preuve accessibles et pertinents démontrant le caractère manifestement inexact des informations. En cas de preuve suffisante, Google doit accéder à la requête ; à défaut, la personne peut saisir une autorité judiciaire ou de contrôle. La Cour a souligné que la protection des données prime lorsque les informations référencées sont manifestement inexactes ou portent gravement atteinte aux droits des personnes. Google n’est cependant pas tenu de jouer un rôle actif dans la recherche d’éléments de vérification. En pratique, cette approche favorise une gestion efficiente des litiges, centrée sur la crédibilité des éléments fournis par le demandeur, sans alourdir d’un point de vue procédural les requêtes légitimes. Cette décision illustre l’approche européenne du droit à l’oubli : une protection forte de la vie privée, mais encadrée par un équilibre avec la liberté d’expression, contrastant ainsi avec l’approche états-unienne davantage tournée vers la régulation économique de l’information.
En 20238, la CJUE est venue compléter cette construction jurisprudentielle en rappelant que l’article 82, paragraphe 1, du RGPD exige trois conditions cumulatives pour obtenir réparation :
-
une violation du RGPD ;
-
un dommage matériel ou moral9 ;
-
un lien de causalité entre la violation et le dommage.
La simple violation du RGPD ne suffit pas : un préjudice concret doit être démontré (par exemple, une atteinte à la réputation, une souffrance psychologique). La notion de « dommage » au sens du RGPD doit être interprétée de manière autonome et uniforme dans l’UE. Toutefois, les États membres ne peuvent pas exiger que le préjudice moral atteigne un seuil minimal de gravité : tout préjudice tangible, même faible, doit être réparé.
Dans le prolongement de cette dynamique, la Cour européenne des droits de l’Homme (CEDH) a apporté, dans l’arrêt Hurbain contre Belgique du 4 juillet 202310, une contribution majeure à la conciliation entre mémoire numérique et droit à l’oubli. Elle rappelle que « toute mesure limitant l’accès à des informations que le public a le droit de recevoir doit être justifiée par des raisons particulièrement impérieuses ». Pour autant, dans la balance des valeurs en conflit, elle a considéré la notoriété de la personne et son comportement depuis les faits, ainsi que les conséquences nuisibles de la persistance des données sur internet. En validant l’anonymisation d’un article de presse ancien, la CEDH a reconnu qu’une information pourtant licite pouvait, avec le temps, engendrer un préjudice excessif, notamment professionnel. Par cette décision, la Cour adapte ses critères de proportionnalité au contexte, valorisant des mesures intermédiaires qui préservent l’intégrité de l’information tout en protégeant les droits fondamentaux. Ces deux arrêts, bien que rendus par des juridictions distinctes, convergent vers une même logique : celle d’une régulation plus équilibrée des effets de la permanence numérique sur les droits des individus. Tandis que la CJUE établit un cadre de référence structurant pour l’indemnisation des atteintes aux données personnelles, la CEDH affine la conciliation entre liberté d’expression et droit à l’oubli. Cette évolution jurisprudentielle européenne, centrée sur la proportionnalité, la transparence et la protection concrète des personnes, contraste avec le droit états-unien, où la reconnaissance du droit à l’oubli demeure marginale et fragmentaire. Si quelques États fédérés commencent à s’y intéresser, le cadre général reste marqué par la primauté de la liberté d’expression et une réticence à imposer des obligations fortes aux acteurs privés. Dès lors, plutôt qu’une harmonisation formelle, c’est par une influence normative indirecte que l’approche européenne pourrait inspirer, à terme, une adaptation progressive du droit états-unien.
B – Les États-Unis : la prévalence constitutionnelle du marché de l’information
Il n’existe pas, aux États-Unis, de droit fondamental à la protection des données comparable à celui reconnu au sein de l’UE. Cette absence s’explique par deux raisons : le fait que la Constitution états-unienne ne déploie pas ses garanties de manière horizontale entre individus et le poids croissant du premier amendement. Selon Amy Gajda, « l’idée qu’un individu puisse façonner son passé et supprimer des informations autrefois publiques apparaît tout simplement incompatible avec la liberté de la presse »11.
