- Administratif
- Toute la matière
- > Acte
- > Bien
- > Collectivité territoriale
- > Compétence
- > Contrat et marché
- > Droit économique
- > Droit fondamental et liberté publique
- > Environnement
- > Finance et fiscalité
- > Fonction publique
- > Institution administrative
- > Police
- > Pouvoir public
- > Procédure contentieuse
- > Responsabilité
- > Service public
- > Urbanisme
- Affaires
- Civil
- Toute la matière
- > Arbitrage - Médiation - Conciliation
- > Bien - Propriété
- > Contrat et obligations
- > Droit international et communautaire
- > Famille - Personne
- > Filiation
- > Loi et traité
- > Mariage - Divorce - Couple
- > Procédure civile
- > Profession juridique et judiciaire
- > Responsabilité
- > Société et association
- > Succession - Libéralité
- > Sûretés
- > Voie d'exécution
- Européen
- Immobilier
- IP/IT et Communication
- Pénal
- Toute la matière
- > Atteinte à l'autorité de l'état
- > Atteinte à la personne
- > Atteinte aux biens
- > Droit pénal des affaires
- > Droit pénal général
- > Droit pénal international
- > Droit social
- > Enquête
- > Environnement et urbanisme
- > Etranger
- > Instruction
- > Jugement
- > Mineur
- > Peine et exécution des peines
- > Presse et communication
- > Propriété intellectuelle
- > Santé publique
- Social
- Toute la matière
- > Accident, maladie et maternité
- > Contrat de travail
- > Contrôle et contentieux
- > Droit de la sécurité sociale
- > Droit international et communautaire
- > Etrangers
- > Grève
- > Hygiène - Sécurité - Conditions de travail
- > IRP et syndicat professionnel
- > Négociation collective
- > Protection sociale
- > Rémunération
- > Rupture du contrat de travail
- > Santé publique
- > Temps de travail
- Avocat
Article
Portée territoriale du droit au déréférencement : suite et fin ?
Portée territoriale du droit au déréférencement : suite et fin ?
Par une décision du 27 mars 2020, le Conseil d’État annule une délibération de la CNIL ordonnant un déréférencement mondial au motif que, d’une part, aucune disposition législative ne permet une portée allant au-delà du territoire de l’Union européenne et, d’autre part, que la CNIL n’a pas procédé à une mise en balance entre les droits de la personne concernée et la liberté d’information.
par Cécile Crichtonle 6 avril 2020
Affirmé depuis l’arrêt Google Spain, l’exercice du « droit à l’oubli » sur les moteurs de recherche se matérialise par une demande de déréférencement. Cet aménagement s’exerce dans les conditions du droit d’opposition et d’effacement des données à caractère personnel (règl. RGPD n° 2016/679/UE, 27 avr. 2016, art. 17 et 21 ; anc. dir. 95/46/CE, 24 oct. 1995, art. 12 et 14), sous réserve d’une mise en balance entre les droits de la personne concernée et d’autres intérêts en cause, notamment le droit pour le public d’avoir accès à l’information (RGPD, art. 17, § 2 ; CJUE, gr. ch., 13 mai 2014, aff. C-131/12, Google Spain, pt 99, Dalloz actualité, 21 mai 2014, obs. L. Constantin ; AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère 
; D. 2014. 1476 , note V.-L. Benabou et J. Rochfeld ; ibid. 1481, note N. Martial-Braz et J. Rochfeld ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJCT 2014. 502, obs. O. Tambou ; Légipresse 2014. 330 et les obs. ; JAC 2014, n° 15, p. 6, obs. E. Scaramozzino ; Constitutions 2014. 218, chron. D. de Bellescize ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 879, étude B. Hardy ; ibid. 2016. 249, étude O. Tambou ; Rev. UE 2016. 597, étude R. Perray ).
Quelle est dès lors la portée territoriale de ce droit au déréférencement ? En effet, à l’heure où la dématérialisation des échanges ébranle les frontières, tout fait dommageable commis sur le web est susceptible de produire des effets extraterritoriaux. Se pose ainsi la question de savoir si le déréférencement d’un lien renvoyant à un contenu dommageable doit se limiter à l’État dans lequel la personne concernée est affectée ou s’il doit s’étendre à d’autres États. En pratique, le déréférencement peut soit s’effectuer par un blocage de sites web en fonction de l’extension du nom de domaine du ou des États concernés (par ex. : .fr, .be, .lu, .ch et .mc pour les pays francophones européens), soit par des mesures de géo-blocage (par ex. : blocage des appareils ayant une adresse IP localisée dans un État).
Cette question a donné lieu à une saga jurisprudentielle ayant atteint son terme par la décision du 27 mars 2020 rendue par le Conseil d’État.
Faits et procédure
Par une décision du 21 mai 2015, la présidente de la CNIL a mis en demeure Google de procéder à un déréférencement sur l’intégralité de ses versions, comportant toutes les extensions de nom de domaine de son moteur de recherche, ce qui revient à conférer à cette mise en demeure une portée mondiale. Ne s’étant pas exécuté, Google s’est vu infliger une amende par la formation restreinte de la CNIL le 10 mars 2016 (délib. n° 2016-054) et en a demandé l’annulation auprès du Conseil d’État. Le 19 juillet 2017, le Conseil d’État a sursis à statuer et a saisi la Cour de justice de l’Union européenne (CJUE) d’une question préjudicielle portant sur l’effet territorial du droit au déréférencement (CE 19 juill. 2017, n° 399922, Lebon ; AJDA 2017. 1479 ; D. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; RFDA 2017. 972, concl. A. Bretonneau ; RTD eur. 2018. 396, obs. A. Bouveresse ).
