Conseil d’État, 27 mars 2020, n° 399922, Google Inc. c. CNIL.
En application de la loi française du 6 janvier 1978, relative à l’informatique et aux libertés, complétée et révisée par la loi du 20 juin 2018 et l’ordonnance du 12 décembre 2018, et de la directive européenne du 24 octobre 1995, abrogée et remplacée par le règlement, du 27 avril 2016, sur la protection des données (RGPD), l’exploitant d’un moteur de recherche, faisant droit à une demande de déréférencement, n’est pas dans l’obligation d’y procéder sur les versions non européennes de ses noms de domaine. Il y est par contre tenu pour tous les États membres de l’Union européenne (UE). C’est ce qui ressort de cette affaire, le Conseil d’État (CE) annulant, après un arrêt de la Cour de justice de l’Union européenne (CJUE) répondant à ses « questions préjudicielles », une sanction prononcée, par la Commission nationale de l’informatique et des libertés (Cnil), à l’encontre de la société Google Inc. à laquelle elle reprochait de n’avoir pas assuré la pleine protection des droits du demandeur en n’effectuant pas un déréférencement général à l’échelle mondiale.
Une juste compréhension de la question relative à la portée territoriale du droit et/ou devoir de déréférencement des différents liens d’un moteur de recherche accessible en France et en Europe sous divers noms de domaine, nécessite de faire rappel des faits et de la décision de sanction de la Cnil, avant de considérer l’arrêt du CE du 19 juillet 2017, saisissant, d’une question préjudicielle, la CJUE qui s’est prononcée par un arrêt du 24 septembre 2019 (voir La rem n°52, p.13), suivi de l’arrêt du CE du 27 mars 2020.
Décision de la Commission nationale de l’informatique et des libertés, du 10 mars 2016
À l’origine de cette affaire, il y avait une décision, du 21 mai 2015, par laquelle la présidente de la Cnil a « mis en demeure la société Google Inc., lorsqu’elle fait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche ».
La société Google ne s’étant pas conformée à cette mise en demeure, la Cnil, investie du pouvoir de sanction a, le 10 mars 2016, prononcé, à son encontre, une sanction de 100 000 euros. Auprès du CE, la société Google Inc. a demandé l’annulation de cette décision.
Arrêt du Conseil d’État, du 19 juillet 2017
Par l’arrêt du 19 juillet 2017, le Conseil d’État, incertain quant à la portée territoriale du droit et/ou devoir de déréférencement, saisit la CJUE d’une « question préjudicielle ».
Pour le CE, « la question de savoir si le « droit au déréférencement » […] doit être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur, de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ d’application territoriale de la directive du 24 octobre 1995, soulève une première difficulté sérieuse d’interprétation du droit » de l’UE.
Il estime ensuite que, « en cas de réponse négative à cette première question », celle de « savoir si le « droit au déréférencement » […] doit être interprété en ce sens que l’exploitant d’un moteur de recherche est seulement tenu, lorsqu’il fait droit à une demande de déréférencement, de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée […] sur le nom de domaine correspondant à l’État où la demande est réputée avoir été effectuée ou, plus largement, sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des États membres de l’Union européenne soulève une deuxième difficulté sérieuse d’interprétation du droit » de l’UE.
Il ajoute que la question de savoir si le droit au déréférencement « doit être interprété en ce sens que l’exploitant d’un moteur de recherche […] est tenu de supprimer, par la technique dite du « géo-blocage », depuis une adresse IP réputée localisée dans l’État de résidence du bénéficiaire du « droit au déréférencement », les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir de son nom, ou même, plus généralement, depuis une adresse IP réputée localisée dans l’un des États membres » de l’Union européenne, « indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche, soulève une troisième difficulté sérieuse d’interprétation du droit » de l’UE.
Considérant ces questions comme présentant « plusieurs difficultés sérieuses d’interprétation du droit de l’Union européenne » et « déterminantes pour la solution du litige », le CE décide d’en saisir la CJUE.
Arrêt de la Cour de justice de l’Union européenne, du 24 septembre 2019
Pour la CJUE, il « ne ressort aucunement » de la directive et du règlement visés que le législateur européen ait « fait le choix de conférer aux droits » en cause « une portée qui dépasserait le territoire des États membres et qu’il aurait entendu imposer, à un opérateur » tel que Google, « une obligation de déréférencement portant également sur les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres ». En conséquence, elle estime qu’il n’existe pas « pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement […] d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur ».
« S’agissant de la question de savoir si un tel déréférencement doit s’effectuer sur les versions du moteur de recherche correspondant aux États membres ou sur la seule version de ce moteur correspondant à l’État membre de résidence du bénéficiaire du déréférencement », la Cour de justice pose que « le déréférencement en cause est, en principe, censé être opéré pour l’ensemble des États membres » de l’Union européenne.
La Cour conclut que, « lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement […], il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres ». C’est ainsi éclairé que le CE statue dans son arrêt du 27 mars 2020.
Arrêt du Conseil d’État, du 27 mars 2020
Pour le CE, en sanctionnant la société Google Inc. « au motif que seule une mesure s’appliquant à l’intégralité du traitement liée au moteur de recherche, sans considération des extensions interrogées et de l’origine géographique de l’internaute effectuant une recherche est à même de répondre à l’exigence de protection », la Cnil a entaché sa délibération d’erreur de droit.
L’arrêt retient encore qu’il « ne résulte, en l’état du droit applicable, d’aucune disposition législative qu’un tel déréférencement pourrait excéder le champ couvert par le droit de l’Union européenne pour s’appliquer hors du territoire des États membres ». Il ajoute qu’« une telle faculté ne peut être ouverte qu’au terme d’une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information ».
De tout cela, il est conclu que « la société Google Inc. est fondée à demander l’annulation » de la sanction qu’elle attaque, prononcée, à son encontre, par la Cnil, le 10 mars 2016.
De la combinaison des textes européens et de la loi française et de l’interprétation qu’en font la CJUE et le CE, il résulte qu’il « n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement […] pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur », mais que « le déréférencement en cause est, en principe, censé être opéré pour l’ensemble des États membres » de l’UE. Toute exigence complémentaire, telle qu’imposée en l’espèce par la Cnil, entraîne l’annulation de la sanction prononcée.
