La Cour de justice de l'Union européenne aborde le déréférencement des moteurs de recherche dans un arrêt historique

The Court of Justice of the European Union concludes that, currently, there is no obligation under EU law, for a search engine operator who grants a request for de-referencing made by a data subject, as the case may be, following an injunction from a supervisory or judicial authority of a Member State, to carry out such a de-referencing on all the versions of its search engine.

en flag
nl flag
fr flag
de flag
pt flag
es flag

Communiqué de presse de la Cour de justice de l'Union européenne

Arrêt dans l'affaire C-507/17 Google LLC, successeur de Google Inc. contre Commission nationale de l'informatique et des libertés (CNIL)

L'exploitant d'un moteur de recherche n'est pas tenu d'effectuer un déréférencement sur toutes les versions de son moteur de recherche. Il est toutefois nécessaire de procéder à ce déréférencement sur les versions correspondant à tous les États membres et de mettre en place des mesures décourageant les internautes d'accéder, à partir de l'un des États membres, aux liens en question qui apparaissent sur les versions de ce moteur de recherche en dehors de l'UE.

Par décision du 10 mars 2016, le président de la Commission nationale de l'informatique et des libertés (ci-après la « CNIL ») a infligé une amende de 100 000 euros à Google Inc. en raison du refus de cette société, lors de l'octroi d'une demande de déréférencement, de l'appliquer à tous ses extensions de noms de domaine du moteur de recherche.

Google Inc., ayant été mise en demeure par la CNIL le 21 mai 2015 d'appliquer le déréférencement à toutes les extensions, avait refusé de le faire et s'était bornée à supprimer les liens en question uniquement des résultats affichés à la suite de recherches effectuées à partir des noms de domaine correspondant aux versions de son moteur de recherche dans les États membres. Google Inc. a demandé au Conseil d'État (Conseil d'État, France) d'annuler l'arbitrage du 10 mars 2016. Il considère que le droit de déréférencement n'exige pas nécessairement que les liens en cause soient supprimés, sans limitation géographique, de tous les noms de domaine de son moteur de recherche.

Le Conseil d'État a posé plusieurs questions préjudicielles à la Cour de justice visant à vérifier si les règles du droit communautaire relatives à la protection des données à caractère personnel (1) doivent être interprétées en ce sens que, lorsqu'un opérateur de moteur de recherche fait droit à une demande de déréférencement, l'opérateur est tenu d'effectuer ce déréférencement sur toutes les versions de son moteur de recherche ou si, au contraire, il n'est tenu de le faire que sur les versions de ce moteur de recherche correspondant à tous les États membres ou uniquement sur la version correspondant à l'État membre de résidence de la personne bénéficiant du déréférencement.

Dans l'arrêt rendu ce jour, la Cour rappelle tout d'abord qu'elle a déjà jugé (2) que l'opérateur d'un moteur de recherche est tenu de retirer de la liste des résultats affichés à la suite d'une recherche effectuée sur la base du nom d'une personne des liens vers des pages web, publiés par des tiers et contenant des informations relatives à cette personne, également dans le cas où ce nom ou ces renseignements n'ont pas été effacés au préalable ou simultanément de ces pages web, et même, selon le cas, lorsque leur publication en soi sur ces pages est licite.

La Cour rappelle ensuite que l'établissement de Google Inc. sur le territoire français exerce des activités, y compris des activités commerciales et publicitaires, qui sont inextricablement liées au traitement de données à caractère personnel effectué aux fins de l'exploitation du moteur de recherche concerné et, deuxièmement, que doit, compte tenu, entre autres, de l'existence de passerelles entre ses différentes versions nationales, être considérée comme exécutant un seul acte de traitement de données dans le cadre des activités de l'établissement français de Google Inc. Une telle situation relève donc du champ d'application de la législation de l'UE sur la protection des données à caractère personnel.

La Cour souligne que, dans un monde globalisé, l'accès des internautes — y compris ceux en dehors de l'UE — à la référence d'un lien renvoyant à des informations concernant une personne dont le centre d'intérêts est situé dans l'UE est susceptible d'avoir des effets immédiats et substantiels sur cette personne au sein de l'UE elle-même, de sorte qu'un déréférencement global répondrait pleinement à l'objectif de protection visé dans le droit de l'UE. Toutefois, il indique que de nombreux États tiers ne reconnaissent pas le droit de déréférencer ou n'adoptent pas une approche différente à l'égard de ce droit. La Cour ajoute que le droit à la protection des données à caractère personnel n'est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. En outre, l'équilibre entre le droit à la vie privée et la protection des données personnelles, d'une part, et la liberté d'information des internautes, d'autre part, est susceptible de varier considérablement d'un pays à l'autre.

