Une récente décision de la Cour de justice de l’Union européenne (la « CJUE ») a donné plusieurs leçons importantes concernant la portée du droit au déréférencement et les moteurs de recherche sur Internet[1].
Lors d’une décision du 10 mars 2016, la Commission nationale de l’informatique et des libertés (la « CNIL ») a imposé une sanction de 100 000 euros à l’encontre de Google inc., parce que la société a refusé de procéder au déréférencement sur l’ensemble des extensions de son moteur de recherche.
Google inc. a demandé au Conseil d’État (la plus haute juridiction administrative en France) d’annuler la décision de la CNIL dès lors que le droit au déréférencement n’implique pas nécessairement que les liens soient supprimés sur l’ensemble des extensions de son moteur de recherche, à l’échelle internationale.
Dans ce contexte, le Conseil d’État a posé des questions à la CJUE, plus particulièrement au regard de la portée extraterritoriale du droit à l’oubli.
1re leçon : Le droit au déréférencement est fondé sur le droit à l’oubli (article 17 du RGPD)
Le droit au déréférencement a été formulé pour la première fois en 2014[2]. Il s’agit du droit de demander à un exploitant d’un moteur de recherche de supprimer tous les résultats d’une recherche effectuée avec le nom d’une personne. Seul l’individu concerné peut exercer ce droit, et non un tiers. Ce droit n’implique pas la suppression du contenu en ligne qui fait l’objet de la recherche, mais seulement la suppression des résultats de la recherche.
Il est important de noter que si le RGPD fait référence au droit à l’effacement (sous intitulé le « droit à l’oubli »), il ne se réfère pas au droit au déréférencement. La Cour a toutefois déterminé que :
46. Dans le cadre du règlement 2016/679, ce droit au déréférencement de la personne concernée trouve désormais son fondement à l’article 17 de celui-ci, qui régit spécifiquement le “droit à l’effacement”, également dénommé, dans l’intitulé de cet article, “droit à l’oubli”.
Par conséquent,
47. En application de l’article 17, paragraphe 1, du règlement 2016/679, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais, lorsque l’un des motifs énumérés par cette disposition s’applique.
Ce droit au déréférencement permet aux personnes concernées de faire valoir leur droit au déréférencement à l’encontre de l’exploitant d’un moteur de recherche, disposant d’un ou de plusieurs établissements sur le territoire de l’Union européenne, que le traitement ait eu lieu ou non dans l’Union[3].
En d’autres termes, l’exploitant d’un moteur de recherche doit supprimer de la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, les liens vers des pages Internet, publiées par des tiers, contenant des informations relatives à cette personne[4].
2e leçon : Le test des activités « indissociablement liées » est toujours applicable
Une deuxième leçon apportée par la Cour concerne la clarification du test des activités « indissociablement liées », utilisé afin de déterminer si le RGPD s’applique au traitement de données personnelles. Tel qu’il est indiqué au paragraphe 3(1) :
Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.
Le Groupe de l’rticle 29 a expliqué que lorsque cet article est appliqué à une organisation qui exerce des activités également à l’extérieur de l’Union européenne, le niveau d’activité de l’établissement dans le territoire d’un État membre n’a pas d’importance[5]. Il suffit qu’il soit « minime », même si l’entreprise en question ne prend pas part au traitement des données personnelles[6]. Il faut donc procéder au cas par cas.
La Cour a considéré que l’établissement de Google inc. sur le territoire français exerce des activités, notamment commerciales et publicitaires, indissociablement liées au traitement de données personnelles effectué pour les besoins du fonctionnement du moteur de recherche. De plus, ce moteur de recherche doit, compte tenu, notamment, de l’existence de passerelles entre ses différentes versions nationales, être regardé comme effectuant un seul et même traitement de données personnelles dans le cadre des activités de l’établissement français de Google inc[7].
Une telle situation relève donc du champ d’application de la législation de l’UE concernant la protection des données personnelles.
3e leçon : Le droit à la protection des données personnelles n’est pas un droit absolu
La Cour a déclaré que le droit à la protection des données personnelles n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité.
