Droit au « déréférencement » des données relatives à la vie privée et liberté d’information des internautes : la Cour de justice de l’Union européenne vient de rendre deux arrêts de principe

par Nicolas de Sadeleer - 18 novembre 2019

Le 24 septembre dernier, la Grande Chambre de la Cour de justice de l’Union européenne a rendu deux arrêts qui précisent la portée matérielle et territoriale de la protection des données à caractère personnel des personnes physiques, notamment en dehors de l’Union européenne.

Nicolas de Sadeleer, professeur ordinaire à l’Université Saint-Louis à Bruxelles (Chaire Jean Monnet), nous expose le contenu de ces arrêts et leur portée.

Le droit au respect de la vie privée et le « droit à l’oubli » ou au déréférencement

1. En conférant un caractère ubiquitaire aux informations, internet constitue un réseau mondial sans frontières, dont la réglementation par les autorités étatiques et les organisations internationales soulève des difficultés majeures.

2. À la différence de nombreux États tiers qui ne consacrent par le droit à l’oubli informatique, le droit secondaire de l’Union européenne (c’est-à-dire les règlements et directives édictées par les autorités européennes) protège, conformément à l’article 8 de la Charte des droits fondamentaux et l’article 16 du Traité sur le fonctionnement de l’Union européenne, la protection des données à caractère personnel des personnes physiques, le droit d’obtenir la suppression par l’exploitant d’un moteur de recherche des informations relatives à ces personnes de la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom de la personne concernée (« droit au déréférencement »).

3. Consacré dans un premier temps par la directive n° 95/46/CE, ce « droit à l’oubli » est inscrit désormais à l’article 17 du règlement n° 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel (RGPD), lequel se substitue depuis le 25 mai 2018 à la directive.

Plusieurs motifs (retrait du consentement, traitement illicite de données, etc.) peuvent obliger le responsable du traitement d’effacer ces données dans les meilleurs délais.

S’appliquant aux entreprises établies en dehors de l’Union européenne qui traitent les données relatives aux activités des organisations de l’UE, plusieurs dispositifs du RGPD revêtent un champ d’application extraterritorial (article 3) mais, s’agissant du droit au déréférencement, la question de son éventuelle portée extraterritoriale n’était pas tranchée.

Le premier arrêt (aff. n° C 507/17)

4. Dans l’affaire n° C-507/17, la Cour de justice de l’Union européenne fut interrogée à titre préjudiciel par le Conseil d’État de France quant à la validité d’une condamnation prononcée par la Commission nationale de l’informatique et des libertés (CNIL) à l’encontre de la société Google pour ne pas avoir fait droit à une demande de déréférencement appliqué à l’ensemble des extensions de nom de domaine de son moteur de recherche, c’est-à-dire également en dehors de l’Union européenne.

5. Jusque-là, le référencement ne disparaissait que lorsque l’internaute effectuait ses recherches à partir des extensions de Google au sein de l’Union européenne (Google.fr, Google.de, etc.). Or, cette mesure s’avérait inefficace puisqu’il suffisait pour un internaute d’utiliser une autre extension (Google.com par exemple) pour afficher le contenu retiré.

La compagnie américaine avait refusé d’étendre le déréférencement à toutes les extensions de son moteur de recherche ; elle s’était contentée de supprimer les liens en cause des seuls résultats affichés en réponse à des recherches effectuées depuis les noms de domaine correspondant aux déclinaisons de son moteur dans les États membres.

Comme les dispositions de la Charte des droits fondamentaux sont muettes sur la question de la territorialité du déférencement, la Cour devait se prononcer en faveur de l’une des deux branches de l’alternative suivante : soit l’opérateur économique est tenu d’opérer ce déréférencement sur l’ensemble des versions de son moteur, ce qui aurait pour effet de conférer au droit secondaire de l’Union européenne une portée extraterritoriale, soit il n’est tenu de l’opérer que sur les versions de celui-ci correspondant à l’ensemble des États membres.

