Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

CJUE : importantes précisions sur la portée du « droit à l’oubli » numérique

L’obligation de déréférencement imposée par le droit de l’Union à l’exploitant d’un moteur de recherche est limitée à l’Europe. Exceptionnellement, elle pourrait être mondiale. Elle est de droit lorsque la page web référencée contient des données dites « sensibles », sous réserves de quelques exceptions.

par Nathalie Maximinle 27 septembre 2019

La Cour de justice de l’Union européenne a, en 2014, consacré un droit au déréférencement fondé sur les dispositions des articles 12 sous a et 14, alinéa 1er, sous b) la directive 95/46 du 24 octobre 1995. Il permet à une personne physique d’obtenir la suppression de la liste des résultats, affichée à la suite d’une requête effectuée sur son nom dans un moteur de recherche, des liens pointant vers des pages webs contenant des informations la concernant (CJUE 13 mai 2014, Google Spain, aff. C-131/12, Dalloz actualité, 21 mai 2014, obs. L. Constantin ; AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1476 , note V.-L. Benabou et J. Rochfeld ; ibid. 1481, note N. Martial-Braz et J. Rochfeld ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJCT 2014. 502, obs. O. Tambou ; Légipresse 2014. 330 et les obs. ; JAC 2014, n° 15, p. 6, obs. E. Scaramozzino ; Constitutions 2014. 218, chron. D. de Bellescize ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 879, étude B. Hardy ; ibid. 2016. 249, étude O. Tambou ; Rev. UE 2016. 597, étude R. Perray ).

La directive ayant été abrogée par le règlement (UE) 2016/679 dit « RGPD » du 27 avril 2016, ce droit est désormais fondé sur l’article 17 de ce texte qui régit spécifiquement le « droit à l’effacement (« droit à l’oubli ») », auquel renvoi l’article 51 de la loi n° 78-17 du 6 janvier 1978 modifiée.

Par deux arrêts remarquables, la Cour de justice a apporté des précisions importantes mais toute en nuance sur la portée du « droit à l’oubli ». Elle a examiné les questions qui lui étaient posées tant au regard de la directive que du RGPD « afin d’assurer que ses réponses seront, en toute hypothèse, utiles à la juridiction de renvoi ».

Le déréférencement des données sensibles

Dans un premier (aff. C-136/17), la Cour de justice de l’Union européenne s’est prononcée sur l’obligation de l’exploitant d’un moteur de déréférencer des pages web publiant certaines catégories de données dites « sensibles » en vertu des dispositions des articles 8, paragraphe 1 et 5 de la directive 95/46, reprises, avec quelques modifications, aux articles 9, paragraphe 1, et 10 du RGPD.

La CNIL avait clôturé des plaintes dirigées contre Google qui avait rejeté plusieurs demandes de déréférencements. Constatant que les requêtes soulevaient des difficultés d’interprétation sérieuses de la directive, le Conseil d’État a saisi la Cour de justice de plusieurs questions préjudicielles (CE 24 févr. 2017, n° 391000, Lebon ; AJDA 2017. 436 ; ibid. 740 , chron. G. Odinet et S. Roussel ; D. 2017. 500, obs. M.-C. de Montecler ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 479, obs. O. Henrard ; RFDA 2017. 535, concl. A. Bretonneau ; RTD eur. 2017. 803, obs. A. Bouveresse ).

La Cour statue en faveur de l’application des dispositions susvisées à l’exploitant d’un moteur de recherche. Cependant, elle limite la responsabilité de celui-ci au cadre du déréférencement et à une « vérification à effectuer, sous le contrôle des autorités nationales compétentes, sur la base d’une demande formée par la personne concernée ».

Il s’ensuit qu’il doit, en principe, faire droit aux demandes de suppression des liens. Il peut refuser lorsque les données ont été manifestement rendues publiques par la personne concernée ou lorsqu’elles sont nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice (Dir. 95/46, art. 8, § 2, ss e) à condition que le traitement soit licite et que la personne n’a pas exercé son droit d’opposition. Il peut également rejeter la demande s’il s’avère, après avoir effectué un contrôle de proportionnalité entre les droits fondamentaux de la personne concernée et les motifs d’intérêts publics, que l’inclusion du lien dans la liste des résultats est « strictement nécessaire pour protéger la liberté d’information des internautes (…) à avoir accès à cette page web au moyen d’une telle recherche ». Enfin, sous réserve de cette mise en balance, les liens vers les pages web contenant des informations se rapportant à une étape antérieure de la procédure judiciaire ou ne correspondant plus à la situation actuelle doivent systématiquement être effacés.

