Pour pallier le problème que pose le droit à l’oubli, et en plus des solutions existantes, plusieurs idées ont été proposées sans qu’elles ne soient (encore) mises en place.
Une solution assez simple, proposée par Serge Tisseron dans son article « Le droit à l’oubli sur Internet ne doit pas se transformer en droit au déni » [3P], serait de notifier le déréférencement s’il a eu lieu : cela permettrait, dans le cas d’une information que l’on aurait lue antérieurement par exemple, de pouvoir confirmer cette information même si elle a été déréférencée. Ensuite, cette méthode empêcherait le « droit au déni », c’est à dire qu’une personne concernée par une certaine information ne pourrait s’en cacher dans l’unique but de montrer une image déformée ou faussée d’elle-même. Certaines personnes pourraient effectivement être tentées d’effacer toute information désobligeante à leur sujet et de ne laisser que ce qu’elles estiment bon pour leur image si le déréférencement n’est pas un minimum réglementé. Enfin, nous resterions dans l’obligation de faire attention à ce que nous postons sur Internet, et les campagnes de prévention à propos de l’e-réputation ne seraient pas vaines.
Toujours dans l’idée du déréférencement ou de la désindexation des pages web, il a été proposé par les auteurs de « Standard on deleting the exposed personal information on the internet » [5S], une hiérarchisation des données dans le but de permettre leur déréférencement ou non. La hiérarchisation serait faite en fonction de l’importance relative des différentes données : sécurité nationale, faits politiques, données financières, rumeurs, données personnelles des particuliers etc. Jef Ausloos, auteur de « The ‘Right to be Forgotten – Worth remembering? » [10S] pense aussi qu’il faudrait vérifier systématiquement l’utilité de l’information lors de sa mise en ligne, ce qui impliquerait aussi de prévenir les internautes, en appliquant une transparence des données et des critères très clairs concernant la vie privée.
Dans le même article [10S], Jef Ausloos propose un autre moyen de mettre en œuvre le droit à l’oubli. Il faudrait que les internautes définissent une « durée de vie » pour chaque donnée postée les concernant. L’information disparaîtrait alors automatiquement au bout d’un certain temps. Dans ce cas, il faudrait auparavant définir une durée minimale et maximale de rétention des données personnelles [4S], selon le type d’information (on rejoint ici en partie l’idée de hiérarchisation des données). Cependant le fait que chaque particulier remplisse ce genre d’informations pour chaque donnée qu’il publie semble irréaliste (car vite considéré comme une perte de temps). De plus, rien n’empêche un tiers d’effectuer un copier-coller de l’information et de lui donner une durée de vie éternelle (comme le font les sites d’archivage).
Dans le cadre plus restreint des données médicales (qui sont aussi des données personnelles que l’on ne veut pas forcément divulguer), Rakesh Agrawal et Christopher Johnson, des scientifiques s’étant penchés sur la question proposent, dans leur article « Securing electronic health records without impeding the flow of information » [2S], l’utilisation d’un logiciel appelé « Hippocratic Database ». La transmission des informations d’un particulier à une institution médicale se ferait alors en trois étapes : d’abord la création d’une politique de confidentialité par ladite institution, puis le patient, après avoir été averti de cette décision, donne ses préférences quant à l’utilisation de ses données (en accord avec la politique de confidentialité), et enfin l’institution récupère les données du patient après vérification par le logiciel Hippocratic Database que les volontés des deux camps sont en accord. Le logiciel Hippocratic Database garde ensuite une trace de tous ceux qui ont eu accès aux informations qu’il contient, et utilise des algorithmes pour anonymiser les données, qui sont donc possibles à retrouver, mais qui ne sont pas utilisées sans le consentement du patient du fait de la politique de confidentialité à laquelle s’est engagée l’institution.
Enfin, le dernier procédé possible pour résoudre les inadéquations entre le droit à l’oubli, le droit à la vie privée et le besoin que nous avons d’informations serait la décentralisation de toutes les données personnelles. Cette solution est envisagée par plusieurs groupe de personnes, tels que les informaticiens comme on a pu le voir en interviewant Benjamin Nguyen [1E], ou d’autres scientifiques [10S]. Des services décentralisés tendent déjà à se développer, comme le réseau social Diaspora* [10S] : les données des utilisateurs ne sont pas stockées à un seul endroit (comme c’est le cas pour Facebook par exemple) mais sur différents serveurs (appelés « pods »), qu’il est même possible de créer soi-même. Cela permettrait ainsi un partage d’informations contrôlé par le particulier. Toujours dans l’idée de décentralisation des données, B. Nguyen [1E] nous a confié qu’il travaillait actuellement sur la mise au point d’un dispositif permettant de garder ses informations personnelles sur soi (informations médicales par exemple).
Ce dispositif pourrait prendre la forme d’une carte à puce, et il serait possible, en plus de stocker les données, de les transmettre à des personnes bien ciblées par le biais de cette puce : « Ce dispositif représente un moyen technique de décentraliser les données, il permet de s’assurer que les données ne sont accessibles qu’aux personnes voulues et il a l’avantage d’être difficilement piratable » B. Nguyen [1E]. Toutefois, si jamais il fallait mettre en place un tel système de délocalisation dans le cadre du droit à l’oubli, il faudrait alors envisager la suppression d’un grand nombre de données, car finalement, la seule solution pour que les informations antérieures soient oubliées serait de « purger » les bases de données pour ensuite procéder à cette décentralisation (ou délocalisation) [7P].
[3P] S. Tisseron, « Le ‘droit à l’oubli’ sur Internet ne doit pas se transformer en droit au déni », Le Monde, 15 octobre 2014.
[7P] L. Neuer, « Droit à l’oubli : « Demander à la machine d’oublier, c’est inconcevable » », Le Point, 15 décembre 2014.
[2S] R. Agrawal, C. Johnson. « Securing electronic health records without impeding the flow of information », International Journal Of Medical Informatics, volume 76, pages 471-479, Mai-Juin 2007.
[4S] S. Corbett, « The retention of personal information online: A call for international regulation of privacy law », Computer Law and Security Review, Volume 29, Numéro 3, Pages 246-254, Juin 2013.
[5S] Hee Joo Lee, Jang Ho Yun, Hyun Sik Yoon, and Kyung Ho Lee, « Standard on deleting the exposed personal information on the internet », Korea University Anam Campus, Anam-dong 5-ga, Seongbuk-gu, Seoul, Korea, 2015
[10S] J. Ausloos, « The »Right to be Forgotten » – Worth remembering? » Computer Law & Security Review, volume 28, pages 143-152, Avril 2012.
[1E] Entretien avec Benjamin Nguyen, informaticien et professeur à l’INRIA, 19 janvier 2015.