Accueil
Le quotidien du droit en ligne
-A+A
Le droit en débats

Droit au déréférencement : condamnation symbolique de Google par la CNIL

Par Olivia Tambou le 13 Avril 2016

La CNIL condamne Google à 100 000 € pour la non-suppression mondiale des liens affichés à la suite d’une recherche portant sur le nom d’une personne vers des pages révélant des données à caractère personnel. Cette condamnation est symbolique de la nécessité de repenser le droit au déréférencement (lire la délibération).

Dans son arrêt Google Spain, la Cour de justice de l’Union européenne (CJUE) a consacré l’obligation pour les moteurs de recherche de déréférencer les liens portant atteinte à la protection des données personnelles. Il s’agit d’empêcher les internautes de « googliser » une personne afin d’accéder à des pages anciennes révélant des données personnelles, lorsque ces informations bien que licites sont désormais non pertinentes et non justifiées par un intérêt légitime comme celui du droit à l’information du public. La personne concernée peut alors se retourner directement vers le moteur de recherche afin d’effacer les liens en question. Le déréférencement rend plus difficile l’accès à l’information mise en ligne par un site internet tiers sans effacer cette information. Une telle suppression ne peut être faite qu’auprès de l’éditeur du site. Mais elle n’est pas toujours possible. L’éditeur peut être inconnu. Cela peut être un journal qui est lié par une obligation légale de publication comme dans l’affaire précitée Google Spain. L’éditeur peut aussi revendiquer un droit à la liberté d’expression pour refuser le déréférencement.

Deux ans après l’arrêt Google Spain, la mise en œuvre de ce droit au déréférencement pose toujours des difficultés1. La condamnation de la CNIL à 100 000 € d’amende rendue publique le 24 mars 2016 marque un nouveau tournant dans le conflit opposant la CNIL à Google sur l’étendue géographique du droit au déréférencement. La CNIL souhaite que le déréférencement s’applique à toutes les racines mondiales de Google (google.com, google.ca, etc.). La société californienne oppose que ce droit est un droit européen. Elle ne supprime l’accès aux pages que pour les recherches faites à partir de ses moteurs de recherches européens (Google.fr, google. uk, google.es, etc.) et avec des outils numériques dont l’adresse IP est en Europe. Le conflit juridique entre Google et la CNIL est symbolique à de nombreux égards.

Le symbole de la goutte d’eau dans l’océan : une amende au montant ridicule

La sanction de Google est le résultat de longues tractations au cours desquelles les deux protagonistes ont usé de tous les moyens possibles pour convaincre l’autre. Une occasion de rappeler que la sanction est considérée comme un moyen ultime accordé aux autorités de protection des données pour mener à bien leur mission de régulation.

Le 21 mai 2015, la CNIL a mis en demeure publiquement Google de procéder au déréférencement mondial dans les quinze jours. Après une réunion de travail avec la CNIL, Google a sollicité et obtenu l’octroi d’un délai supplémentaire jusqu’au 31 juillet 2015. La société californienne a ensuite formé, en vain, un recours gracieux auprès de la présidente de la CNIL afin d’obtenir le retrait de la mise en demeure. Finalement, une procédure de sanction a été formellement engagée par la CNIL le 16 septembre 2015. La formation restreinte a décidé d’opter pour une sanction pécuniaire. À l’issue d’un débat contradictoire, la sanction a été finalement prononcée et rendue publique.

Le montant même de l’amende peut apparaître ridicule au regard du poids économique de Google Inc. En 2015, le chiffre d’affaire de Google a été évalué à 74,5 milliards de dollars, dont un bénéfice net d’exploitation de 23,4 milliards d’euros ce qui constitue une hausse de 23 % par rapport à 2014.

