Droit au déréférencement : les deux nouveaux arrêts de référence de la CJUE !
27.09.2019
Gestion d'entreprise
Alors que le Conseil d'Etat avait posé plusieurs questions préjudicielles sur la portée du droit au déréférencement d'un moteur de recherche à la CJUE, cette dernière a mis fin aux valses-hésitations nées de l'affaire Google Spain en 2014. Dans deux arrêts de la grande chambre du 24 septembre, elle dévoile une position qui devrait aider les juridictions nationales à y voir plus clair.
Comme le rappelle la CNIL, le déréférencement est le « droit pour toute personne de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms qui apparaissent à partir d’une requête faite sur son identité. Mais cette suppression n’entraîne pas pour autant l’effacement de l’information sur le site internet source ».
C’est d’ailleurs cette problématique qui avait conduit la CNIL à sanctionner Google Inc. d’une amende de 100 000 euros le 10 mars 2016 après que le géant américain avait refusé de généraliser le déréférencement à toutes les extensions de son moteur de recherche. Google avait alors demandé au Conseil d’Etat d’annuler la décision de la CNIL mais la Haute juridiction avait décidé de poser plusieurs questions préjudicielles à la CJUE sur la portée territoriale du déréférencement. Plus concrètement, le déréférencement doit-il s’opérer sur l’ensemble des versions du moteur de recherche, ou bien sur les versions des États membres de l’UE ou alors uniquement sur la version de l’Etat membre de résidence du bénéficiaire du déréférencement ?
Gestion d'entreprise
La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...
Le déréférencement limité aux seules recherches effectuées depuis l’UE
Après avoir rappelé le principe du droit à l’oubli - posé par la directive 95/46, puis par le RGPD dans son article 17- qu’elle a consacré dans l’arrêt Google Spain (CJUE, 13 mai 2014, aff. C-131/12, Google Spain), qui « oblige l’exploitant d’un moteur de recherche à supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers les pages web, publiées par des tiers et contenant des informations relatives à cette personne », la Cour de justice de l'UE dévoile son raisonnement.
Le droit de l’UE n’impose pas de déréférencement sur toutes les versions d’un moteur de recherche…
La CJUE estime que le droit à la protection des données personnelles n’est pas « absolu » et doit être mis en balance avec d’autres droits fondamentaux. Or, en l’état actuel, le législateur européen n’a pas procédé à une telle mise en balance pour ce qui concerne le déréférencement en dehors de l’Union, puisqu’il n’existe à cet effet ni mécanisme de coopération ni instrument juridique. La Cour en conclut que l’exploitant d’un moteur de recherche ne saurait être tenu d’opérer un déréférencement sur l’ensemble des versions de son moteur. Pour la CJUE, c'est finalement au niveau de l’Etat membre que la mise en balance doit être faite.
… mais ne l’interdit pas non plus !
En effet, la Cour relève ensuite que si le droit de l’Union n’impose pas que le déréférencement porte sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Dès lors, une autorité de contrôle ou une juridiction d’un Etat membre « demeure compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection de ses données personnelles et, d’autre part, le droit à la liberté d’information, pour enjoindre, le cas échéant, à l’exploitant du moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur ».
Pour la Cour donc, « l’article 17, § 1 du RGPD doit être interprété en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande ».
Le déréférencement des données sensibles doit être mis en balance avec la liberté d’information des internautes
C’est dans un second arrêt du même jour que la grande chambre de la CJUE s’est penchée sur la question du référencement des données sensibles dans un moteur de recherche et tout y est aussi question de mise en balance.
Dans cette affaire, quatre plaignants sollicitaient le déréférencement des liens affichés dans les résultats de requête de Google qui exposaient leur situation respective, actuelle ou passée : un photomontage satirique mis en ligne sous pseudonyme, une mise en examen pour financement d’un parti politique, le statut de responsable des relations publiques de l’Église de scientologie dans un article évoquant un suicide ou encore une peine de prison pour agression sexuelle sur mineur.
Google avait refusé de faire droit aux demandes de déréférencement, et la CNIL ayant clôturé leurs plaintes, les affaires avaient atterri devant le Conseil d’Etat. Plusieurs questions préjudicielles ont là aussi été posées à la CJUE par la Haute juridiction, sur l’interprétation à donner de la directive 95/46 et la portée du droit au déréférencement des données sensibles.
