Le droit à l'oubli : pourquoi il ne marche presque jamais

Une dirigeante me demande de “tout faire disparaître” d’une procédure de divorce de 2015. Trois mois plus tard, après les courriers RGPD et les démarches CNIL : Google a déréférencé 4 URLs sur les 130 que j’avais cartographiées. Les 126 autres sont toujours là. Et on a réveillé deux journalistes.

Le piège habituel

• Croyance répandue : “RGPD = je peux faire supprimer ce que je veux”
• Réalité : RGPD article 17 est conditionné, limité juridictionellement, et n’agit pas sur les vraies sources de leak

Ce que dit vraiment l’article 17

• Conditions : données non nécessaires, retrait du consentement, traitement illicite, motifs légitimes
• Exceptions : liberté d’expression, intérêt public, prétentions en justice, archives
• Portée : responsable de traitement identifié et soumis au RGPD
• Délai de réponse : 1 mois (extensible)

Ce qui marche

• Déréférencement Google EU (suite à Google Spain) : retrait du résultat de recherche, pas de la page source
• Suppression d’un compte actif chez un opérateur RGPD
• Effacement d’un fichier client chez un éditeur RGPD
• Demande à un journal européen quand contenu n’a plus d’intérêt public

Ce qui ne marche pas

Asymétrie juridictionnelle

• Déréférencement EU ≠ déréférencement global
• Hors EU, la page source reste accessible
• Brokers et services US : pas de RGPD applicable

Leak databases

• HIBP, DeHashed, Snusbase : pas de mécanisme RGPD efficace
• Dumps disséminés : impossibles à effacer
• Archives darknet : hors portée légale praticable

Brokers

• Acxiom, Experian, LexisNexis : opt-out partiel, jamais complet, jamais durable
• Réinjection automatique depuis sources publiques
• Voir article Brokers de données

Archives web

• Wayback Machine : opt-out possible, mais incomplet (archive.today, Google Cache, etc.)
• archive.today : pas de mécanisme officiel

Registres publics

• BODACC, Pappers, Infogreffe : informations légalement obligatoires, pas effaçables

Le piège Streisand

Quand c’est utile quand même

• Signal juridique : laisser une trace écrite (utile en contentieux ultérieur)
• Déréférencement Google EU : retire les premières positions SERP en EU, suffisant dans certains cas
• Fermeture d’un compte actif : empêche les futures fuites depuis ce compte
• Pression sur un acteur identifié : utile quand l’enjeu réputationnel surpasse le risque Streisand

La stratégie alternative : noyer plutôt que supprimer

• Publier du contenu bénin contrôlé pour saturer le SERP
• Profils sociaux actifs et neutres, présence dans des annuaires professionnels propres, publications signées sur des plateformes de qualité
• Effet : 10 résultats SERP, 9 contrôlés, le résultat gênant tombe en page 3
• Coût : continu, mais plus durable que la suppression

Outils légitimes

• Mozilla Monitor Plus : audit + suivi de fuites, peu intrusif
• Incogni : opt-out automatisé chez ~200 brokers (analyse honnête : ne touche pas aux leak DBs)
• DeleteMe : équivalent US, plus mature
• TrueRemove : niche, propre, sans affiliation
• Aucun de ces outils ne résout le problème de fond — ils réduisent l’exposition incrémentale

Erreurs qu’on voit tout le temps

• Demander la suppression à HIBP (refus systématique, c’est une archive de breach)
• Faire un courrier RGPD non motivé (refus pour non-respect des conditions article 17)
• Tenter de purger archive.today (pas de mécanisme officiel)
• Ne pas mesurer le risque Streisand avant d’agir
• Croire qu’un déréférencement EU est mondial

Checklist actionnable

• N1 Cartographier les 10 résultats SERP gênants sur son nom (sur Google EU et US)
• N2 Identifier ceux qui sont éligibles déréférencement (RGPD)
• N2 Mesurer le risque Streisand pour chacun avant action
• N2 Pour les non-éligibles : décider noyer vs accepter
• N2 Souscrire un service d'opt-out brokers (Incogni / DeleteMe / Optery)
• N3 Mettre en place une stratégie de SERP saturation si pertinent
• N3 Revue annuelle des positions SERP