La lettre juridique n°798 du 10 octobre 2019 : Internet

[Jurisprudence] Importantes précisions de la CJUE sur le régime du déréférencement

Réf. : CJUE, 24 septembre 2019, deux arrêts, aff. C-136/17 (N° Lexbase : A3916ZPQ) et aff. C-507/17 (N° Lexbase : A3917ZPR)

Lecture: 24 min

N0703BYP

Citer l'article

Créer un lien vers ce contenu

[Jurisprudence] Importantes précisions de la CJUE sur le régime du déréférencement. Lire en ligne : https://www.lexbase.fr/article-juridique/54025102-jurisprudence-importantes-precisions-de-la-cjue-sur-le-regime-du-dereferencement
Copier

par Caroline Le Goffic, Maître de conférences - HDR, Co-directrice du Master 2 «Droit des activités numériques» Université Paris Descartes

le 09 Octobre 2019

Consacré par le célèbre arrêt «Google Spain» [1] rendu par la Cour de justice de l'Union européenne le 13 mai 2014, le «droit à l’oubli numérique» ou droit au déréférencement, dont le bénéfice est fréquemment demandé par les justiciables aux moteurs de recherche, a continué de soulever des questions.

Pour rappel, l’arrêt «Google Spain» constituait une décision préjudicielle rendue sur la base de la Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (N° Lexbase : L8240AUQ) [2] -Directive depuis lors remplacée par le Règlement n° 2016/679/UE du 27 avril 2016, relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (N° Lexbase : L0189K8I) [3], entré en vigueur le 25 mai 2018-. Dans cet arrêt «Google Spain», la Cour de justice avait estimé que les moteurs de recherche sont des responsables du traitement de données à caractère personnel au sens de la Directive. Il en résulte qu’un internaute peut faire jouer «le droit à ce que l'information [...] relative à sa personne ne soit plus [...] liée à son nom par une liste de résultats affichée à la suite d'une recherche effectuée à partir de son nom [...]», sur le fondement de l’article 12 b) de la Directive qui consacre un droit de rectification, en cas de traitement illégal, ou bien sur le fondement de son article 14, qui consacre un droit d’opposition au traitement des données personnelles «pour des raisons prépondérantes et légitimes tenant à sa situation particulière», en cas de traitement légal. Ce droit reconnu a vocation à permettre l'effacement, le cas échéant, d'un «traitement initialement licite de données exactes», «en raison du fait que ces informations apparaissent, eu égard à l'ensemble des circonstances caractérisant le cas d'espèce, inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause réalisé par l'exploitant du moteur de recherche», ce parce que ces informations «ne sont pas mises à jour» ou qu'elles «sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s'impose à des fins historiques, statistiques ou scientifiques». Cette solution implique donc que soit mise en œuvre une balance des intérêts, c’est-à-dire que soit trouvé entre droit à l’information du public et protection des données personnelles un juste équilibre selon «la nature de l'information en question et sa sensibilité pour la vie privée de la personne concernée ainsi que l'intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique».

Si le principe du droit au déréférencement est ainsi posé, la mise en œuvre concrète de ce droit par les moteurs de recherche soulève d’importantes interrogations pratiques. C’est à ce propos que la Cour de justice de l'Union européenne a rendu, le 24 septembre 2019, deux arrêts fort attendus, qui répondent tous deux à des questions préjudicielles posées par le Conseil d’Etat français. L’un des arrêts [4] concerne les conditions de déréférencement de sites contenant des données personnelles à caractère sensible (I). L’autre arrêt [5] est relatif à la portée territoriale du déréférencement (II).

I - Les conditions de déréférencement de sites contenant des données personnelles à caractère sensible

Le premier litige, porté devant la CNIL, puis devant le Conseil d’Etat, concernait quatre requérants qui avaient demandé à Google de déréférencer divers liens menant vers des pages web qui comportaient :

- un photomontage satirique mis en ligne sur Youtube à l’occasion d’une campagne électorale, évoquant de façon explicite la relation intime qui aurait lié la première requérante et le maire de la commune dont elle était directrice de cabinet ;

- un article du quotidien Libération relatif au suicide d’une adepte de l’Eglise de scientologie, et mentionnant le deuxième requérant en tant que responsable des relations publiques de l’Eglise de scientologie ;

- des articles, principalement de presse, relatifs à l’information judiciaire ouverte au mois de juin 1995 sur le financement du parti républicain (PR) dans le cadre de laquelle, avec plusieurs hommes d’affaires et personnalités politiques, le troisième requérant a été mis en examen ;

- deux articles publiés dans Nice-Matin et Le Figaro rendant compte de l’audience correctionnelle au cours de laquelle le quatrième requérant a été condamné à une peine de sept ans d’emprisonnement et à une peine complémentaire de dix ans de suivi socio-judiciaire pour des faits d’agressions sexuelles sur mineurs de quinze ans.

