L’Essentiel : Le déréférencement par Google soulève des questions complexes concernant l’application des droits de l’Union européenne. Bien que l’exploitant d’un moteur de recherche soit tenu de retirer des liens sur les versions de son moteur dans les États membres, il n’est pas obligé de le faire sur toutes les extensions de domaine. La CJUE a souligné que, malgré l’accessibilité des noms de domaine, le traitement des données doit respecter la législation nationale. De plus, la protection des données personnelles doit être équilibrée avec la liberté d’information, ce qui complique la mise en œuvre d’un déréférencement global.

En l’état actuel, il n’existe pas, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, le cas échéant, suite à une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un État membre, d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur. Le droit de l’Union oblige, toutefois, l’exploitant d’un moteur de recherche à opérer un tel déréférencement sur les versions de son moteur correspondant à l’ensemble des États membres et de prendre des mesures suffisamment efficaces pour assurer une protection effective des droits fondamentaux de la personne concernée. Ainsi, un tel déréférencement doit, si nécessaire, être accompagné de mesures qui permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès, via une version de ce moteur « hors UE », aux liens qui font l’objet de la demande de déréférencement. La juridiction nationale doit vérifier que les mesures mises en place par Google Inc. satisfont à ces exigences.

Affaire Google

La position de la CJUE pourrait bien conduire à confirmer la position de la CNIL qui a prononcé une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus, lorsqu’elle fait droit à une demande de déréférencement, d’appliquer celui-ci à l’ensemble des extensions de nom de domaine de son moteur de recherche.

La société Google Inc. a été mise en demeure par la CNIL le 21 mai 2015 d’étendre le déréférencement à toutes les extensions, avait refusé de s’exécuter et s’était contentée de supprimer les liens en cause des seuls résultats affichés en réponse à des recherches effectuées depuis les noms de domaine correspondant aux déclinaisons de son moteur de recherche dans les États membres. Google Inc. a demandé au Conseil d’État (France) d’annuler la décision du 10 mars 2016. Elle estime, en effet, que le droit au déréférencement n’implique pas nécessairement que les liens litigieux soient supprimés, sans limitation géographique, sur l’ensemble des noms de domaine de son moteur. Le Conseil d’État a saisi la Cour de justice de plusieurs questions préjudicielles.

Position de la CJUE

Selon la CJUE, compte tenu, d’une part, du fait que les noms de domaine du moteur de recherche de Google sont tous accessibles depuis le territoire français et, d’autre part, de l’existence de passerelles entre ces différents noms de domaine, qu’illustrent notamment la redirection automatique et la présence de témoins de connexion, à savoir les « cookies », sur d’autres extensions du moteur que celle sur laquelle ils ont été initialement déposés, ce moteur, qui n’a, au demeurant, fait l’objet que d’une seule déclaration auprès de la CNIL, doit être regardé comme effectuant un traitement de données à caractère personnel unique pour l’application de la loi du 6 janvier 1978. Il en résulterait que le traitement de données à caractère personnel par le moteur de recherche exploité par Google est effectué dans le cadre de l’une de ses installations, Google France, établie sur le territoire français, et qu’il est, à ce titre, soumis à la loi du 6 janvier 1978.

Si l’exploitant d’un moteur de recherche n’est pas tenu de procéder à un déréférencement sur l’ensemble des versions de son moteur de recherche, il est néanmoins tenu d’y procéder sur les versions correspondant à l’ensemble des États membres et de mettre en place des mesures décourageant les internautes d’avoir, à partir de l’un des États membres, accès aux liens en cause figurant sur les versions hors UE de ce moteur.

Critère de l’accès hors UE

Selon la CJUE, dans un monde globalisé, l’accès des internautes, notamment de ceux qui se trouvent en dehors de l’Union, au référencement d’un lien renvoyant à des informations sur une personne dont le centre d’intérêt se situe dans l’Union est susceptible de produire sur celle-ci des effets immédiats et substantiels au sein même de l’Union, de telle sorte qu’un déréférencement mondial serait de nature à rencontrer pleinement l’objectif de protection visé par le droit de l’Union.