47. […] L’article 17, paragraphe 3, de ce règlement précise que ledit article 17, paragraphe 1, ne s’applique pas dans la mesure où le traitement en cause est nécessaire pour l’un des motifs énumérés à cette première disposition. Ces motifs couvrent notamment, en vertu de l’article 17, paragraphe 3, sous a), dudit règlement, l’exercice du droit relatif, notamment, à la liberté d’information des internautes.
L’équilibre entre le droit au respect de la vie privée et à la protection des données personnelles, d’une part, et la liberté d’information des internautes, d’autre part, est susceptible de varier à travers le monde.
En outre, la Cour a indiqué que de nombreux États tiers ne reconnaissent pas le droit au déréférencement ou adoptent une approche différente en la matière.
4e leçon : La portée territoriale du droit à l’oubli s’arrête aux frontières de l’Union européenne
La Cour a conclu que le droit à l’oubli s’arrête aux frontières de l’Union européenne. Il n’existe pas, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement, le cas échéant, à la suite d’une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un État membre, d’obligation de procéder à un tel déréférencement sur l’ensemble des versions de son moteur.
Le droit au déréférencement s’arrête aux frontières européennes parce que (i) l’objectif du RGPD est d’appliquer les droits des individus au sein de l’Union européenne et (ii) le RGPD ne prévoit pas d’instruments et de mécanismes de coopération entre les autorités nationales de protection des données concernant la portée du droit au déréférencement à l’extérieur de l’Union européenne.
La CJUE exige des dispositifs de protection de la part de l’exploitant du moteur de recherche. Ces mesures doivent être suffisamment efficaces pour assurer une protection effective des droits fondamentaux de la personne concernée. En d’autres termes, un déréférencement doit être accompagné de mesures qui permettent effectivement d’empêcher ou de sérieusement décourager les internautes, situés sur le territoire de l’un des États membres, effectuant une recherche sur la base du nom d’une personne d’avoir accès aux mêmes résultats en passant par une version non européenne du moteur de recherche. Il incombera à la juridiction compétente d’apprécier si les mesures mises en place par Google inc. respectent ces exigences.
Enfin, la Cour de justice laisse une porte ouverte. Elle souligne que, même si le droit de l’UE n’impose pas, en l’état actuel, un déréférencement sur l’ensemble des versions d’un moteur de recherche, il ne l’interdit pas non plus.
Pour conclure, si une société canadienne, qui a un établissement au sein de l’Union européenne ou qui vise le marché de l’Union européenne, est tenue de procéder à un déréférencement, ce déréférencement devra être effectué uniquement sur les extensions européennes de ses sites Web. Les sociétés canadiennes seraient bien avisées de segmenter leurs activités européennes pour éviter, dans la mesure du possible, l’application du RGPD.
[1] CJUE, 24 septembre 2019, C-507/17, Google LLC c. Commission nationale de l’informatique et des libertés (CNIL). Un communiqué de presse est disponible à l’adresse suivante : https://curia.europa.eu/jcms/upload/docs/application/pdf/2019-09/cp190112fr.pdf.
[2] CJUE, 13 mai 2014, C-131/12, Google Spain SL et Google Inc. c. Agencia Española de Protección de Datos (AEPD) et Mario Costeja González.
[3] CJUE, 24 septembre 2019, C-507/17, Google LLC c. Commission nationale de l’informatique et des libertés (CNIL), paragraphe 48.
[4] CJUE, 13 mai 2014, C-131/12, Google Spain SL et Google Inc. c. Agencia Española de Protección de Datos (AEPD) et Mario Costeja González.
[5] CJUE, 1er octobre 2015, affaire C-230/14, Weltimmo c. Nemzeti Adatvédelmi és Információszabadság Hatóság, points 31 et 41.
[6] Groupe de travail Article 29 sur la protection des données, 16 décembre 2015, mise à jour du WP 179, p. 4 (en anglais seulement).
[7] CJUE, 24 septembre 2019, C-507/17, Google LLC c. Commission nationale de l’informatique et des libertés (CNIL), paragraphe 50.