L’exploitant d’un moteur de recherche est un responsable de traitement comme un autre
En premier lieu, la Cour rappelle que l’interdiction ou les restrictions relatives au traitement de catégories particulières de données s’appliquent également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée.
Une mise en balance nécessaire avec la liberté d’information
La Cour mentionne ensuite l’arrêt Google Spain de 2014 où elle avait considéré que les droits de la personne demandant le déréférencement « prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt du public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question » (CJUE, 13 mai 2014, aff. C-131/12, Google Spain).
La liberté d’information fait donc partie des motifs énumérés à l’article 17, § 3 du RGPD, souligne la Cour, pour lesquels le droit à l’effacement pourrait ne pas s’exercer. Elle confirme que le droit à la protection des données personnelles n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, « conformément au principe de proportionnalité ».
En découlent plusieurs affirmations :
- l’exploitant d’un moteur de recherche est en principe obligé de faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des catégories particulières de données ;
- l’exploitant peut refuser de faire droit à une demande s’il constate que les liens en cause mènent vers des contenus comportant des catégories particulières de données mais dont le traitement est couvert par le consentement de la personne concernée ou le fait que cette dernière ait rendu les informations publiques ;
- l’exploitant doit, sur la base de tous les éléments pertinents du cas d’espèce et compte tenu de la gravité de l’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel, consacrés aux articles 7 et 8 de la Charte des droits fondamentaux de l'UE, vérifier si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de la personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche.
Quid des données d’infractions ou de condamnations pénales ?
La Cour l’atteste, les informations relatives à une procédure judiciaire dont une personne physique a été l’objet ainsi que, le cas échéant, celles relatives à la condamnation qui en a découlé constituent bien des données relatives aux « infractions » et aux « condamnations pénales », au sens de l’article 8, § 5 de la directive 95/46 (et de l’article 10 du RGPD).
Elle en conclut que « l’exploitant d’un moteur de recherche est tenu de faire droit à une demande de déréférencement portant sur des liens vers des pages web, sur lesquelles figurent de telles informations, lorsque ces informations se rapportent à une étape antérieure de la procédure judiciaire en cause et ne correspondent plus, compte tenu du déroulement de celle-ci, à la situation actuelle, dans la mesure où il est constaté que, eu égard à l’ensemble des circonstances de l’espèce, les droits fondamentaux de la personne concernée prévalent sur ceux des internautes potentiellement intéressés ».
Cette décision devrait éclairer la Cour de cassation qui avait, en juin dernier, sursis à statuer dans une affaire où un expert-comptable demandait le déréférencement de liens auprès d’un moteur de recherche : les requêtes renvoyaient vers des articles de presse relatant sa condamnation pour escroquerie et tentative d’escroquerie.
La CNIL a, de son côté, indiqué « prendre acte des arrêts rendus par la CJUE » et précisé qu’elle « fera application des décisions de la Cour dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans ».
Vous aimerez aussi
Nos engagements
La meilleure actualisation du marché.
Notre savoir-faire : mettre à votre disposition des documentations et outils pratiques et mis à jour en permanence par nos équipes de rédaction.
En savoir plusUn accompagnement gratuit de qualité.
Réponse gratuite à toutes vos questions sur l'utilisation de nos produits. Toute l'équipe du service Relations Clientèle se tient à votre disposition au 01 83 10 10 10, de 9h à 18h en semaine, pour traiter l'ensemble de vos demandes.
En savoir plusUn éditeur de référence depuis 1947.
Créées en 1947 par Jean Sarrut, les Editions Législatives vous permettent de veiller, sélectionner, regrouper et commenter l’essentiel de l’actualité juridique. Avec le concept du Dictionnaire Permanent, c'est près d'une trentaine de disciplines qui sont couvertes dont le droit social, le droit des affaires, le droit européen des affaires...
En savoir plusDes moyens de paiement adaptés et sécurisés.
Nous vous proposons de régler vos commandes par chèque, virement, carte bancaire ou prélèvement en ligne SEPA ; pour les produits numériques, vous pouvez en outre bénéficier d'un règlement en 1 ou 12 fois.
En savoir plus