La sanctuarisation de la liberté d’expression. La reconnaissance par l’UE du droit à l’oubli a suscité des réactions critiques de la part des juristes12 aux États-Unis. Certains affirment qu’il pourrait gravement compromettre la liberté d’expression et l’accès à l’information, en particulier dans les situations où l’intérêt public pourrait justifier la conservation des données en question. Le refus états-unien de consacrer un tel droit procède d’une philosophie reposant sur le primat de la libre circulation de l’information (marketplace of ideas) et sur la protection ex post des individus. Dans un ouvrage publié aux Presses universitaires de Yale, Timothy Garton Ash13 soutient que « la notion d’un droit généralisé à l’oubli ne peut être défendu dans une société qui croit à la liberté d’expression ». Pour lui, bien que ce principe puisse paraître simple dans son énonciation, sa mise en œuvre se révèle particulièrement complexe, « car une fois que le génie est sorti de la bouteille (…), le rat hors du trou, il est très difficile de les remettre à leur place. Ainsi, si nous valorisons notre vie privée et notre réputation, nous devrons faire plus attention aux informations personnelles que nous partageons en premier lieu ». Les tribunaux privilégient la transparence et la libre diffusion de l’information, même préjudiciable. Exiger l’effacement de données est perçu comme une censure. Comme le souligne Shoshana Zuboff, professeur émérite à Harvard, « la constitution est exploitée pour abriter une série de nouvelles pratiques qui sont antidémocratiques dans leurs objectifs et leurs conséquences et qui détruisent fondamentalement les vraies valeurs du Premier amendement destinées à protéger l’individu d’un pouvoir abusif »14. Cette analyse trouve une illustration frappante dans les difficultés croissantes d’application effective du droit à l’oubli face aux modèles prédictifs des plateformes. L’économie comportementale, fondée sur l’extraction et la valorisation de données personnelles via des traceurs, opère un triple contournement :
1. Technique : la conversion des données brutes en modèles algorithmiques complexes rend illusoire leur suppression complète, les inférences dérivées perpétuant une mémoire numérique persistante ;
2. Juridique : les plateformes invoquent la liberté d’expression pour qualifier leurs algorithmes prédictifs de formes de discours protégées, échappant ainsi à une régulation contraignante ;
3. Philosophique : l’absolutisme attaché à la liberté d’expression, socle de la démocratie américaine, est instrumentalisé pour justifier des pratiques qui, sous couvert d’innovation et de libre circulation de l’information, portent atteinte à l’autonomie personnelle et à la vie privée.
Cette tension entre innovation technologique et protection des droits fondamentaux souligne un clivage transatlantique majeur. Alors que le RGPD européen institue un droit à l’effacement effectif, le droit états-unien, fortement enraciné dans une interprétation extensive du premier amendement, peine à encadrer ces architectures algorithmiques : les données initiales ne sont plus que les maillons d’une chaîne d’éléments fondés sur l’anticipation comportementale. Le paradoxe est frappant : le même principe constitutionnel conçu pour protéger les individus contre l’arbitraire étatique sert aujourd’hui de bouclier juridique à un nouveau pouvoir algorithmique, aux implications profondes sur la vie privée.
De façon constante, la jurisprudence états-unienne a systématiquement rejeté la notion de « droit à l’oubli », au nom de la liberté d’expression garantie par le premier amendement. Dans l’arrêt Florida Star contre B.J.F.15, la Cour suprême a jugé inconstitutionnelle toute interdiction de publier des informations véridiques, même embarrassantes, dès lors qu’elles ont été obtenues légalement. Elle a estimé que la diffusion de faits vrais et d’intérêt public ne peut être punie que pour servir un intérêt étatique d’ordre supérieur, ce qui n’était pas le cas ici. Cette position a été réaffirmée en 2015 dans l’affaire Martin contre Hearst Corporation16. Dans cette affaire, une femme, arrêtée pour usage de drogue mais jamais condamnée, avait demandé la suppression d’articles relatant son arrestation. La cour d’appel fédérale a rejeté sa requête, estimant que la presse n’avait pas à effacer des « récits historiquement exacts », confirmant ainsi que le droit à l’effacement des données est incompatible avec le système juridique des États-Unis. Ainsi, force est de constater que le journalisme repose sur une tradition forte de conservation. Même des informations sur des faits mineurs ou prescrits peuvent rester disponibles, car elles font partie de l’histoire, aussi controversée soit-elle. La culture états-unienne reflète la difficulté d’imposer un droit à l’oubli dans un pays où la liberté d’expression, garantie par le premier amendement, l’emporte sur les demandes de déréférencement ou de suppression. De plus, outre-Atlantique, le droit à l’oubli reste un concept étranger incompatible avec :
-
la sacralisation de l’accountability individuelle (une personne est responsable de ses traces numériques) ;
-
la priorité donnée à la sécurité nationale (Patriot Act, surveillance de masse justifiée par le combat antiterroriste).
