L’Essentiel : En mars 2016, la CNIL a infligé à Google une amende de 100 000 euros pour avoir restreint le droit au déréférencement à son domaine français, Google.fr, sans l’étendre à ses autres noms de domaine. Le Conseil d’État a saisi la CJUE pour clarifier si l’exploitant d’un moteur de recherche doit appliquer le déréférencement sur tous ses domaines, garantissant ainsi que les liens litigieux ne soient plus accessibles, peu importe le lieu de recherche. La CJUE devra également se prononcer sur l’application du « géo-blocage » pour protéger le droit au déréférencement.

Contexte de l’affaire

Par délibération du 10 mars 2016, la CNIL a sanctionné la société Google Inc. d’une amende de 100 000 euros aux motifs que le moteur de recherche limitait le droit au déréférencement des personnes physiques à Google.fr sans extension à ses autres noms de domaine.  In concreto, il reste loisible à l’internaute d’effectuer ses recherches sur les autres noms de domaine du moteur de recherche.

Saisine préjudicielle de la CJUE

Le Conseil d’Etat a considéré que la  question de savoir si le  » droit au déréférencement  » tel qu’il a été consacré par la CJUE (arrêt du 13 mai 2014)  doit être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, soulève une difficulté sérieuse d’interprétation.

La CJUE devra également donner une ligne interprétative sur la question de savoir si le  » droit au déréférencement  » doit être interprété en ce sens que l’exploitant d’un moteur de recherche faisant droit à une demande de déréférencement est tenu de supprimer, par la technique dite du  » géo-blocage  » (depuis une adresse IP réputée localisée dans l’Etat de résidence du bénéficiaire du  » droit au déréférencement « ), cela indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche.

Rappel du droit applicable à l’affaire

Par son arrêt du 13 mai 2014 Google Spain SL, Google Inc. contre Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez (C-131/12), la CJUE a considéré que l’article 2  de la directive 95/46/CE du 24 octobre 1995 doit être interprété en ce sens que i) d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de  » traitement de données à caractère personnel  » et ii) l’exploitant du moteur de recherche doit être considéré comme le  » responsable  » dudit traitement de données personnelles. Par ailleurs, un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, lorsque l’exploitant du moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre (e.g. AdWords).

Concernant le « droit au déréférencement », l’article 38 de la loi du 6 janvier 1978 a été jugé applicable : « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. » ; « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant » (article 40).

Sur le fondement des articles 38 et 40 de la loi du 6 janvier 1978, lorsque les conditions fixées par ces articles sont satisfaites, l’exploitant d’un moteur de recherche mettant en oeuvre son traitement en France doit donc faire droit aux demandes qui lui sont présentées tendant au déréférencement de liens, c’est-à-dire à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’un internaute, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant.

Télécharger 

Q/R juridiques soulevées :

Quelle a été la décision de la CNIL concernant Google Inc. en mars 2016 ?

La CNIL a sanctionné Google Inc. par une amende de 100 000 euros le 10 mars 2016. Cette décision a été motivée par le fait que le moteur de recherche limitait le droit au déréférencement des personnes physiques uniquement à son domaine Google.fr.

Cela signifie que les utilisateurs pouvaient toujours effectuer des recherches sur d’autres noms de domaine de Google, ce qui contredisait l’idée d’un déréférencement complet.

Cette situation a soulevé des questions sur l’efficacité du déréférencement et sur la manière dont les moteurs de recherche doivent gérer les demandes des utilisateurs concernant leurs données personnelles.

Quelles questions a soulevées le Conseil d’Etat concernant le droit au déréférencement ?

Le Conseil d’Etat a soulevé des questions déterminantes concernant l’interprétation du « droit au déréférencement » tel qu’établi par la CJUE dans son arrêt du 13 mai 2014.

Il a demandé si l’exploitant d’un moteur de recherche devait effectuer le déréférencement sur tous ses noms de domaine, afin que les liens litigieux ne soient plus visibles, peu importe le lieu d’où la recherche est effectuée.

Cette question met en lumière la complexité de l’application du droit au déréférencement à l’échelle mondiale, en tenant compte des différentes juridictions et des pratiques des moteurs de recherche.

Quel est le cadre juridique applicable à l’affaire selon la CJUE ?

Dans son arrêt du 13 mai 2014, la CJUE a précisé que l’activité d’un moteur de recherche, qui consiste à indexer et à stocker des informations publiées par des tiers, constitue un « traitement de données à caractère personnel ».

L’exploitant du moteur de recherche est donc considéré comme le « responsable » de ce traitement.

De plus, la CJUE a établi que ce traitement est effectué dans le cadre des activités d’un établissement du responsable sur le territoire d’un État membre, notamment lorsque des services comme AdWords sont proposés.

Quels droits ont les personnes physiques en matière de déréférencement selon la loi du 6 janvier 1978 ?

Selon l’article 38 de la loi du 6 janvier 1978, toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que ses données personnelles soient traitées.

Elle peut également exiger que ses données soient rectifiées, complétées, mises à jour, verrouillées ou effacées, comme le stipule l’article 40.

Ces droits sont essentiels pour protéger la vie privée des individus et leur permettre de contrôler l’utilisation de leurs données personnelles sur Internet.

Quelles obligations ont les moteurs de recherche en France concernant les demandes de déréférencement ?

Les moteurs de recherche opérant en France doivent respecter les articles 38 et 40 de la loi du 6 janvier 1978.

Cela signifie qu’ils doivent répondre favorablement aux demandes de déréférencement lorsque les conditions légales sont remplies.

Concrètement, cela implique la suppression des liens vers des pages web contenant des informations personnelles sur l’internaute, lorsque celui-ci en fait la demande, garantissant ainsi le respect de son droit à l’oubli.