Cette seconde branche renvoie à une autre interrogation : le déréférencement ne s’applique-t-il qu’à partir des recherches effectuées en France ou couvre-t-il l’ensemble des recherches effectuées à partir du territoire des 27 autres Etats membres ?

6. La Cour a d’abord constaté que l’établissement dont dispose Google Inc. sur le territoire français exerce des activités commerciales et publicitaires, lesquelles sont indissociablement liées au traitement de données à caractère personnel effectué pour les besoins du fonctionnement du moteur de recherche concerné. Étant donné l’existence de passerelles entre les différentes versions nationales du moteur de recherche, la filiale française de Google Inc. relève, par conséquent, du champ d’application de la législation de l’UE (§§ 49 et 50).

7. Pour la Cour, l’exploitant d’un moteur de recherche n’est pas tenu de procéder à un déréférencement « mondial » sur l’ensemble des versions de son moteur de recherche.

Il s’ensuit que ni l’autorité de contrôle nationale ni une juridiction d’un État membre ne peut exiger un déréférencement sur l’ensemble des versions du moteur.

La Cour justifie l’absence de déréférencement « mondial » au motif que le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité (§ 60 ; voir aussi l’aff. C 136/17, § 59).

8. Cela étant dit, le droit en question s’applique à toutes les versions du moteur correspondant à l’ensemble des 28 États membres. Aussi le déréférencement doit-il être effectif à l’échelle européenne, et non sur la seule version du pays de résidence du demandeur. Les informations doivent être rendues inaccessibles quel que soit le lieu dans l’Union européenne depuis lequel la recherche est effectuée.

En outre, en vue d’éviter tout contournement de ce dispositif, les internautes effectuant une recherche sur la base du nom de la personne concernée doivent être empêchés ou, à tout le moins, sérieusement découragés d’avoir accès, par la liste de résultats affichée à la suite de leur recherche, via une version de ce moteur « hors UE » (Google.com par exemple), aux liens qui font l’objet de la demande de déréférencement (§ 70). Un dispositif de « géoblocage » est d’ailleurs censé empêcher l’accès des internautes européens aux liens déréférencés. L’adresse IP identifiant la connexion à internet peut en effet révéler le pays où se trouve l’internaute, ce qui permet donc de délimiter les frontières du déréférencement.
Au delà de ces motifs techniques, des raisons politiques ont sans doute influencé la solution retenue par la Cour de justice de l’Union européenne.

Un déférencement global à partir de l’Union européenne aurait pu encourager d’autres États à empêcher les personnes résidant dans l’Union européenne à accéder à une information recherchée. La tendance croissante des régimes totalitaires à limiter l’accès à l’internet ou à censurer le contenu de l’information n’est pas de bon augure (en ce sens, les conclusions de l’avocat général Szupnar , § 65).

9. Google Inc. est-il désormais à l’abri de toute forme de déférencement mondial ?

Le RGDP n’induit en tout cas pas une harmonisation maximale. Dès lors, si le droit de l’Union européenne n’impose pas, en l’état actuel, un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus.

Les autorités de contrôle nationales sont en effet en droit d’effectuer « à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information » (§ 72). Il reviendra donc aux 28 autorités nationales de contrôle de vérifier si le droit à la protection des données à caractère personnel l’emporte sur l’intérêt du public à accéder à l’information recherchée.

Le second arrêt (aff. n° C 136/17)

10. Le second litige opposait des particuliers à la CNIL, qui reprochaient à l’autorité de contrôle de ne pas avoir ordonné à Google de procéder à des déréférencements de divers liens inclus dans les listes de résultat, qui renvoyaient vers des pages web publiées par des tiers, lesquelles contenaient des informations ayant trait à leur vie privée (photomontage satirique, mise en examen d’un homme politique, condamnation pour faits d’agression sexuelle sur un mineur).