Le concept de droit à l’effacement des données, tel qu’entendu en Europe, heurte aussi le régime de responsabilité des plateformes : la Section 230 du Communications Decency Act (1996) protège les intermédiaires en ligne contre les poursuites liées aux contenus générés par les utilisateurs. Cette immunité rend difficile d’imposer légalement à une entité de retirer ou déréférencer un contenu sans passer par des procédures judiciaires précises. Aux États-Unis, il n’existe pas d’obligation générale de modération équivalente à ce que le RGPD a mis en place. En définitive, l’idée d’un droit à l’oubli établissant un équilibre uniforme entre vie privée et liberté d’expression semble à première vue relever de l’utopie juridique outre-Atlantique. Une telle vision méconnaît les fondations politiques et culturelles qui ont engendré des traditions légales irréconciliables, à commencer par l’attachement états-unien au premier amendement, où la parole libre l’emporte, par principe, sur les revendications mémorielles ou protectrices. L’enjeu n’est donc pas l’harmonisation mais la coordination régulatoire, autrement dit un dialogue des souverainetés, encadré mais non effacé par le numérique. Si, pour Anu Bradford, professeur à Columbia, dans un ouvrage publié en 2020, « les États-Unis (…) choisissent de promulguer des normes réglementaires moins strictes dans la plupart des domaines politiques, reléguant ainsi la régulation de secteurs clés, comme la protection des données, essentiellement aux forces du marché »17, est-ce toujours le cas ces dernières années ? La reconnaissance du droit à l’oubli, bien que variable selon les pays, s’insère dans une dynamique mondiale visant à concilier deux droits fondamentaux, essentiels à toute société démocratique : la vie privée et la liberté d’expression. L’essor des technologies et la pérennité des informations en ligne rendent cette conciliation d’autant plus complexe et urgente.
II – Vers une convergence fonctionnelle des cadres normatifs par-delà les paradigmes
Si les modèles états-unien et européen reposent sur des fondements juridiques et philosophiques distincts, une dynamique de rapprochement se dessine sous l’effet des réformes et des attentes sociales (A). Partout dans le monde (B), les législations évoluent, intégrant des mécanismes d’effacement ou de limitation de la circulation des données personnelles. Le droit à l’oubli, longtemps perçu comme une singularité européenne, tend désormais à s’imposer comme un principe structurant.
A – Le rôle des législations étatiques états-uniennes : un rempart contre le Léviathan numérique ?
Le modèle états-unien de protection des données repose sur l’autorégulation, privilégiant la flexibilité et l’innovation au détriment de règles contraignantes. L’absence de régulation fédérale laisse les entreprises définir seules les limites de la vie privée, créant un déséquilibre entre intérêts économiques et droits individuels. Or, les citoyens des États-Unis expriment une forte volonté de contrôler leurs données en ligne, comme le met en évidence une enquête du Pew Research Center18. Des médias comme le Boston Globe19 adaptent déjà leurs archives en ce sens. En raison de ce vide normatif, les appels à une réforme fédérale se multiplient, soulignant le contraste croissant avec l’approche européenne, fondée sur la primauté des droits fondamentaux dans l’économie numérique.