A la suite des refus opposés par Google à leurs demandes de déréférencement, les requérants ont saisi la CNIL de plaintes tendant à ce qu’il soit enjoint à cette société de procéder au déréférencement des liens en cause. La CNIL ayant refusé d’accéder à leurs demandes, les requérants ont alors introduit devant le Conseil d’Etat, des requêtes dirigées contre ces refus de la CNIL. Le Conseil d’Etat [6], après avoir joint les requêtes, a décidé de surseoir à statuer et d’adresser à la Cour de justice de l'Union européenne des questions préjudicielles portant, pour l’essentiel, sur l’application de l’article 8 de la Directive 95/46.

Cet article concerne le traitement portant sur des catégories particulières, c’est-à-dire sensibles, de données. Il est ainsi rédigé :
«1. Les Etats membres interdisent le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle.
2. Le paragraphe 1 ne s’applique pas lorsque :
a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’Etat membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée
ou

[...]
e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice.
[...]
4. Sous réserve de garanties appropriées, les Etats membres peuvent prévoir, pour un motif d’intérêt public important, des dérogations autres que celles prévues au paragraphe 2, soit par leur législation nationale, soit sur décision de l’autorité de contrôle.
5. Le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national, sous réserve des dérogations qui peuvent être accordées par l’Etat membre sur la base de dispositions nationales prévoyant des garanties appropriées et spécifiques. Toutefois, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.
Les Etats membres peuvent prévoir que les données relatives aux sanctions administratives ou aux jugements civils sont également traitées sous le contrôle de l’autorité publique.

[...]»

Le Conseil d’Etat interrogeait tout d’abord la Cour de justice de l'Union européenne sur la question de savoir si les restrictions imposées par cet article au traitement des données sensibles s’appliquent à l’exploitant d’un moteur de recherche.

Pour répondre à cette question, la CJUE commence par rappeler, d’une part, que l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de «traitement de données à caractère personnel», au sens de l’article 2, sous b), de la Directive 95/46, lorsque ces informations contiennent des données à caractère personnel et, d’autre part, que l’exploitant de ce moteur de recherche doit être considéré comme le « responsable » dudit traitement, au sens de l’article 2, sous d), de cette Directive. En effet, le traitement de données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche se distingue et s’ajoute à celui effectué par les éditeurs de sites web, consistant à faire figurer ces données sur une page web, et cette activité joue un rôle décisif dans la diffusion globale desdites données en ce qu’elle rend celles-ci accessibles à tout internaute effectuant une recherche à partir du nom de la personne concernée, y compris aux internautes qui, autrement, n’auraient pas trouvé la page web sur laquelle ces mêmes données sont publiées. Selon la Cour, il ressort de l’économie de ces textes que l’exploitant d’un tel moteur doit, à l’instar de tout autre responsable du traitement, assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que le traitement des données à caractère personnel qu’il effectue satisfait aux exigences, respectivement, de la Directive 95/46 ou du Règlement n° 2016/679. En conséquence, compte tenu des responsabilités, des compétences et des possibilités de l’exploitant d’un moteur de recherche en tant que responsable du traitement effectué dans le cadre de l’activité de ce moteur, les interdictions et les restrictions prévues à l’article 8, § 1 et 5, de la Directive 95/46 et à l’article 10 du Règlement n° 2016/679, ne peuvent s’appliquer à cet exploitant qu’en raison de ce référencement et, donc, par l’intermédiaire d’une vérification à effectuer, sous le contrôle des autorités nationales compétentes, sur la base d’une demande formée par la personne concernée. Dès lors, les dispositions de l’article 8, § 1 et 5, de la Directive 95/46 doivent être interprétées en ce sens que l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel, visées par ces dispositions, s’appliquent, sous réserve des exceptions prévues par cette Directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à la suite d’une demande introduite par la personne concernée.

Ce principe étant posé, la Cour s’attache ensuite à répondre aux questions portant sur la mise en œuvre du déréférencement des sites comportant des données sensibles.

Etant donné le principe d’interdiction du traitement de ces données, elle énonce la règle selon laquelle «les dispositions de l’article 8, § 1 et 5, de la Directive 95/46 doivent être interprétées en ce sens que, en vertu de celles-ci, l’exploitant d’un moteur de recherche est en principe obligé, sous réserve des exceptions prévues par cette Directive, de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées par ces dispositions».

