Droit au déréférencement des données personnelles - les deux nouveaux arrêts de référence de la CJUE !

Alors que le Conseil d’État avait posé plusieurs questions préjudicielles sur la portée du droit au déréférencement d’un moteur de recherche à la CJUE, cette dernière a mis fin aux valses hésitations. Dans deux arrêts, la grande chambre dévoile une position qui devrait aider les juridictions nationales à y voir plus clair.

Comme le rappelle la CNIL, le déréférencement est le « droit pour toute personne de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms qui apparaissent à partir d’une requête faite sur son identité. Mais cette suppression n’entraîne pas pour autant l’effacement de l’information sur le site internet source ».

C’est d’ailleurs cette problématique qui avait conduit la CNIL à sanctionner Google Inc. d’une amende de 100 000 € le 10 mars 2016 après que le géant américain avait refusé de généraliser le déréférencement à toutes les extensions de son moteur de recherche. Google avait alors demandé au Conseil d’État d’annuler la décision de la CNIL mais la haute juridiction avait décidé de poser plusieurs questions préjudicielles à la CJUE sur la portée territoriale du déréférencement. Plus concrètement, le déréférencement doit-il s’opérer sur l’ensemble des versions du moteur de recherche, ou bien sur les versions des États membres de l’UE ou alors uniquement sur la version de l’État membre de résidence du bénéficiaire du déréférencement ?

Le déréférencement limité aux seules recherches effectuées depuis l’UE

Après avoir rappelé le principe du droit à l’oubli - posé par la directive 95/46, puis par le RGPD dans son article 17 - qu’elle a consacré dans l’arrêt Google Spain, qui « oblige l’exploitant d’un moteur de recherche à supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers les pages web, publiées par des tiers et contenant des informations relatives à cette personne », la Cour de justice de l’UE dévoile son raisonnement.

Le droit de l’UE n’impose pas de déréférencement sur toutes les versions d’un moteur de recherche…

La CJUE estime que le droit à la protection des données personnelles n’est pas « absolu » et doit être mis en balance avec d’autres droits fondamentaux. Or, en l’état actuel, le législateur européen n’a pas procédé à une telle mise en balance pour ce qui concerne le déréférencement en dehors de l’Union, puisqu’il n’existe à cet effet ni mécanisme de coopération ni instrument juridique. La Cour en conclut que l’exploitant d’un moteur de recherche ne saurait être tenu d’opérer un déréférencement sur l’ensemble des versions de son moteur. Pour la CJUE, c’est finalement au niveau de l’État membre que la mise en balance doit être faite.

… mais ne l’interdit pas non plus !

En effet, la Cour relève ensuite que si le droit de l’Union n’impose pas que le déréférencement porte sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Dès lors, une autorité de contrôle ou une juridiction d’un État membre « demeure compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre :

Pour la Cour donc, « l’article 17, § 1 du RGPD doit être interprété en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande ».

Le déréférencement des données sensibles doit être mis en balance avec la liberté d’information des internautes

C’est dans un second arrêt du même jour que la grande chambre de la CJUE s’est penchée sur la question du référencement des données sensibles dans un moteur de recherche et tout y est aussi question de mise en balance.

Dans cette affaire, quatre plaignants sollicitaient le déréférencement des liens affichés dans les résultats de requête de Google qui exposaient leur situation respective, actuelle ou passée.

Google avait refusé de faire droit aux demandes de déréférencement et la CNIL ayant clôturé leurs plaintes, les affaires avaient atterri devant le Conseil d’État. Plusieurs questions préjudicielles ont là aussi été posées à la CJUE par la haute juridiction, sur l’interprétation à donner de la directive 95/46 et la portée du droit au déréférencement des données sensibles.

L’exploitant d’un moteur de recherche est un responsable de traitement comme un autre

En premier lieu, la Cour rappelle que l’interdiction ou les restrictions relatives au traitement de catégories particulières de données s’appliquent également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationale compétentes, à la suite d’une demande introduite par la personne concernée.

Une mise en balance nécessaire avec la liberté d’information

La Cour mentionne ensuite l’arrêt Google Spain de 2014 où elle avait considéré que les droits de la personne demandant le déréférencement « prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt du public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question ».

La liberté d’information fait donc partie des motifs énumérés à l’article 17, § 3 du RGPD, souligne la Cour, pour lesquels le droit à l’effacement pourrait ne pas s’exercer. Elle confirme que le droit à la protection des données personnelles n’est pas un droit absolu et doit être mis en balance avec d’autres droits fondamentaux, « conformément au principe de proportionnalité ».

En découlent plusieurs affirmations :

La CNIL a, de son côté, indiqué « prendre acte des arrêts rendus par la CJUE » et précisé qu’elle « fera application des décisions de la Cour dans l’instruction des centaines de demandes de déréférencement qu’elle reçoit tous les ans ».

[CJUE, 24 sept. 2019, aff. C-507/17]{.underline}

[CJUE, 24 sept. 2019, aff. C-136/17]{.underline}