CJUE, 24 septembre 2019, Google LLC c. Commission nationale de l’informatique et des libertés, C-507/17.
Le Conseil d’État a saisi la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle visant à l’interprétation de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (en vigueur à l’époque des faits, et aujourd’hui remplacée par le règlement (UE) n° 2016/679, du 27 avril 2016, ayant le même objet), à l’occasion d’un recours en annulation, porté devant lui, à l’égard d’une sanction prononcée (100 000 euros), à l’encontre de la société Google LLC, par la Commission nationale de l’informatique et des libertés (Cnil), pour refus d’appliquer une demande de déréférencement de données personnelles à l’ensemble des extensions de nom de domaine du moteur de recherche.
En son arrêt, la Cour de justice est notamment amenée à se prononcer sur les données personnelles soumises audit « droit au déréférencement » (ou, plus couramment, « droit à l’effacement » ou « droit à l’oubli ») et sur la portée territoriale de ce droit.
Données personnelles soumises au droit au déréférencement
À l’origine de cette affaire, l’arrêt évoque « un litige, entre Google et la Cnil, sur le point de savoir de quelle manière l’exploitant d’un moteur de recherche, lorsqu’il constate que la personne concernée a droit à ce qu’un ou plusieurs liens vers des pages web sur lesquelles figurent des données à caractère personnel la concernant soient effacés de la liste des résultats, qui est affichée à la suite d’une recherche effectuée à partir de son nom, doit mettre en œuvre ce droit au déréférencement ». Il s’agissait, en l’espèce, d’informations relatives à des procédures judiciaires dont la collecte et le traitement sont l’objet d’un régime particulier.
L’arrêt mentionne cependant que « le droit à la protection des données à caractère personnel n’est pas un droit absolu », mais qu’il « doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux ». Les textes européens prévoient, à cet égard, un régime dérogatoire à la protection des données en faveur de « l’exercice du droit à la liberté d’expression et d’information ».
Portée territoriale du droit au déréférencement
Pour la Cour de justice, la question dont elle est saisie vise à savoir si les dispositions de la directive 95/46/CE et du règlement 2016/679 « doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement », il est tenu de l’opérer « sur les versions de celui-ci correspondant à l’ensemble des États membres » ou « uniquement sur celle correspondant à l’État membre dans lequel la demande de déréférencement a été introduite ».
Dans l’affaire en cause, « la Cnil a mis Google en demeure, lorsqu’elle fait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche ». Mais « Google a refusé de donner suite à cette mise en demeure, se bornant à supprimer les liens […] des seuls résultats affichés en réponse à des recherches effectuées depuis les noms de domaine correspondant aux déclinaisons de son moteur dans les États membres ».
L’arrêt relève qu’« un déréférencement opéré sur l’ensemble des versions d’un moteur de recherche » serait « de nature à rencontrer pleinement » l’objectif de protection des données à caractère personnel dans l’ensemble de l’Union européenne. En effet, « Internet est un réseau mondial sans frontières et les moteurs de recherche confèrent un caractère ubiquitaire aux informations et aux liens contenus dans chaque liste de résultats affichée à la suite d’une recherche effectuée à partir du nom d’une personne physique » et, « dans un monde globalisé, l’accès des internautes, notamment ceux qui se trouvent en dehors de l’Union, au référencement d’un lien renvoyant à des informations sur une personne dont le centre d’intérêts se situe dans l’Union est ainsi susceptible de produire sur celle-ci des effets immédiats et substantiels au sein même de l’Union ».
Il considère cependant qu’il « ne ressort aucunement » des dispositions en vigueur que le législateur de l’Union « aurait fait le choix de conférer », au droit à la protection des données à caractère personnel, « une portée qui dépasserait le territoire des États membres et qu’il aurait entendu imposer à un opérateur » tel que Google « une obligation de déréférencement portant également sur les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres ».
La Cour en conclut que, « en l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement […] pas d’obligation, découlant du droit de l’Union, de procéder à un tel déréférencement sur l’ensemble des versions de son moteur ». Ledit exploitant « est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres ». Il est ainsi donné raison à Google, contre la Cnil, de n’avoir déréférencé des informations, constitutives de données à caractère personnel, seulement sur les versions européennes de ses moteurs de recherche.
Source :
- « Sur Internet, le « droit à l’oubli » ne s’applique pas au monde entier », Martin Untersinger, Le Monde, 26 septembre 2019.