L’article 8, § 2, de la Directive prévoit toutefois des exceptions à cette interdiction, en cas de consentement donné par l’intéressé -lequel consentement disparaît néanmoins lorsque l’intéressé formule une demande de déréférencement- ou, surtout, lorsque les données ont manifestement été rendues publiques par la personne concernée. Il en résulte que l’exploitant du moteur de recherche peut refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel qui relèvent des catégories particulières visées à cet article 8, § 1, mais dont le traitement est couvert par l’exception prévue audit article 8, § 2, sous e), à condition que ce traitement réponde à l’ensemble des autres conditions de licéité posées par cette Directive et à moins que la personne concernée n’ait, en vertu de l’article 14, premier alinéa, sous a), de ladite Directive, le droit de s’opposer audit traitement pour des raisons prépondérantes et légitimes tenant à sa situation particulière.

Quelles sont ces raisons ? Elles tiennent au respect du droit à la vie privée, lequel doit cependant être mis en balance avec la liberté d’information des internautes potentiellement intéressés : l’exploitant doit ainsi «sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte, vérifier, au titre des motifs d’intérêt public important visés à l’article 8, § 4, de ladite Directive et dans le respect des conditions prévues à cette dernière disposition, si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche, consacrée à l’article 11 de la Charte». On retrouve ici l’affirmation de la nécessité d’un juste équilibre entre les droits fondamentaux applicables, au regard notamment de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique.

Enfin, la Cour de justice de l'Union européenne était également interrogée, à propos de l’article 8, § 5, de la Directive, sur la conduite que l’exploitant d’un moteur de recherche doit tenir s’agissant de liens menant vers des sites faisant état d’informations relatives à des procédures judiciaires.

Ces informations constituent-elles des données relatives aux «infractions» et aux «condamnations pénales», au sens de l’article 8, § 5, de la Directive 95/46 ? La Cour de justice de l'Union européenne répond à cette question par l’affirmative, considérant que les informations concernant une procédure judiciaire menée contre une personne physique, telles que celles relatant sa mise en examen ou le procès, et, le cas échéant, la condamnation qui en a résulté, constituent des données relatives aux «infractions» et aux «condamnations pénales», et ce indépendamment du fait que, au cours de cette procédure judiciaire, la commission de l’infraction pour laquelle la personne était poursuivie a effectivement été établie ou non.

Dans ces conditions, l’exploitant d’un moteur de recherche est-il tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle ? Là encore, se référant à la jurisprudence de la Cour européenne des droits de l’Homme, la Cour de justice de l'Union européenne affirme la nécessité de rechercher un juste équilibre entre les droits fondamentaux en cause, à savoir, d’un côté, la liberté d’information des internautes, et, de l’autre, le droit à la vie privée de l’intéressé. Il en résulte que l’exploitant d’un moteur de recherche doit apprécier, dans le cadre d’une demande de déréférencement portant sur des liens vers des pages web sur lesquelles sont publiées des informations relatives à une procédure judiciaire en matière pénale menée contre la personne concernée, qui se rapportent à une étape antérieure de cette procédure et ne correspondent plus à la situation actuelle, si, eu égard à l’ensemble des circonstances de l’espèce, telles que notamment la nature et la gravité de l’infraction en question, le déroulement et l’issue de ladite procédure, le temps écoulé, le rôle joué par cette personne dans la vie publique et son comportement dans le passé, l’intérêt du public au moment de la demande, le contenu et la forme de la publication ainsi que les répercussions de celle-ci pour ladite personne, cette dernière a droit à ce que les informations en question ne soient plus, au stade actuel, liées à son nom par une liste de résultats, affichée à la suite d’une recherche effectuée à partir de ce nom.

De manière intéressante, la Cour apporte une précision supplémentaire : elle indique que «quand bien même l’exploitant d’un moteur de recherche devrait constater que l’inclusion du lien en cause s’avère strictement nécessaire pour concilier les droits au respect de la vie privée et à la protection des données de la personne concernée avec la liberté d’information des internautes potentiellement intéressés, cet exploitant est, en tout état de cause, tenu, au plus tard à l’occasion de la demande de déréférencement, d’aménager la liste de résultats de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation judiciaire actuelle, ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste».

II - La portée territoriale du déréférencement

Le second litige, également porté devant le Conseil d’Etat, concernait une affaire dans laquelle la présidente de la CNIL avait mis Google en demeure, lorsqu’elle fait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche.

Google avait refusé de donner suite à cette mise en demeure, se bornant à supprimer les liens en cause des seuls résultats affichés en réponse à des recherches effectuées depuis les noms de domaine correspondant aux déclinaisons de son moteur dans les Etats membres. La CNIL avait par ailleurs estimé insuffisante la proposition complémentaire dite de «géoblocage», faite par Google après l’expiration du délai de mise en demeure, consistant à supprimer la possibilité d’accéder, depuis une adresse IP (Internet Protocol) réputée localisée dans l’Etat de résidence de la personne concernée, aux résultats litigieux à la suite d’une recherche effectuée à partir de son nom, indépendamment de la déclinaison du moteur de recherche qu’a sollicitée l’internaute.

