On s'y attendait depuis la publication des conclusions de l'avocat général Szpunar (notre actualité du 31 janvier 2019), la Cour de justice de l'union européenne a rendu sa décision sur la portée géographique du droit au déréférencement dans un sens relativement limité.
Rapide rappel des faits
L'affaire d'origine opposait Google à la Cnil. Depuis l'arrêt de la CJUE du 13 mai 2014, rappelant l'applicabilité de la législation européenne à tout traitement de données personnelles, y compris par un moteur de recherche, et instituant ainsi le fameux Droit au déréférencement, Google avait pris l'habitude de ne pas pratiquer ce déréférencement sur toutes ses interfaces, mais uniquement sur celles ressortissant de l'Union européenne (Google.fr, .be, .de, etc) puis dans un deuxième temps, en restreignant encore ce déréférencement au seul pays du demandeur. En d'autres termes, les contenus jugés légitimement indésirables aux yeux de la personne concernée continuaient d'être visibles depuis tout autre pays du monde et même en Europe. Un requérant insatisfait par cette solution a donc saisi la Cnil qui a condamné Google à procéder au déréférencement sur la totalité de ses plateformes. Google a alors saisi le Conseil d'État en appel de la décision de la Cnil et le Conseil a posé la question préjudicielle à la CJUE. C'est cette décision longtemps attendue qui est tombée le 24 septembre dernier.
Deux écoles en présence
En présence donc, deux positions diamétralement opposées.
Rappelons à titre préliminaire que le "déréférencement" ne consiste pas à supprimer le contenu en ligne sur le site où il a été créé, mais uniquement de faire en sorte que ce contenu ne soit plus référencé par les moteurs de recherche, dont le plus utilisé d'entre eux, Google.
La position de Google est de considérer que, hormis dans son pays, où le ressortissant est protégé par ses lois nationales qui lui donnent droit au déréférencement des contenus qu'il juge nuisibles à son image, le droit à l'information du public doit continuer de jouer dans tous les autres pays du monde.
La position de la Cnil est inverse : Un simple déréférencement sur la seule plateforme nationale du requérant, voire sur l'ensemble des plateformes européennes, comme le pratiquait Google au début, viderait de son contenu le droit que détient un ressortissant de l'Union européenne de voir protégées ses données à l'égard de tous, quelles que soient les considérations de mise en balance de ce droit avec l'intérêt du pblic à être informé. La Cnil dans sa décision avait utilisé un argument fort : la directive de 1995 (le RGPD n'a rien changé à ce sujet, bien au contraire) vise tous les "traitements de données". Or la Cnil constatait que le moteur de recherche Google – comme tous les autres moteurs – est constitué d'une seule et même base de données mondiale, laquelle est accessibles dans chaque pays ou groupe de pays par le biais d'une interface particulière, mettant notamment en avant les résultats relevant du pays ou du secteur linguistique donné. À partir de ce constat, il était aisé de déduire que puisqu'il s'agit d'une seule base de données, il n'y a qu'un seul traitement de données, quel que soit son point d'accès sur la planète. D'où la préconisation d'un référencement mondial.
Une décision plutôt mitigée
Suivant largement son avocat général, la Cour tranche principalement en faveur d'un déréférencement limité au territoire de l'Union européenne.
Une curieuse analyse du moteur de recherche
Pour ce faire, elle part d'une étonnante analyse technique de la base de données du moteur Google :
"… compte tenu, notamment, de l’existence de passerelles entre ses différentes versions nationales, être regardé comme effectuant un traitement de données à caractère personnel unique dans le cadre des activités de l’établissement français de Google Inc."
La Cour part du principe selon lequel il y aurait des "passerelles" entre des "versions nationales" du moteur, alors qu'à l'évidence il n'y a qu'une base de données mondiale interrogeables par des interfaces locales.
L'analyse conduit cependant la Cour à considérer qu'il s'agit d'un "traitement de données à caractère personnel unique" dans le cadre des activités de Google en France.
Le critère d'activité économique
Un autre critère est repris du l'arrêt d'origine du 13 mai 2014 :
"…l’établissement dont dispose Google Inc. sur le territoire français exerce des activités, notamment commerciales et publicitaires, qui sont indissociablement liées au traitement de données à caractère personnel effectué pour les besoins du fonctionnement du moteur de recherche concerné".
Si on lit bien, l'application du droit européen à un ressortissant français est lié aux activités commerciales et publicitaires du moteur concerné en France. Ce point était présenté dans l'arrêt du 13 mai 2014, à égalité avec l'application du droit européen sur la protection des données personnelles du ressortissant.
On pourrait plutôt penser que tout ressortissant européen devait être protégé au nom de la Charte des droits fondamentaux de l'Union, version européenne de la Charte des droits de l'homme, indépendamment de considérations économiques de l'acteur international mis en cause.
Un déréférencement sur toute l'Union européenne, mais pas au-delà
La cour tranche donc en faveur d'un déréférencement sur l'ensemble de l'Union européenne.
On retiendra particulièrement les positions suivantes de la Cour :
"… le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité"
"… l’équilibre entre le droit au respect de la vie privée et à la protection des données personnelles, d’un côté, et la liberté d’information des internautes, de l’autre côté, est susceptible de varier de manière importante à travers le monde."
En conclusion :
" en l’état actuel, il n’existe pas, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, le cas échéant, suite à une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un État membre, d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur. "
Et
"Le droit de l’Union oblige, toutefois, l’exploitant d’un moteur de recherche à opérer un tel déréférencement sur les versions de son moteur correspondant à l’ensemble des États membres et de prendre des mesures suffisamment efficaces pour assurer une protection effective des droits fondamentaux de la personne concernée."
Une piste ouverte
Notons cependant cette considération :
"… si le droit de l’Union n’impose pas, en l’état actuel, un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus.
Partant, les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur."
La Cnil explique ce point (dans son communiqué du 24 septembre) :
"La Cour précise par ailleurs que, si le droit de l’Union n’impose pas le déréférencement mondial, il ne l’interdit pas non plus. Ainsi, une autorité de contrôle, et donc la CNIL, est compétente pour obliger un moteur de recherche à déréférencer les résultats sur toutes les versions de son moteur si cela est justifié, dans certains cas, pour garantir les droits de la personne concernée."
Une autre disposition de la Cour est ainsi résumée par la Cnil :
"… la Cour exige que les moteurs de recherche prennent des mesures efficaces pour empêcher, ou au moins sérieusement décourager, qu’un internaute européen puisse avoir accès aux liens déréférencés."
Et d'ajouter, sur le terrain français :
"Il appartient désormais au Conseil d’État d’apprécier si les modifications apportées par Google à son moteur de recherche depuis 2016 sur ce point sont suffisantes.
En savoir plus
Voir le communiqué complet de la CJUE en date du 24 septembre dont toutes nos citations de la Cour sont extraites (pdf 163 ko)
Voir le texte intégral de l'arrêt sur EUR-Lex.
Toutes nos actualités sur les Données à caractère personnel.