Toutefois, il ne ressort pas des textes juridiques que le législateur de l'UE a trouvé un tel équilibre en ce qui concerne le champ d'application d'un déréférencement en dehors de l'UE, ni qu'il ait choisi de conférer une portée aux droits des personnes qui dépasseraient le territoire des États membres. Il ne ressort pas non plus de ces textes qu'elle aurait eu l'intention d'imposer à un opérateur, tel que Google, une obligation de déréférencement qui concerne également les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres. Qui plus est, le droit de l'UE ne prévoit pas d'instruments et de mécanismes de coopération en ce qui concerne la portée d'un déréférencement en dehors de l'UE.

Ainsi, la Cour conclut qu'il n'existe actuellement aucune obligation, en vertu du droit de l'Union, pour un opérateur de moteur de recherche qui fait droit à une demande de déréférencement présentée par une personne concernée, selon le cas, à la suite d'une injonction d'une autorité de contrôle ou de justice d'un État membre, de procéder à un tel déréférencement sur toutes les versions de son moteur de recherche.

Toutefois, le droit de l'Union impose à l'exploitant de moteur de recherche de procéder à un tel déréférencement sur les versions de son moteur de recherche correspondant à tous les États membres et de prendre des mesures suffisamment efficaces pour assurer la protection effective des droits fondamentaux de la personne concernée. Ainsi, un tel déréférencement doit s'accompagner, si nécessaire, de mesures qui empêchent effectivement ou, à tout le moins, découragent sérieusement un internaute effectuant une recherche à partir de l'un des États membres sur la base du nom d'une personne concernée d'accéder, via la liste des résultats qui suit : cette recherche, via une version de ce moteur de recherche « hors de l'UE, vers les liens qui font l'objet de la demande de déréférencement. Il appartient à la juridiction nationale de vérifier si les mesures mises en place par Google Inc. satisfont à ces exigences.

Enfin, la Cour rappelle que, si le droit de l'UE n'exige pas actuellement un déréférencement sur toutes les versions du moteur de recherche, il n'interdit pas non plus une telle pratique. En conséquence, les autorités des États membres restent compétentes pour évaluer, à la lumière des normes nationales de protection des droits fondamentaux, le droit de la personne concernée à la vie privée et à la protection des données à caractère personnel la concernant, d'une part, et le droit à la liberté d'information, d'autre part, sur le autres, et, après avoir pesé ces droits l'un contre l'autre, d'ordonner, le cas échéant, à l'exploitant de ce moteur de recherche d'effectuer un déréférencement concernant toutes les versions de ce moteur de recherche.

NOTE : Une demande de décision préjudicielle permet aux juridictions des États membres, dans les litiges qui leur ont été soumis, de poser des questions à la Cour sur l'interprétation du droit de l'Union européenne ou la validité d'un acte de l'Union européenne. La Cour de justice ne statue pas elle-même sur le litige. Il appartient à la juridiction nationale de statuer sur l'affaire conformément à la décision de la Cour, qui est également contraignante pour les autres juridictions nationales devant lesquelles une question similaire est soulevée. Document non officiel à l'usage des médias, non contraignant pour la Cour de justice.

(1) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31) et au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 sur la protection des personnes physiques à l'égard du traitement des données à caractère personnel et sur la libre circulation de ces données et abrogeant la directive 95/46 (règlement général sur la protection des données) (JO L 119, p. 1, et rectificatif JO L 127, p. 2).

(2) Affaire : C-131/12 Google Spain et Google voir communiqué de presse 70/14. www.curia.europa.eu

Copie PDF complète de la Cour de justice de l'Union européenne Communiqué de presse n° 112/19, 24 septembre 2019

Cour de justice de l'Union européenne Communiqué de presse n° 112:19 — 092419

Lecture supplémentaire

Jurisprudence InfoTuria - Décision 507/17 - Jugement - 24 septembre 2019

Jurisprudence InfoTuria - Décision 507/17 - Conclusions - 10 janvier 2019

Jurisprudence Infourie - Décision 507/17 - Demande - 29 septembre 2019

Source : CompleDiscovery