Par une délibération en date du 10 mars 2016, la CNIL avait alors prononcé à l’encontre de cette société une sanction, rendue publique, de 100 000 euros. Google avait par suite demandé au Conseil d’Etat l’annulation de cette décision.

Le Conseil d’Etat [7]a décidé de surseoir à statuer et d’interroger la Cour de justice de l'Union européenne sur la portée territoriale du déréférencement. Plus précisément, la question était de savoir si l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement :

- sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ d’application territorial de la Directive 95/46 ; ou

- s’agissant des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur sur le nom de domaine correspondant à l’Etat où la demande est réputée avoir été effectuée ; ou

- s’agissant des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des Etats membres ?

La question avait une grande importance, tant d’un point de vue pratique (extensions concernées) que d’un point de vue théorique (application extraterritoriale éventuelle du droit européen).

La Cour reconnaît qu’un déréférencement opéré sur l’ensemble des versions d’un moteur de recherche serait de nature à satisfaire pleinement l’objectif de la Directive et du «RGPD», qui est de garantir un niveau élevé de protection des données à caractère personnel dans l’ensemble de l’Union.

Pour autant, elle invoque ensuite des arguments qui militent à l’encontre d’une application extraterritoriale du droit au déréférencement. D’une part, de nombreux Etats tiers ne connaissent pas le droit au déréférencement ou adoptent une approche différente de ce droit. D’autre part, le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Or, l’équilibre entre le droit au respect de la vie privée et à la protection des données à caractère personnel, d’un côté, et la liberté d’information des internautes, de l’autre côté, est susceptible de varier de manière importante à travers le monde.

Il résulte de ces éléments qu’en l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, le cas échéant, à la suite d’une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un Etat membre, pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur.

Dès lors, se pose la question de savoir si le déréférencement doit s’effectuer sur les versions du moteur de recherche correspondant aux Etats membres ou sur la seule version de ce moteur correspondant à l’Etat membre de résidence du bénéficiaire du déréférencement. Compte tenu de l’objectif qui consiste à assurer un niveau cohérent et élevé de protection dans l’ensemble de l’Union et de lever les obstacles aux flux de données au sein de celle-ci, la Cour affirme que les exploitants de moteurs de recherche sont tenus d’opérer le déréférencement sur les versions de leurs moteurs correspondant à l’ensemble des Etats membres. C’est donc, par principe, à l’échelle de l’Union, que s’effectuera le déréférencement, couplé, si nécessaire, avec des mesures -telles que le géoblocage- permettant effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des Etats membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.

Il est toutefois à noter que la Cour n’exclut pas deux dérogations à ce principe :

- D’une part, dans le sens d’une extension mondiale de la portée du déréférencement, elle note que si «le droit de l’Union n’impose pas, en l’état actuel, que le déréférencement auquel il serait fait droit porte sur l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus. Partant, une autorité de contrôle ou une autorité judiciaire d’un Etat membre demeure compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur». A cet égard, il sera intéressant de voir si les autorités françaises maintiennent la position de la CNIL en faveur d’un déréférencement mondial.

- D’autre part, dans le sens d’une limitation de la portée du déréférencement, la Cour indique que «l’intérêt du public à accéder à une information peut, même au sein de l’Union, varier d’un Etat membre à l’autre, de sorte que le résultat de la mise en balance à effectuer entre celui-ci, d’une part, et les droits au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée, d’autre part, n’est pas forcément le même pour tous les Etats membres, d’autant plus que, en vertu de l’article 9 de la Directive 95/46 et de l’article 85 du Règlement 2016/679, il appartient aux Etats membres de prévoir, notamment pour les traitements aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et des dérogations nécessaires pour concilier ces droits avec, notamment, la liberté d’information».

En définitive donc, les deux arrêts du 24 septembre 2019 contribuent utilement à préciser le régime du déréférencement, sans pour autant tarir toutes les interrogations à ce sujet.

 

[1] CJUE, 13 mai 2014, aff. C-131/12 (N° Lexbase : A9704MKM).

[2] Publiée au JOUE n° L 281 du 23 novembre 1995, p. 31.

[3] Publié au JOUE n° L 119 du 4 mai 2016, p. 1.

[4] Aff. C-136/17.

[5] Aff. C-507/17.

[6] CE Ass., 24 février 2017, n° 391000, publié au recueil Lebon (N° Lexbase : A2360TP4).

[7] CE 9° et 10° ch.-r., 19 juillet 2017, n° 399922, mentionné aux tables du recueil Lebon (N° Lexbase : A2056WNH).

newsid:470703