11. Dans cette affaire tranchée le même jour que la précédente (aff. C 136/17), la Cour de justice de l’Union européenne dut préciser la portée des termes « données sensibles » (l’appartenance sexuelle, l’orientation politique, l’origine ethnique ou les antécédents judiciaires), lesquelles font l’objet d’un plus haut niveau de protection que les autres données privées.
Ces données couvrent, en vertu de la directive n° 95/46 (art. 8, §§ 1 à 5) et du nouveau RGPD (art. 9 et 10), l’origine raciale ou ethnique des personnes, leurs opinions politiques, leurs convictions religieuses ou philosophiques, leur appartenance syndicale, ainsi que les données relatives à leur santé et à leur vie sexuelle.

Un régime d’interdiction prévaut en principe. Par ailleurs, le traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté ne peut être effectué que sous le contrôle de l’autorité publique. Enfin, un recueil exhaustif des condamnations pénales ne peut être tenu que sous le contrôle de l’autorité publique.

12. La Cour de justice a jugé que l’exploitant du moteur de recherche est responsable non pas du fait que des données visées par ces interdictions figurent sur une page internet publiée par un tiers, mais du référencement de cette page et, tout particulièrement, de l’affichage du lien vers celle-ci dans la liste des résultats présentée aux internautes à la suite d’une recherche (§ 46).

En d’autres termes, les exploitants des moteurs de recherche doivent vérifier a posteriori l’indexation et la présentation d’une page contenant des données sensibles, et non a priori. Aussi l’exploitant n’est-il pas tenu de censurer de son propre chef les données sensibles. Seule la demande de déférencement formée par la personne concernée peut le forcer à agir.

13. Ceci renvoie alors à une autre question.
L’opérateur est-il tenu de faire systématiquement au droit à ces demandes ? Alors que l’avocat général Szupnar, qui est chargé de donner un avis à la Cour avant que celle-ci prenne sa décision, était favorable à une automaticité du déférencement (§ 74), la position de la Cour est plus nuancée.

En bref, au terme d’un raisonnement laborieux, elle conclut que le droit de la personne à la protection de ses données sensibles peut être remis en question au nom de la liberté d’information des internautes, en raison de « la nature de l’information en question et de sa sensibilité pour la vie privée » (§ 66).
Cependant, la balance des intérêts (voy. l’article 17, paragraphe 3, du RGPD) penche en faveur de la personne concernée. En effet, dans la mesure où l’ingérence dans ses droits fondamentaux est susceptible d’« être particulièrement grave en raison de la sensibilité de ces données » (§ 67), l’exploitant du moteur de recherche est tenu de vérifier si l’inclusion de ce lien dans la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère « strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web » (§ 68). Le standard de stricte nécessité retenu par la Cour renforce donc la protection accordée aux données sensibles.

14. Enfin, s’agissant des informations relatives à une procédure pénale qui n’a pas abouti à une condamnation, convient-il de maintenir les articles de presse relatant les étapes antérieures de la procédure judiciaire, qui, par définition, ne sont plus à jour ?

L’approche de la Cour est plutôt nuancée. Si la personne concernée « a droit à ce que les informations en question ne soient plus liées à son nom », l’exploitant du moteur de recherche doit apprécier au cas par cas au regard d’une série de critères la pertinence de la demande de déférencement (la nature et la gravité de l’infraction, le temps écoulé, le rôle joué par la personne dans la vie publique, etc.) (§ 77).

Votre message

Qui êtes-vous ?

Pour afficher votre trombine avec votre message, enregistrez-la d’abord sur gravatar.com (gratuit et indolore) et n’oubliez pas d’indiquer votre adresse e-mail ici.

Votre message

Les messages sont limités à 1500 caractères (espaces compris).

Lien hypertexte

(Si votre message se réfère à un article publié sur le Web, ou à une page fournissant plus d’informations, vous pouvez indiquer ci-après le titre de la page et son adresse.)

Ajouter un document

Nicolas de Sadeleer


Auteur

professeur ordinaire à l’UCLouvain Saint-Louis Bruxelles (Chaire Jean Monnet)

Partager en ligne

Articles dans le même dossier

Avec le soutien de la Caisse de prévoyance des avocats, des huissiers de justice et des autres indépendants
Pour placer ici votre logo, contactez-nous