Elle a précisé néanmoins que de nombreux États tiers ne connaissent pas le droit au déréférencement ou adoptent une approche différente de ce droit. Le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. En outre, l’équilibre entre le droit au respect de la vie privée et à la protection des données personnelles, d’un côté, et la liberté d’information des internautes, de l’autre côté, est susceptible de varier de manière importante à travers le monde.

Or, il ne ressort pas des textes que le législateur de l’Union a procédé à une telle mise en balance pour ce qui concerne la portée d’un déréférencement en dehors de l’Union ni qu’il a fait le choix de conférer aux droits des individus une portée qui dépasserait le territoire des États membres. Il n’en ressort pas non plus qu’il aurait entendu imposer à un opérateur, tel que Google, une obligation de déréférencement portant également sur les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres. Le droit de l’Union ne prévoit pas, qui plus est, d’instruments et mécanismes de coopération pour ce qui concerne la portée d’un déréférencement en dehors de l’Union.

Télécharger 

Q/R juridiques soulevées :

Quelles sont les obligations de l’exploitant d’un moteur de recherche en matière de déréférencement ?

L’exploitant d’un moteur de recherche, comme Google, n’est pas obligé de procéder à un déréférencement sur toutes les versions de son moteur. Cependant, il doit le faire sur les versions correspondant à l’ensemble des États membres de l’Union européenne.

Cela signifie que si une demande de déréférencement est acceptée, l’exploitant doit s’assurer que les liens concernés ne sont plus accessibles à partir des versions de son moteur utilisées dans les États membres.

De plus, il doit mettre en place des mesures efficaces pour décourager les internautes d’accéder à ces liens via des versions du moteur situées hors de l’Union européenne.

Quelle a été la réaction de la CNIL face à Google concernant le déréférencement ?

La CNIL, autorité française de protection des données, a sanctionné Google Inc. d’une amende de 100 000 euros en raison de son refus d’étendre le déréférencement à toutes les extensions de son moteur de recherche.

En mai 2015, la CNIL a mis en demeure Google d’appliquer le déréférencement à toutes les versions de son moteur, mais Google a seulement supprimé les liens des résultats affichés pour les recherches effectuées depuis les noms de domaine des États membres.

Cette situation a conduit Google à contester la décision de la CNIL devant le Conseil d’État, arguant que le droit au déréférencement ne nécessitait pas une suppression sans limitation géographique.

Comment la CJUE a-t-elle interprété le traitement des données par Google ?

La Cour de justice de l’Union européenne (CJUE) a considéré que Google, en raison de l’accessibilité de ses noms de domaine depuis le territoire français et des passerelles entre ces domaines, effectue un traitement de données à caractère personnel unique.

Cela signifie que, même si Google a fait une seule déclaration auprès de la CNIL, il est soumis à la loi française sur la protection des données.

Ainsi, le traitement des données personnelles par Google est considéré comme étant effectué dans le cadre de son installation en France, ce qui implique des obligations spécifiques en matière de déréférencement.

Quels sont les enjeux du déréférencement à l’échelle mondiale selon la CJUE ?

La CJUE a souligné que dans un monde globalisé, l’accès à des informations sur une personne, même depuis l’extérieur de l’Union, peut avoir des effets immédiats et substantiels au sein de l’Union.

Cela soulève la question de la nécessité d’un déréférencement mondial pour protéger les droits des individus. Cependant, la CJUE a également noté que de nombreux États tiers n’ont pas de droit au déréférencement ou adoptent des approches différentes.

Le droit à la protection des données n’est pas absolu et doit être mis en balance avec d’autres droits fondamentaux, comme la liberté d’information.

Quelles sont les limites du droit de l’Union concernant le déréférencement en dehors de l’Union ?

La CJUE a précisé que le législateur de l’Union n’a pas établi de mise en balance concernant la portée d’un déréférencement en dehors de l’Union.

Il n’existe pas d’instruments ou de mécanismes de coopération pour traiter la portée d’un déréférencement au-delà des États membres.

Cela signifie que le droit de l’Union ne confère pas aux droits des individus une portée qui dépasserait le territoire des États membres, limitant ainsi l’obligation de déréférencement à l’intérieur de l’Union.