Sur la portée mondiale du déréférencement, la CJUE relève que le législateur de l’Union, tant pour la directive 95/46/CE que pour le RGPD, n’a pas « fait le choix de conférer aux droits consacrés à ces [textes] une portée qui dépasserait le territoire des États membres » et qu’il n’existe ainsi « pas d’obligation découlant du droit de l’Union de procéder [pour Google] à un tel déréférencement sur l’ensemble des versions de son moteur » (CJUE, gr. ch., 24 sept. 2019, aff. C-507/17, pts 62-64, Dalloz actualité, 27 sept. 2019, obs. N. Maximin ; AJDA 2019. 1839 ; ibid. 2291, chron. P. Bonneville, C. Gänser et S. Markarian ; D. 2020. 515 , note T. Douville ; ibid. 2019. 2022, note J.-L. Sauron ; ibid. 2266, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Dalloz IP/IT 2019. 631, obs. N. Martial-Braz ; Légipresse 2019. 515 et les obs. ). Toutefois, ajoute la Cour, si le droit de l’Union n’impose pas cette portée mondiale, « il ne l’interdit pas non plus », ce qui permet à une autorité de contrôle ou à une autorité judiciaire d’ordonner un déréférencement à portée mondiale (pt 72). Sur la portée européenne du déréférencement en revanche, et en vue d’assurer cohérence et coordination, la CJUE recommande d’ordonner des mesures visant à étendre la portée territoriale du déréférencement à tous les États membres de l’Union (pts 68-69). En tout état de cause, les autorités doivent procéder à une mise en balance entre intérêts de la personne concernée et autres intérêts en cause dans l’appréciation de la portée territoriale du déréférencement (pts 66-69 à l’échelle de l’Union ; pt 72 à l’échelle mondiale).
Solution du Conseil d’État
À la lumière de cette interprétation, le Conseil d’État annule pour erreur de droit la délibération de la CNIL ordonnant un déréférencement mondial, au motif qu’il « ne résulte, en l’état du droit applicable, d’aucune disposition législative qu’un tel déréférencement pourrait excéder le champ couvert par le droit de l’Union européenne pour s’appliquer hors du territoire des États membres de l’Union européenne » (pt 10). Il apparaît curieux que le Conseil d’État exige un texte légal pour pouvoir enjoindre à un moteur de recherche de procéder à un déréférencement sur l’ensemble de ses extensions de nom de domaine, alors que la CJUE estimait compétente une autorité de contrôle ou une autorité judiciaire d’un État membre pour ordonner un déréférencement à portée mondiale.
Il semble que la solution soit à rechercher dans la substitution de base légale, dont le principe est rappelé par le Conseil d’État (pt 9). À grands traits, il est possible pour le juge de substituer le fondement pris par l’autorité ayant rendu l’acte attaqué par un autre fondement. Tandis que la CNIL se fondait initialement sur la directive 95/46/CE et la loi Informatique et Libertés n° 78-17, applicables au moment des faits, elle modifie au cours des débats le fondement de sa sanction sur la réponse de la CJUE donnée à la question préjudicielle par laquelle est autorisé un déréférencement à portée mondiale (CJUE 29 sept. 2019, aff. C-507/17, préc., spéc. pt 72). Or, lors de cette même réponse, la CJUE précise qu’à l’instar de l’appréciation de la demande de déréférencement en elle-même, sa portée territoriale doit également être appréciée in concreto lorsqu’est envisagé un déréférencement sur l’intégralité des versions du moteur de recherche. L’autorité de contrôle doit en effet effectuer « une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur » (ibid., pt 72). En l’espèce, selon le Conseil d’État, « la formation restreinte de la CNIL n’a pas effectué une telle mise en balance » (pt 10). À la suite de la mise en demeure, Google avait notamment procédé au déréférencement des liens pour les extensions de nom de domaine des seuls États membres de l’Union européenne. Or la CNIL aurait enjoint au moteur de recherche de déréférencer le lien sur toutes ses extensions « sans considération des extensions interrogées » (pt 7).
Autrement dit, la substitution de base légale pouvait être appliquée. Toutefois, en substituant la solution rendue par la CJUE le 24 septembre 2019 à la place du fondement initial, la CNIL aurait dû en appliquer ses conditions, incluant cette mise en balance d’intérêts. Pour pouvoir ordonner un déréférencement à portée mondiale sans exercer de mise en balance d’intérêts, expose le Conseil d’État, une disposition légale aurait été nécessaire et, en son absence, aucune substitution légale n’est possible. En conséquence, la délibération de la CNIL doit être annulée.
Il convient enfin de préciser que, malheureusement, les débats ne portaient pas sur les mesures complémentaires de géo-blocage qui pourtant font partie des mesures territoriales envisageables pour le déréférencement. Sur ce point, la CJUE exposait que ces mesures doivent être prononcées « si nécessaire » – renvoyant là encore à une appréciation in concreto mais cette fois-ci étendue au déréférencement à l’échelle de l’Union – « qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes [d’avoir accès au lien en cause] » (pts 70 et 73). Le Conseil d’État reprend indirectement cette analyse lorsqu’il reproche à la CNIL l’automaticité de la sanction « sans considération […] de l’origine géographique de l’internaute effectuant une recherche » (pt 7), alors que Google avait proposé des mesures complémentaires de géo-blocage destinées à bloquer l’accès aux liens pour les adresses IP prétendument localisées dans l’État de résidence du bénéficiaire du droit au déréférencement. Cette question mériterait de plus amples débats, la CNIL ayant relevé dans sa délibération n° 2016-054 du 10 mai 2016 qu’il existait des moyens techniques permettant d’outrepasser le déréférencement limité à certaines extensions (par ex. l’utilisation d’un VPN ou simple changement d’extension), interrogeant par là même l’effectivité de la sanction qui faisait l’objet du cœur des débats.