Au niveau fédéral. Aucune loi générale sur la protection des données n’existe. Le Privacy Act de 1974 ne concerne que les agences gouvernementales. Toutefois, des tentatives sporadiques visent à établir une législation fédérale. Inspiré partiellement du RGPD, et présenté en avril 2024 par des membres du Congrès, l’American Privacy Rights Act (APRA) représente la première tentative significative d’instaurer un régime fédéral complet de protection des données personnelles aux États-Unis. Bien qu’il ne fasse pas explicitement référence au « droit à l’oubli » tel qu’il est consacré dans le droit européen, il propose néanmoins des garanties procédurales. La Section 105 prévoit que « les individus peuvent accéder à leurs données collectées, demander des corrections pour des informations incorrectes, et leur suppression ». L’APRA encadre également les transferts commerciaux des données, en prévoyant un droit d’opposition à la vente ainsi qu’un mécanisme généralisé d’opt-out. Cependant, le processus législatif s’est heurté à de nombreux obstacles. En juin 2024, des amendements controversés ont affaibli les protections initiales, introduit des exceptions pour les petites entreprises et allégé les exigences de conformité. Cette impasse met en lumière plusieurs tensions fondamentales : d’une part, les contradictions constitutionnelles entre la protection de la vie privée, la liberté du commerce (Commerce Clause) et les prérogatives des États (federalism concerns) ; d’autre part, l’opposition des industriels, inquiets des coûts de mise en conformité et du régime de responsabilité civile prévu. Aujourd’hui, de nombreuses entreprises technologiques états-uniennes doivent se conformer aux exigences strictes du RGPD lorsqu’elles opèrent en Europe. Cette dualité de systèmes génère une complexité juridique et des coûts de conformité élevés. Adopter un droit équivalent à l’échelle fédérale aurait un triple effet vertueux. En premier lieu, cela simplifierait la conformité transatlantique. En second lieu, ce changement favoriserait l’innovation responsable, en intégrant l’éthique numérique dans les pratiques de traitement des données. Enfin, cela renforcerait la confiance des États-uniens envers les plateformes, dans un contexte de méfiance croissante envers les géants technologiques. En s’inspirant des modèles européens ou en développant un système sur mesure, les États-Unis auraient l’occasion non seulement de mieux protéger leurs citoyens, mais aussi de contribuer activement à la gouvernance mondiale de la vie privée.
Au niveau des États. Bien que le cadre juridique fédéral reste opposé à l’instauration d’un droit à l’oubli généralisé, en raison de son incompatibilité avec l’architecture constitutionnelle états-unienne, certaines initiatives émanant des États ou d’agences sectorielles ont émergé. Le California Consumer Privacy Act (CCPA), adopté en 2018 et entré en vigueur le 1er janvier 2020, vise à offrir aux consommateurs une plus grande transparence et un meilleur contrôle sur la collecte et le traitement de leurs données personnelles. Les entreprises sont tenues d’informer les tiers (à qui elles ont vendu ou partagé ces données) de la demande de suppression, sauf si cela est impossible ou exige des efforts disproportionnés20. Notons que le RGPD accorde un droit à l’effacement étendu, tandis que la CCPA prévoit un droit à la suppression plus limité, assorti d’exceptions spécifiques, notamment pour certains usages internes à l’entreprise ou l’exercice du droit à la liberté d’expression. Il importe de souligner une particularité notable de cette loi qui reflète l’approche davantage axée sur les aspects économiques de la protection des données aux États-Unis : les consommateurs peuvent limiter la vente et le partage de leurs données grâce à un mécanisme de refus (opt-out). En 2023, l’État a renforcé la loi Online Eraser de 2015 avec la loi DELETE, étendant ce droit à tous les âges et autorisant la suppression des données personnelles collectées par des courtiers en données qui les commercialisent. De nombreux États fédérés se sont inspirés de la CCPA, soit en adoptant des lois similaires (un phénomène souvent qualifié d’« effet Californie »), soit en développant leurs propres cadres réglementaires visant à renforcer les droits des consommateurs sur leurs données.
Le Colorado Privacy Act (2023)21, par exemple, accorde aux citoyens un droit limité à la suppression de leurs données personnelles, sous réserve de conditions spécifiques – notamment lorsque ces informations ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées. Cette approche reflète une tentative prudente de concilier les impératifs économiques avec les attentes croissantes en matière de protection des données. En 2023, avec le Student Data Vendor Security Act, l’État de l’Arkansas22 impose aux fournisseurs de services éducatifs en ligne des obligations strictes en matière de collecte, d’utilisation et de protection des données des élèves. Elle interdit la vente de ces dernières, le profilage non autorisé et la publicité ciblée. Les prestataires doivent obtenir le consentement pour l’usage des données, informer sur leurs pratiques et détruire celles-ci à la fin du contrat. La loi renforce la transparence et la sécurité des informations personnelles des étudiants. Ce texte se rattache au droit à l’oubli en permettant l’effacement des informations sur demande et en limitant leur conservation et leur réutilisation. Dans l’État de Virginie, les résidents peuvent solliciter la suppression de leurs données, sauf si l’entreprise a un motif légitime de conservation (transaction en cours, conformité légale)23. Il en est de même dans l’Utah24 puisque les consommateurs peuvent réclamer l’effacement de leurs données, mais les entreprises peuvent refuser pour des raisons légales ou opérationnelles. Le Texas a emboité le pas avec le Data Privacy and Security Act entré en vigueur le 1er juillet 2024. Ce texte ne s’applique pas aux médias pour leur contenu éditorial (archives en ligne d’articles), et concerne surtout les données commerciales ou traitées par des plateformes (réseaux sociaux, e-commerce). Bien que ces législations étatiques restent disparates, elles témoignent d’un basculement notable : des États pionniers commencent à intégrer des principes proches de ceux du RGPD, posant ainsi les jalons d’une régulation plus solide et cohérente. Pour autant, les lois états-uniennes sont moins strictes que le RGPD avec des exceptions plus larges, et l’absence d’obligation de suppression chez tous les tiers. De plus, le droit à l’oubli est souvent lié aux données collectées directement, et non à celles dérivées ou publiées. Cette convergence partielle, bien que balbutiante, invite à repenser les frontières entre innovation technologique, droits individuels et souveraineté juridique dans un monde globalisé.