Ce montant est lié aux pouvoirs limités attribués par la CNIL selon l’article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés. Toutefois, la CNIL avait la possibilité d’infliger une amende pécuniaire de 150 000 €, comme elle l’avait d’ailleurs fait en janvier 2014 pour sanctionner Google pour ses manquements aux règles de confidentialité. Cette différence non clairement expliquée doit être reliée à la nécessité pour la CNIL d’adapter le montant de sa sanction pécuniaire à « la gravité du manquement soumis » et aux « avantages tirés de ce manquement ». Autrement dit, le montant de l’amende pourrait constituer un aveu de la part de la CNIL de l’absence de bénéfices tirés par Google en optant pour un droit au déréférencement européen. Il pourrait également s’agir d’une reconnaissance implicite des avancées faites par la société pour essayer de se rapprocher des exigences européennes, tout en maintenant son opposition de principe au déréférencement mondial. En effet, la société californienne avait récemment amélioré son dispositif en bloquant l’accès aux pages déréférencées des requêtes émanant d’outils dont l’adresse IP est européenne. Autrement dit, un internaute utilisant une adresse IP européenne ne pouvait plus retrouver les pages déréférencées en passant par google.com.

Mais la CNIL a jugé cette solution de compromis insuffisante.

« Goutte à goutte, l’eau creuse la pierre » : la CNIL réaffirme un droit au déréférencement mondial

La CNIL considère que seul un déréférencement mondial permet d’assurer l’effectivité du droit au déréférencement. La solution de filtrage évoquée ne permet pas d’éviter tout contournement. La CNIL donne quelques exemples concrets. Un internaute français vivant en dehors de l’Union européenne pourra accéder aux contenus déréférencés en Europe en utilisant les racines non européennes du moteur de recherche. Les internautes européens peuvent avoir recours à des solutions techniques telles que les VPN qui permettent de ne pas localiser leur adresse IP et d’accéder ainsi aux contenus déréférencés.

La décision de la CNIL invite à revenir sur les deux des arguments essentiels dans ce débat juridique.

Le rejet de l’illégalité des effets extraterritoriaux d’un droit au déréférencement mondial. Google accuse la CNIL d’excès de pouvoir en lui imposant une mesure ayant une portée extraterritoriale. Il s’agit de l’argument classique développé par Facebook encore récemment. Le traitement des données personnelles des Européens étant réalisé par leur maison mère en Californie, ils pourraient échapper à l’application du droit européen. La position de Google est néanmoins légèrement plus subtile et repose sur deux éléments.

Premièrement, Google remet en cause « l’application de la loi française de 1978 aux requêtes effectuées par le moteur de recherche hors de France lesquelles correspondent à une activité qui n’est ni dirigée vers les internautes français ni indissociablement liée à celle de sa filiale française. »

Dans sa décision la CNIL est fidèle à sa position. Elle rappelle l’unité économique du moteur de recherche. Le choix de se structurer en déclinaisons nationales pour permettre la création de régies publicitaires tout en maintenant son activité d’exploitation de moteur de recherche aux États-Unis constitue un élément d’organisation interne. Cela ne remet pas en cause la nature juridique de Google Inc. qui est un responsable de traitement au sens de la directive 95/46/CE. La CNIL s’appuie alors sur la position de la CJUE dans l’affaire Google Spain précitée pour achever son raisonnement. « La société Google France participe sur le territoire national à l’activité de l’exploitant du moteur de recherche installé aux États-Unis (… ) », si bien que la loi de 1978 s’applique à Google Inc. La CNIL ajoute que ses pouvoirs s’étendent aussi aux responsables de traitement établis « sur le territoire d’un autre État membre de la Communauté. » Elle laisse ainsi entendre qu’elle est en capacité de déterminer les modalités de déréférencement sur le territoire français pour tous les établissements européens de Google et non pas seulement Google France.

Deuxièmement, Google considère que le droit au déréférencement mondial va à l’encontre « d’un principe international de « courtoisie » et affecte la souveraineté des États en raison de ses effets extraterritoriaux. » La CNIL lève cet obstacle juridique. D’une part, elle s’appuie sur la portée limitée de tels effets puisque seules les personnes ayant leur résidence en France sont concernées. D’autre part, elle invoque la nécessité d’une application effective de la protection des données personnelles en renvoyant là encore à l’affaire précitée Google Spain. Sans remettre en cause l’existence d’un tel principe international de courtoisie, la CNIL considère qu’il doit être écarté. L’existence d’un traitement unique à l’échelle mondiale et la nature de droit fondamental de la protection des données sont des motifs légitimes « pour entrer en conflit avec des droits étrangers ».

