Dans la continuité de l’arrêt « Google Spain », la CJUE a eu à se prononcer sur la portée territoriale du droit au déréférencement et sur l’application des obligations de déréférencement aux données dites sensibles.
Le droit au déréférencement permet à tout internaute européen d’obtenir, sous condition, la suppression de liens contenant des informations personnelles et référencés par un moteur de recherche à partir d’une requête faite sur son identité, cette suppression ne signifiant pas l’effacement de l’information sur le site Internet source (CJUE, 13 mai 2014, C-131/12, Google Spain).
Les contours de ce droit ne sont toutefois pas nettement précisés. La jurisprudence les définit au fil des décisions. Deux arrêts ont ainsi été rendus le 24 septembre 2019, sur questions préjudicielles du Conseil d’Etat (CE, 24 février 2017, n°391000 ; CE, 19 juillet 2017, n° 399922). L’un concernait la portée territoriale du droit au déréférencement, l’autre l’application des obligations de déréférencement aux données dites sensibles.
L’application du déréférencement à l’échelle de l’Union européenne
Dans une première décision, les juges de Luxembourg ont estimé que le droit au déréférencement, abusivement surnommé « droit à l’oubli », ne s’appliquait qu’à l’intérieur des frontières de l’Union européenne, donnant ainsi raison à Google (CJUE, gr. ch., 24 juillet 2019, C-507/17, Google c/ CNIL).
Jusqu’ici, les pages concernées par le déréférencement ne disparaissaient que lorsque l’internaute effectuait sa recherche sur les extensions de Google des Etats membres de l’Union européenne. Constatant qu’il suffisait pour un internaute de se rendre sur une autre extension, google.com notamment, pour afficher le contenu retiré, la Commission nationale de l’informatique et des libertés (CNIL) avait ordonné au moteur de recherche de procéder au déréférencement dans le monde entier et dans tous ses résultats de recherche.
Saisie d’une question préjudicielle sur ce point, la CJUE a tranché. Le droit au déréférencement n’est pas contraignant pour les pays tiers de l’Union européenne, l’équilibre entre la protection de la vie privée et la liberté d’expression des internautes étant susceptible de varier à travers le monde. Ainsi, un moteur de recherche qui reçoit une demande de déréférencement d’un citoyen européen n’est obligé de supprimer les résultats concernés que pour ses noms de domaine européens (google.fr, google.be, google.de, etc.).
La possibilité d‘un déréférencement mondial reste toutefois ouverte. La CJUE insiste sur le fait que les moteurs de recherche doivent non seulement prendre « des mesures suffisamment efficaces » pour que le déréférencement soit bien effectif dans toute l’Union européenne mais également accompagner ce retrait de mesures « empêchant ou décourageant sérieusement » l’accès des internautes européens aux liens déréférencés.
La Cour ajoute que si le droit de l’Union n’impose pas un déréférencement mondial, il ne l’interdit pas non plus. Ainsi est-il de la compétence des autorités nationales de protection des données d’obliger, dans certains cas, un moteur de recherche à déréférencer les résultats sur toutes les versions de son moteur si cela est justifié pour garantir les droits de la personne concernée.
Les conditions d’application du déréférencement aux données dites sensibles
La seconde décision rendue par la Cour clarifie la question du traitement portant sur des catégories particulières de données, telles que définies à l’article 9 du règlement 2016/679 (RGPD) (CJUE, gr. ch., 24 septembre 2019, C-136/17, Google c/ CNIL).
Dans une affaire où plusieurs particuliers avaient demandé à la société américaine de déréférencer de ses résultats des pages les concernant et contenant ce type de données, le moteur de recherche puis la CNIL avaient considéré que, fussent-elles sensibles, ces données n’en étaient pas moins d’intérêt public et ne devaient donc pas être déréférencées. Saisi par les requérants, le Conseil d’Etat a sollicité une nouvelle explication de texte à la CJUE.
La Cour a d’abord rappelé que l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné devait être qualifiée de « traitement de données à caractère personnel » au sens de l’article 2, sous b), de la directive 95/46, lorsque ces informations contiennent des données à caractère personnel. D’autre part, elle a souligné que l’exploitant de ce moteur de recherche devait être considéré comme le « responsable » dudit traitement, au sens de l’article 2, sous d) de cette directive.
Les juges européens ont ensuite confirmé que l’interdiction et les restrictions liées au traitement de données sensibles s’appliquent, sous réserve des exceptions prévues par le droit de l’Union, à l’ensemble des responsables effectuant de tels traitements, et notamment les exploitants de moteurs de recherche. Dès lors, il appartient aux moteurs de recherche de vérifier a posteriori sous le contrôle des autorités nationales compétentes, et uniquement sur la base d’une demande formée par la personne concernée, l’indexation et la présentation d’une page contenant des données sensibles.
Si en principe le droit à la vie privée des demandeurs prévaut sur l’intérêt du public à avoir accès à l’information, cet équilibre peut être remis en question selon la nature de l’information considérée et l’intérêt du public à disposer de cette information.
Ainsi, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien pointant vers une page Internet sur laquelle des données sensibles sont publiées, il doit vérifier, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, si l’inclusion de ce lien dans la liste de résultats s’avère strictement nécessaire pour assurer la liberté d’information des internautes.
La portée et les limites du droit au déréférencement ayant été précisées par la CJUE, le Conseil d’Etat français devra à son tour se prononcer, début 2020, pour tirer les conséquences de ces deux décisions.
Actualité du droit de la propriété intellectuelle :
Cet article a été publié dans notre Lettre Propriétés Intellectuelles de décembre 2019. Découvrez les autres articles de cette lettre.
En savoir plus sur notre cabinet d'avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.