B – La nécessité d’un rééquilibrage entre droits fondamentaux et pouvoir des géants technologiques
La jurisprudence états-unienne laisse entrevoir un rééquilibrage en faveur des droits individuels face à l’influence des géants du numérique (1). Parallèlement, l’affirmation croissante du droit à l’oubli pourrait nourrir une dynamique de convergence normative à l’échelle mondiale (2).
1 – Vers une évolution jurisprudentielle états-unienne ?
Tant la Federal Trade Commission (FTC) que la jurisprudence états-unienne, longtemps réticente à reconnaître des droits substantiels en matière de vie privée numérique, témoignent d’une volonté de mieux protéger les citoyens. En 2024, la FTC a sanctionné Avast25, l’éditeur d’antivirus, pour avoir revendu les informations de navigation de ses utilisateurs sans leur consentement entre 2014 et 2020. Avast aurait également trompé ses clients en leur promettant une protection de leur vie privée, tout en autorisant en réalité le suivi et la revente de leurs informations personnelles. Parmi les données exposées figuraient des recherches sur internet, des sites visités, des localisations géographiques, ainsi que des éléments sensibles liés à la santé ou aux opinions politiques des utilisateurs. Face à ces dérives, la FTC a imposé plusieurs sanctions. Avast devra payer une amende de 16,5 millions de dollars. Il lui est désormais interdit de vendre des données de navigation. Enfin, il est aussi tenu de supprimer les informations déjà collectées tout en informant les utilisateurs concernés. Le cas d’Avast illustre une convergence partielle entre les systèmes juridiques européen et américain. Si les États-Unis rechignent à consacrer un droit à l’oubli, les pratiques des autorités comme la FTC tendent à en appliquer certains aspects, notamment l’idée que des données collectées de façon illicite ou en violation des droits des utilisateurs doivent être effacées.
En août 2024, l’arrêt récent de la neuvième Circuit Court of Appeals dans Calhoun contre Google26 marque un moment charnière en matière de consentement, avec des implications profondes pour les droits à la vie privée. Au cœur de cette affaire se trouve une tension fondamentale entre les pratiques des entreprises technologiques et l’autonomie individuelle dans l’espace numérique. Des utilisateurs de Chrome avaient intenté une action collective contre Google, alléguant que la société collectait leurs données personnelles (historique de navigation, adresses IP, cookies, etc.), même lorsqu’ils n’avaient pas activé la synchronisation (« Sync ») de leur compte Google.
La neuvième Circuit Court of Appeals a infirmé le jugement initial qui donnait raison à Google en s’appuyant sur trois arguments :
-
le consentement n’était pas clair : un « utilisateur raisonnable » ne pouvait comprendre, en lisant les conditions générales d’utilisation de Google, qu’il autorisait une collecte de données en mode non synchronisé ;
-
la Chrome Privacy Notice (plus précise) prime sur les politiques générales de Google, qui mentionnaient une collecte large ; autrement dit, la transparence doit l’emporter sur les artifices juridiques ;
-
le tribunal a rejeté l’idée que la collecte était légale parce qu’elle concernait tous les navigateurs (pas seulement Chrome), puisque les utilisateurs se fiaient aux promesses spécifiques de Chrome.
Bien que l’arrêt ne mentionne pas explicitement le droit à l’oubli, il renforce indirectement ce dernier en :
-
exigeant un consentement éclairé. Sans celui-ci, la collecte de données devient illégitime, ce qui ouvre la voie à des demandes d’effacement ultérieures ;
-
limitant les pratiques opaques. En sanctionnant les contradictions entre les promesses (comme « pas de collecte sans Sync ») et la réalité, la décision favorise la transparence, condition essentielle pour exercer le droit à l’oubli ;
-
s’inscrivant dans la lignée du RGPD. Comme dans l’affaire Google Spain (2014), la logique est similaire : les utilisateurs doivent pouvoir contrôler leurs données. Si Google a collecté des informations sans base légale (ici, un consentement valide), le droit à l’effacement peut s’appliquer. Les plateformes ne peuvent ni se prévaloir de leur puissance économique pour contourner les attentes légitimes des internautes, ni s’abriter derrière des clauses générales.
