Déréférencement des moteurs de recherche : jusqu’où ?
22 mai 2020.
Dans un arrêt du 27 mars 2020[1], le Conseil d’Etat s’est aligné sur la position de la Cour de justice de l’Union européenne (CJUE) limitant la portée géographique du droit au déréférencement au territoire européen.
Parachèvement ou simple étape dans l’application de ce droit encore récent ?
Retour sur l’épopée jurisprudentielle du droit au déréférencement.
Consacré le 13 mai 2014[2], par la décision de la CJUE « Google Spain », le droit au déréférencement, illustration du droit à l’oubli relevant de la directive 95/46/CE du 24 octobre 1995[3], permet à toute personne de solliciter d’un moteur de recherche la suppression des liens renvoyant vers des pages web à la suite d’une requête lancée à partir de ses nom et prénom. Confronté à un refus, l’intéressé peut porter sa demande devant le juge judiciaire ou la Commission Nationale de l’Informatique et des Libertés (CNIL) et, en cas de rejet de celle-ci, devant le Conseil d’Etat.
L’application de ce droit pose difficulté au regard du nécessaire et délicat équilibre entre le droit à la liberté de l’information et la protection de la vie privée de personnes concernées.
Saisie par le Conseil d’Etat de questions préjudicielles sur la portée de ce droit à l’oubli, la CJUE, dans deux arrêts en date du 24 septembre 2019, a fixé son analyse, dont le Conseil d’Etat a récemment tiré les conséquences.
- Le premier arrêt de la CJUE[4] a défini les bases du juste équilibre entre respect de la vie privée et information du public, notamment s’agissant des catégories particulières de données. Le Conseil d’Etat a repris des principes dans ses arrêts du 6 décembre 2019[5] (I).
- Dans un second arrêt du 24 septembre 2019[6], la CJUE s’est prononcée sur la portée territoriale du droit au déréférencement : le Conseil d’Etat a pris la mesure de cette décision dans son arrêt du 27 mars 2020 (II).
- Droit au déréférencement et données sensibles : la grille de lecture retenue
Treize particuliers confrontés à un refus de déréférencement par Google avaient saisi la CNIL pour obtenir satisfaction dans l’exercice de leur droit. Non satisfaits dans leur demande par l’autorité de contrôle française, les intéressés ont saisi, en dernier recours, le Conseil d’Etat, qui s’est tourné vers la CJUE dans le cadre de questions préjudicielles le 24 février 2017[7].
C’est dans ce contexte que, par décision du 24 septembre 2019, la CJUE a posé les conditions entourant l’obtention du déréférencement d’un lien renvoyant plus spécifiquement vers des données sensibles.
Elle opère une pondération entre l’intérêt du public à accéder à l’information et le respect de la vie privée des personnes concernées, pondération d’autant plus stricte que les données en jeu sont sensibles, au sens de l’article 8 de la directive précitée et des articles 9 et 10 du Règlement général sur la protection des données (RGPD)[8] . Le rôle de la personne concernée dans la vie publique est aussi pris en considération. Si le lien renvoie vers des données de nature pénale, l’exploitant du moteur de recherche doit envisager, eu égard aux circonstances de l’espèce (gravité de l’infraction, déroulement de la procédure, temps écoulé, rôle et comportement publics de la personne…), de mettre en avant une page web relayant des informations à jour des pages antérieures.
A la lumière de cette décision, la Haute juridiction administrative, dans ses arrêts du 6 décembre 2019, a apporté d’opportunes précisions quant aux modalités de mise en œuvre du droit au déréférencement. Reprenant la nécessaire mise en balance qu’implique son appréciation, le Conseil d’Etat a rappelé que le juge doit prendre en considération les circonstances et le droit applicable à la date à laquelle il statue et a retenu la distinction opérée par la CJUE au regard du niveau de sensibilité des données.
L’intérêt prépondérant du public à accéder à l’information en cause à partir du nom de l’intéressé sera ainsi apprécié au regard :
- des caractéristiques des données concernées (contenu, date de publication, source…),
- du rôle social du demandeur (notoriété, rôle dans la vie publique…),
- des conditions d’accès à l’information en cause (possibilité du public d’y accéder par des mots clés ne comportant pas le nom ou si cette information a été rendue publique par l’intéressé).
Si les informations vers lesquelles renvoie le lien litigieux sont sensibles, seules celles « strictement nécessaires » à l’information du public pourraient se voir opposer un refus de déréférencement, sauf à ce que la personne ayant effectué la demande de déréférencement ait manifestement rendu publique l’information.
Le Conseil d’Etat s’est également aligné sur la position de la CJUE s’agissant des données relatives à une procédure pénale : un moteur de recherche est tenu d’aménager la liste de résultats afin de garantir que le premier d’entre eux mène à des informations à jour. Il est à relever que, s’agissant des données pénales, la Cour de cassation, par un arrêt du 27 novembre 2019[9], a suivi le raisonnement du juge européen en imposant aux juges du fond de vérifier que l’inclusion des liens litigieux renvoyant à des données pénales était « strictement nécessaire » à la liberté d’information.