La portée territoriale du « droit à l’oubli »

Dans un second arrêt (aff. C-507/17), la CJUE a délimité l’étendue géographique du « droit à l’oubli ». Cette fois, le litige opposait Google LLC, venant au droit de Google Inc., à la Commission nationale de l’informatique et des libertés. Google a refusé de donner suite à une mise en demeure de la CNIL d’appliquer la désindexation demandée sur toutes les extensions de noms de domaine de son moteur de recherche. L’entreprise s’est bornée à supprimer les liens en cause des résultats affichés depuis les versions européennes de ce moteur (CNIL, 10 mars 2016, délib. n° 2016-054, Légipresse 2016. 285, obs. N. Botchorichvili ).

Le Conseil d’État a sursi à statuer et a interrogé la Cour de justice sur l’interprétation des dispositions de la directive 95/46 (CE 19 juill. 2017, n° 399922, CE, 19 juill. 2017, n° 399922, Google Inc., Lebon ; AJDA 2017. 1479 ; D. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; RFDA 2017. 972, concl. A. Bretonneau ; RTD eur. 2018. 396, obs. A. Bouveresse ).

À titre liminaire, les juges, rappelant leur jurisprudence Google Spain, déclare le droit européen applicable au litige. En effet, les activités de l’établissement de Google sur le territoire français, notamment commerciales et publicitaires, sont indissociablement liées au traitement de données à caractère personnel effectué pour les besoins du fonctionnement du moteur de recherche. En outre, compte tenu de l’existence de passerelles entre ses différentes versions nationales, ce moteur doit être regardé comme réalisant un traitement unique qui est effectué dans le cadre de l’établissement situé sur le territoire français. Une telle situation relève du champ d’application territorial de la directive 95/46 et du règlement 2016/679 en vertu des articles 4, paragraphe 1, sous a) de la première et 3, paragraphe 1 du second.

La Cour estime ensuite qu’il n’existe pas pour l’exploitant d’obligation découlant du droit de l’Union de déréférencer sur l’ensemble des versions de son moteur de recherche (pt 64). Elle relève en particulier que la rédaction adoptée par le législateur, pour la directive comme pour le RGPD, ne permet pas d’affirmer qu’il aurait fait le choix de conférer à leurs dispositions une portée qui dépasserait le territoire des États membres. De plus, si le règlement donne aux autorités de contrôle les moyens de coopérer pour parvenir à une décision commune, il « ne prévoit actuellement pas de tels instruments et mécanismes de coopération pour ce qui concerne la portée d’un déréférencement en dehors de l’Union » (pts 59 à 63).

Les juges nuancent cette position en ajoutant que si le législateur européen n’impose pas un déréférencement « mondial », il ne l’interdit pas non plus. Ainsi, selon leurs termes, « une autorité de contrôle ou une autorité judiciaire d’un État membre demeure compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux (…) une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information ». Elle pourrait au terme de cet examen « enjoindre, le cas échéant, à l’exploitant du moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur » (pt 72).

La Cour de justice de l’Union européenne considère toutefois que la désindexation doit a minima être effectuée à l’échelle européenne sur toutes les extensions de noms de domaine du moteur de recherche correspondant aux États membres. De plus, l’exploitant doit veiller à l’efficacité de la protection en prenant les mesures nécessaires. Elles devront « satisfaire à toutes les exigences légales et avoir pour effet d’empêcher ou, à tout le moins, de sérieusement décourager les internautes dans les États membres d’avoir accès aux liens en cause à partir d’une recherche effectuée sur la base du nom de cette personne ».

Il appartient désormais au Conseil d’État d’apprécier si les propositions de Google satisfont aux exigences européennes. Quand à la CNIL, elle a déclaré dès le 24 septembre, son intention de faire « application des décisions de la Cour dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans. Des explications sur les conséquences de ces décisions seront apportées dans les réponses faites aux plaignants ».

 

Réagissez à cet article

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.