En renforçant les garde-fous contre la collecte illégitime de données et en favorisant leur effacement rétroactif, cette décision remet en cause le modèle de collecte passive des GAFAM (Google, Apple, Facebook, Amazon et Microsoft) en imposant un consentement plus clair, conformément au RGPD. Ce rééquilibrage entre droits fondamentaux et pouvoir des géants du numérique traduit une volonté croissante de contrôle individuel sur les informations personnelles. Il marque aussi un rapprochement progressif entre les approches européenne et états-unienne. Enfin, il témoigne d’un mouvement international visant à combler l’absence de responsabilité des Big Tech en matière de rétention des données.
2 – L’essor du droit à l’oubli : une inflexion normative mondiale ?
Il importe de souligner que le droit à l’oubli proclamé dans un premier temps par la CJUE27, puis consacré dans le RGPD, a entrainé une onde de choc normative. Il a essaimé au-delà des frontières européennes et a irrigué les systèmes juridiques notamment en Argentine28, au Brésil29, au Chili30, en Colombie, au Mexique, au Nicaragua31, au Japon32 et à Hong Kong33. La Russie est même allée jusqu’à codifier le droit à l’oubli. Le 24 avril 2023, l’autorité sud-coréenne de protection des données (DPA) a lancé le projet pilote sur le droit à l’oubli numérique des enfants34. Il comprend un portail centralisé permettant aux personnes de moins de 24 ans de demander la suppression de contenus qu’elles ont publiés avant l’âge de 18 ans. Cette innovation souligne l’adaptabilité du droit à l’effacement aux enjeux générationnels. Plus encore, ce phénomène mondial révèle une double réalité : l’influence normative de l’UE, dont les standards deviennent un modèle transnational, mais aussi le contraste frappant avec l’approche états-unienne, encore ancrée dans une lecture absolutiste du premier amendement. Or, le droit à l’oubli, souvent perçu à tort comme une entrave à la libre circulation des idées, constitue en réalité un correctif indispensable aux excès d’un cyberespace sans temporalité. Les traces laissées sur Internet, qu’il s’agisse d’accusations judiciairement infirmées ou de condamnations pénalement révisées, survivent à leurs contextes légaux, perpétuant des préjudices et des atteintes à la réputation irréversibles.
Woodrow Hartzog, professeur associé à Harvard, souligne que « pratiquement tous les régimes de protection de la vie privée et des données dans le monde semblent adopter les trois principes éthiques fondamentaux : respecter les Fair Information Practices (FIPs), ne pas mentir et ne pas nuire »35, illustrant un socle éthique commun par-delà les différences. Néanmoins, une harmonisation transatlantique du droit à la protection des données ne saurait résulter d’un simple alignement normatif ou d’un compromis diplomatique ponctuel. Elle suppose une refondation juridique, axée sur une compréhension stratégique des enjeux globaux liés à l’économie numérique et à la souveraineté informationnelle. Aux États-Unis, l’absence d’un cadre fédéral général sur la protection des données et la primauté accordée à la liberté d’expression rendent difficile l’intégration du droit à l’oubli tel que reconnu en Europe. À l’inverse, l’UE, avec le RGPD, a consacré une approche finaliste et humaniste, en érigeant les données personnelles en attributs essentiels de la dignité humaine. Cette divergence rend improbable une harmonisation rigide des régulations. Toutefois, un rapprochement autour de principes directeurs tels que la transparence, la responsabilité et le respect de l’autonomie individuelle demeure envisageable. Dans ce contexte, le droit à l’oubli acquiert une valeur hautement symbolique : il incarne une volonté partagée de rééquilibrer les rapports entre individus et acteurs privés, de contenir la rétention illimitée des données et de réaffirmer la centralité de la personne dans l’environnement digital. L’enjeu ne réside plus uniquement dans la préservation des droits existants, mais dans la redéfinition de leur effectivité au XXIe siècle, selon une logique de convergence fondée sur les valeurs, plutôt que sur l’uniformité des dispositifs normatifs.
