Home / Publications / Déréférencement : quelles obligations pour l’exploitant...

Déréférencement : quelles obligations pour l’exploitant d’un moteur de recherche ?

Retour sur deux arrêts instructifs de la Cour de justice de l’Union européenne

13/11/2019

Dans la continuité de l’arrêt « Google Spain », la CJUE a eu à se prononcer sur la portée territoriale du droit au déréférencement et sur l’application des obligations de déréférencement aux données dites sensibles. 

Le droit au déréférencement permet à tout internaute européen d’obtenir, sous condition, la suppression de liens contenant des informations personnelles et référencés par un moteur de recherche à partir d’une requête faite sur son identité, cette suppression ne signifiant pas l’effacement de l’information sur le site Internet source (CJUE, 13 mai 2014, C-131/12, Google Spain).
Les contours de ce droit ne sont toutefois pas nettement précisés. La jurisprudence les définit au fil des décisions. Deux arrêts ont ainsi été rendus le 24 septembre 2019, sur questions préjudicielles du Conseil d’Etat (CE, 24 février 2017, n°391000 ; CE, 19 juillet 2017, n° 399922). L’un concernait la portée territoriale du droit au déréférencement, l’autre l’application des obligations de déréférencement aux données dites sensibles.

L’application du déréférencement à l’échelle de l’Union européenne

Dans une première décision, les juges de Luxembourg ont estimé que le droit au déréférencement, abusivement surnommé « droit à l’oubli », ne s’appliquait qu’à l’intérieur des frontières de l’Union européenne, donnant ainsi raison à Google (CJUE, gr. ch., 24 juillet 2019, C-507/17, Google c/ CNIL). 

Jusqu’ici, les pages concernées par le déréférencement ne disparaissaient que lorsque l’internaute effectuait sa recherche sur les extensions de Google des Etats membres de l’Union européenne. Constatant qu’il suffisait pour un internaute de se rendre sur une autre extension, google.com notamment, pour afficher le contenu retiré, la Commission nationale de l’informatique et des libertés (CNIL) avait ordonné au moteur de recherche de procéder au déréférencement dans le monde entier et dans tous ses résultats de recherche. 

Saisie d’une question préjudicielle sur ce point, la CJUE a tranché. Le droit au déréférencement n’est pas contraignant pour les pays tiers de l’Union européenne, l’équilibre entre la protection de la vie privée et la liberté d’expression des internautes étant susceptible de varier à travers le monde. Ainsi, un moteur de recherche qui reçoit une demande de déréférencement d’un citoyen européen n’est obligé de supprimer les résultats concernés que pour ses noms de domaine européens (google.fr, google.be, google.de, etc.).

La possibilité d‘un déréférencement mondial reste toutefois ouverte. La CJUE insiste sur le fait que les moteurs de recherche doivent non seulement prendre « des mesures suffisamment efficaces » pour que le déréférencement soit bien effectif dans toute l’Union européenne mais également accompagner ce retrait de mesures « empêchant ou décourageant sérieusement » l’accès des internautes européens aux liens déréférencés. 

La Cour ajoute que si le droit de l’Union n’impose pas un déréférencement mondial, il ne l’interdit pas non plus. Ainsi est-il de la compétence des autorités nationales de protection des données d’obliger, dans certains cas, un moteur de recherche à déréférencer les résultats sur toutes les versions de son moteur si cela est justifié pour garantir les droits de la personne concernée.

Les conditions d’application du déréférencement aux données dites sensibles

La seconde décision rendue par la Cour clarifie la question du traitement portant sur des catégories particulières de données, telles que définies à l’article 9 du règlement 2016/679 (RGPD) (CJUE, gr. ch., 24 septembre 2019, C-136/17, Google c/ CNIL). 
Dans une affaire où plusieurs particuliers avaient demandé à la société américaine de déréférencer de ses résultats des pages les concernant et contenant ce type de données, le moteur de recherche puis la CNIL avaient considéré que, fussent-elles sensibles, ces données n’en étaient pas moins d’intérêt public et ne devaient donc pas être déréférencées. Saisi par les requérants, le Conseil d’Etat a sollicité une nouvelle explication de texte à la CJUE. 

La Cour a d’abord rappelé que l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné devait être qualifiée de « traitement de données à caractère personnel » au sens de l’article 2, sous b), de la directive 95/46, lorsque ces informations contiennent des données à caractère personnel. D’autre part, elle a souligné que l’exploitant de ce moteur de recherche devait être considéré comme le « responsable » dudit traitement, au sens de l’article 2, sous d) de cette directive.

Les juges européens ont ensuite confirmé que l’interdiction et les restrictions liées au traitement de données sensibles s’appliquent, sous réserve des exceptions prévues par le droit de l’Union, à l’ensemble des responsables effectuant de tels traitements, et notamment les exploitants de moteurs de recherche. Dès lors, il appartient aux moteurs de recherche de vérifier a posteriori sous le contrôle des autorités nationales compétentes, et uniquement sur la base d’une demande formée par la personne concernée, l’indexation et la présentation d’une page contenant des données sensibles. 

Si en principe le droit à la vie privée des demandeurs prévaut sur l’intérêt du public à avoir accès à l’information, cet équilibre peut être remis en question selon la nature de l’information considérée et l’intérêt du public à disposer de cette information. 
Ainsi, lorsque l’exploitant d’un moteur de recherche est saisi d’une demande de déréférencement portant sur un lien pointant vers une page Internet sur laquelle des données sensibles sont publiées, il doit vérifier, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux de la personne concernée au respect de la vie privée et à la protection des données à caractère personnel, si l’inclusion de ce lien dans la liste de résultats s’avère strictement nécessaire pour assurer la liberté d’information des internautes.

La portée et les limites du droit au déréférencement ayant été précisées par la CJUE, le Conseil d’Etat français devra à son tour se prononcer, début 2020, pour tirer les conséquences de ces deux décisions.  


Actualité du droit de la propriété intellectuelle :

Cet article a été publié dans notre Lettre Propriétés Intellectuelles de décembre 2019. Découvrez les autres articles de cette lettre.

lettre droit de la propriété intellectuelle 800x300

En savoir plus sur notre cabinet d'avocats :

Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise droit propriété intellectuelle 330x220

Expertise : Droit de la propriété intellectuelle

Offre conformité RGPD avocat 330x220

Conformité RGPD : découvrez notre offre

Auteurs

Portrait deAnne-Laure Villedieu
Anne-Laure Villedieu
Associée
Paris
Victoire Delloye