Le rejet de l’atteinte disproportionnée à la liberté d’expression et d’information du droit au déréférencement mondial. Ce rejet est fondé sur la reprise de deux arguments classiques. Premièrement, le droit au référencement n’aboutit pas à la suppression du contenu originel. Deuxièmement, le droit au déréférencement n’est pas un droit absolu. Il nécessite une mise en balance des différents intérêts légitimes en cause. Le respect de la protection des données personnelles peut s’effacer derrière l’intérêt du public à accéder à l’information notamment si la personne concernée joue un rôle dans la vie publique.

Le Conseil d’État devrait être saisi par Google afin de demander l’annulation de la décision de la CNIL le sanctionnant. Il est difficile de savoir quelle sera la réponse apportée à ces questions épineuses par la Haute juridiction administrative. La possibilité d’une nouvelle question préjudicielle devant la CJUE pour clarifier les modalités de la mise en œuvre du droit au déréférencement n’est pas à exclure.

L’arbre qui cache la forêt : la nécessité de (re)penser le droit au déréférencement

Le nombre important de demandes de déréférencement adressées à Google atteste que ce droit correspond à un véritable besoin social. Pourtant sa mise en œuvre reste délicate. Deux lacunes doivent être ici évoquées. D’une part, l’absence de formulaire unique permettant à l’internaute de pouvoir demander le déréférencement à l’ensemble des moteurs de recherche. Google reste le moteur de recherche le plus utilisé en Europe ce qui explique que les demandes de déréférencement lui sont essentiellement adressées. Les pages déréférencées par Google pourraient facilement se retrouver en utilisant les autres moteurs de recherches pour lesquels la personne concernée n’a pas nécessairement fait les démarches. Même si la personne prend la peine de saisir l’ensemble des moteurs de recherche, des risques de divergences entre les moteurs de recherche sur la suite à donner à sa demande sont envisageables. Une coordination entre les moteurs de recherche sera nécessaire à terme. D’autre part, l’absence de transparence en ce qui concerne le traitement des demandes de référencement par Google ne permet pas d’analyser la mise en œuvre concrète de ce droit comme l’ont décrit plus de 80 chercheurs. La mise en ligne d’un tableau donnant des statistiques par pays des raisons invoquées dans les 57 % des cas où Google refuse le déréférencement ne répond pas entièrement à cette demande.

Le débat que nécessite la régulation de ce droit est ainsi nécessairement biaisé. La voie choisie par le futur règlement général de la protection des données personnelles (RGPD) semble privilégier le recours à la régulation plutôt qu’à la règlementation de ce droit. Le droit à l’oubli numérique est évoqué à l’article 17. Des lignes directrices, recommandations et bonnes pratiques sur les procédures de suppressions des liens vers des données à caractère personnel doivent être adoptées par le futur Comité européen des données personnelles. Cette structure remplacera en 2018 l’actuel G29 qui regroupe l’ensemble des autorités de contrôle européennes. Le RGPD permettra aussi le recours à des solutions techniques pour renforcer la protection des données en amont au moment de la collecte. La certification est envisagée. La création annoncée d’un label européen de protection des données pourrait garantir par exemple la privacy by design ou privacy by default2.

Une approche plus globale et pluraliste pourrait permettre à chacun de se sensibiliser à l’importance des enjeux en cause. Deux pistes de réflexion pourraient être envisagées. La première serait de (re)penser le droit au déréférencement en un droit au référencement ou un droit à la réputation numérique. Il s’agirait par des instruments de droit souple d’orienter les comportements des acteurs responsables de traitement, mais aussi des internautes. L’élaboration d’une telle charte ou code de conduite devrait être négociée à l’échelle mondiale. La création d’une véritable éducation au numérique obligatoire tout au long de la vie est un second chantier. Son objectif serait de permettre à chacun d’entre nous d’acquérir une forme concrète de contrôle sur nos données personnelles et d’éviter une fracture numérique générationnelle ou sociale. L’avenir dira si ces deux pistes relèvent elles aussi du symbole.

 

 

 

 

 

 

 

 

1 Lire notre article, Protection des données personnelles : les difficultés de la mise en œuvre du droit européen au déréférencement article à paraître à la RTD eur. n° 2/2016.
2  Lire notre article, L’introduction de la certification dans le règlement général de la protection des données personnelles : quelle valeur ajoutée ? à paraître à la RLDI en avril 2016