Ainsi, le niveau de sensibilité des données vers lesquelles renvoie le lien litigieux est au cœur de la mise en balance des intérêts respectifs des protagonistes.
Qu’en est-il de la portée territoriale de ce droit ? C’est l’objet de la deuxième décision de la CJUE.
- Droit au déréférencement : la portée territoriale
A la suite de la décision « Google Spain », la CNIL a considéré que le déréférencement devait être étendu à l’ensemble de l’extension géographique des noms de domaine (« .fr », « .com », etc.).
Ainsi, la formation restreinte de la CNIL a, par délibération du 10 mars 2016, infligé une sanction pécuniaire à Google [10] pour ne s’être pas conformé à une mise en demeure lui demandant de rendre effectif un déréférencement sur l’ensemble des extensions du nom de domaine de son moteur de recherche. L’autorité de protection des données française, estimant que seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche, sans distinction entre les extensions interrogées et l’origine géographique de l’internaute effectuant une recherche permettait d‘assurer aux résidents européens une protection conforme aux exigences de la CJUE, n’a pas retenu la solution technique de géoblocage proposée par la société Google.
Arguant que les mesures de redirection automatique et de blocage d’accès s’appliquant à tous les internautes localisés sur le territoire national suffisaient, la société a saisi le Conseil d’Etat, lequel a sursis à statuer en attendant la réponse de la CJUE.
Cette décision de la CJUE, intervenue le 24 septembre 2019, a limité ce droit au territoire européen, tout en précisant qu’une autorité de contrôle nationale ou une juridiction devait être compétente pour obliger, au cas par cas, les moteurs de recherche à effectuer un déréférencement sur l’ensemble des versions de son moteur, dès lors qu’une mise en balance entre protection de la vie privée et liberté de l’information avait été réalisée.
Dans son arrêt du 27 mars 2020, le Conseil d’Etat a pris la mesure de la décision de la CJUE et jugé que la CNIL « a commis une erreur de droit justifiant l’annulation de la sanction qu’elle avait infligée à Google, au motif que seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche sans considération des extensions interrogées et de l’origine géographique de l’internaute effectuant une recherche est à même de répondre à l’exigence de protection telle qu’elle a été consacrée par la Cour de justice de l’Union européenne ».
La CNIL avait invoqué en défense le point relevé pat la CJUE selon lequel « si le droit de L’Union n’impose pas, en l’état actuel, que le déréférencement auquel il serait fait droit porte sur l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus. Partant, une autorité de contrôle (…) demeure compétente pour effectuer (…) une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur ».
Le Conseil d’Etat a refusé la substitution de motifs en tant que « la formation restreinte de la CNIL n’a pas effectué une telle mise en balance », laquelle était nécessaire en l’absence de disposition légale permettant un déréférencement hors du champ européen. La haute juridiction administrative estime bien fondée la demande de Google de faire annuler la délibération portant sanction de la CNIL. et s’aligne sur la position de la CJUE.
S’en est suivie l’annonce par la CNIL de la prise en considération des précisions apportées[11] par le Conseil d’Etat.
[1] CE, Google INC, N°399922, 27 mars 2020, https://www.cnil.fr/sites/default/files/atoms/files/decision_du_conseil_detat_-_dereferencement_-_27_mars_2020.pdf
[2] CJUE, 13 mai 2014, C-131/12 « Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González », http://curia.europa.eu/juris/document/document.jsf?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=3377381
[3] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
[4] CJUE, 24 septembre 2019, C-136-17,
[5]Conseil d’Etat, section du contentieux, 10è et 9è chambres réunies, 6 décembre 2019, https://www.conseil-etat.fr/ressources/decisions-contentieuses/dernieres-decisions-importantes/conseil-d-etat-6-decembre-2019-13-decisions-relatives-au-droit-a-l-oubli
[6] CJUE, 24 septembre 2019, C-507-17, http://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1874208
[7] CE, Assemblée, n°39000, 24 février 2017, https://www.legifrance.gouv.fr/affichJuriAdmin.do?&idTexte=CETATEXT000034081835
[8] RÈGLEMENT (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
[9] Cass. Civ. 1ère, 27 novembre 2019, n°18-14.675, https://www.courdecassation.fr/jurisprudence_2/premiere_chambre_civile_568/990_27_43966.html
[10] Délibération n°2016 – 054 du 10 mars 2016, https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000032291946
[11] https://www.cnil.fr/fr/droit-au-dereferencement-le-conseil-detat-tire-les-consequences-des-arrets-de-la-cour-de-justice-de
Odile Jami-Caston, juriste experte, directrice du pôle Data Privacy & RGPD Compliance
ITLAW AVOCATS
281 rue de Vaugirard 75015 Paris
Tél. (standard) : +33(0)1.83.62.61.75
Nous contacter