Sources :

 

–  Arrêt de la Cour de Justice de l’Union européenne du 24 septembre 2019 dans l’affaire C‑136/17 

 

– Arrêt de la Cour de Justice de l’Union européenne du 24 septembre 2019 dans l’affaire C‑507/17 

 

– CE Ch réunies 10 et 9 èmes chambres n°399922, publié au recueil

 

– Délibération CNIL 10 mars 2016 n° 2016-054

 

– Directive 84/46 CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données – article 8 § 1 et 5 (Ci-après : « la Directive »)

 

I – Le droit au déréférencement, la CNIL et le Conseil d’Etat

 

I – 1.

 

Lorsqu’un particulier veut obtenir le déréférencement parmi les résultats affichés en réponse à une demande portant sur son nom, de liens vers des pages web publiées par des tiers et qui contiennent des données à caractère personnel le concernant, il doit saisir l’exploitant du moteur de recherche.

 

En cas de refus, il peut saisir soit le Juge Judiciaire, soit la Commission Nationale de l’Informatique et des Libertés (CNIL) pour qu’elle ordonne à cet exploitant de procéder au déréférencement des liens en cause.

 

Si la CNIL rejette également cette demande, l’intéressé peut alors contester cette décision directement devant le Conseil d’Etat qui se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue. Inversement, la décision de la CNIL peut être contestée par l’exploitant, en l’espèce, il s’agissait de Google.

 

I – 2.

 

Au cas d’espèce, le litige n’opposait pas frontalement un particulier qui se plaignait du refus de Google de le déréférencer sur son moteur de recherche, mais la CNIL, représentée par son Président, à Google qui avait été mis en demeure, sur la base de huit plaintes adressées par des particuliers, de procéder « au déréférencement sur toutes les extensions du nom de domaine du moteur de recherche », c’est-à-dire un déréférencement mondial et non pas régional comme il se contentait de le faire.

 

Google ne satisfera pas à cette injonction. Le moteur de recherche fera alors l’objet d’une sanction prononcée par une décision de la formation de contentieux de la CNIL du 10 mars 2016, immédiatement frappée de recours devant le Conseil d’Etat.

 

L’essentiel du débat devant la Haute juridiction administrative portera sur l’interprétation de la directive 95/46/CE qui a, depuis, été remplacée par le RGPD, mais la décision, commentée, garde tout son intérêt avec le nouveau dispositif réglementaire.

 

Il s’est agi pour Google de dénoncer une application extraterritoriale du texte (déférencement mondial), argument somme toute piquant s’agissant d’une société de droit américain, c’est à dire d’un pays qui a fait de l’extraterritorialité de ses lois un outil de guerre économique[1].

 

Pour la Commission et la décision de sanction, le caractère mondial du déréférencement est un gage d’efficacité de l’obligation :

 

« seules sont en cause les personnes ayant leur résidence en France ; dont il convient de faire respecter les droits de manière efficace et complète comme l’exige la Cour de Justice (…). En l’espèce, le droit au déréférencement dérivé des droits d’opposition et de suppression des données est attaché à la personne. Lorsqu’il trouve à s’appliquer, il doit être effectif sans restriction sur l’ensemble du traitement, quand bien même il serait susceptible d’entrer en conflit avec des droits étrangers ».

 

Google rétorquait, et sur ce point elle fera mouche, qu’un déréférencement mondial contreviendrait, de manière disproportionnée, à la liberté d’expression et d’information.

 

Plutôt que de procéder à une analyse d’intérêts entre deux normes (droit au déréférencement et liberté d’expression) hiérarchiquement de même nature, la CNIL va répondre par l’évocation d’un principe transposable dans toutes les situations du déréférencement :

 

« Ainsi tout internaute, où il se situe, est à même d’avoir accès à des pages web déréférencées en effectuant sa recherche à partir d’une extension non européenne de recherche. Une telle mesure (déréférencement national ou sur le territoire de l’UE) ne permet pas de répondre aux impératifs d’efficacité de complétude, d’effectivité et de contournement qui s’imposent au regard de la décision précitée de la CJUE en ce que l’atteinte à la vie privée et à la protection des données à caractère personnel des personnes concernées persiste ».

 

Ainsi résumé, pour la CNIL, lorsqu’il y a déréférencement, le déréférencement est complet, c’est-à-dire mondial.

 

I – 3.

 

S’agissant d’un débat portant plus spécifiquement sur l’interprétation à donner à l’article 8 de la Directive, Google déposera une question préjudicielle devant le Conseil d’Etat[2] transmise à la CJUE dans un arrêt avant dire droit en date du 19 juillet 2017.

 

Voici le texte de la question préjudicielle :

 

« 1°) si le « droit au déréférencement » tel qu’il a été consacré par la Cour de justice de l’Union européenne dans son arrêt du 13 mai 2014 sur le fondement des dispositions des articles 12, sous b), et 14, sous a), de la directive du 24 octobre 1995, doit être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ d’application territorial de la directive du 24 octobre 1995 ;

 

2°) en cas de réponse positive à cette première question, si le « droit au déréférencement » tel que consacré par la Cour de justice de l’Union européenne dans son arrêt précité doit être interprété en ce sens que l’exploitant d’un moteur de recherche est seulement tenu, lorsqu’il fait droit à une demande de déréférencement, de supprimer les liens litigieux des résultats affichés à la N° 399922- 2 -suite d’une recherche effectuée à partir du nom du demandeur sur le nom de domaine correspondant à l’Etat où la demande est réputée avoir été effectuée ou, plus généralement, sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des Etats membres de l’Union européenne ;

 

3°) en outre, si, en complément de l’obligation évoquée au 2°, le « droit au déréférencement » tel que consacré par la Cour de justice de l’Union européenne dans son arrêt précité doit être interprété en ce sens que l’exploitant d’un moteur de recherche faisant droit à une demande de déréférencement est tenu de supprimer, par la technique dite du « géo-blocage », depuis une adresse IP réputée localisée dans l’Etat de résidence du bénéficiaire du « droit au déréférencement », les résultats litigieux des recherches effectuées à partir de son nom, ou même, plus généralement, depuis une adresse IP réputée localisée dans l’un des Etats membres soumis à la directive du 24 octobre 1995, ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche».

 

Pour le moteur de recherche, s’agissant de l’application d’un texte de droit européen, le déréférencement ne peut être ordonné que sur le territoire de l’Union Européenne, de sorte qu’ordonner un déréférencement mondial aurait conduit la CNIL à violer la Loi Informatique et Libertés dans sa version antérieure à la réforme RGPD, elle-même issue de la transposition de la Directive.

 

Par ces deux arrêts en date du 24 septembre 2019, la Haute juridiction européenne va juger que le droit au déréférencement doit s’appliquer aux seuls territoires de l’Union Européenne, dès lors que les conditions pour demander le déréférencement sont retenues.

 

Pour autant la CJUE ne ferme pas la porte à une déréférencement mondial, en invitant les Juridictions Nationales et aux cas particuliers au Conseil d’Etat, à vérifier si ce déréférencement mondial est justifié pour garantir les droits de la personne concernée.

 

L’avis de la CJUE rendu (l’essentiel du travail pour Google était fait), Wikimédia Foundation Inc et la Société Microsoft vont intervenir volontairement devant le Conseil d’Etat et reprendre à leur profit la position développée par Google.

 

Dans sa décision commentée, le Conseil d’Etat, à l’instar de ce que pratique aujourd’hui la Cour de Cassation va, pour rendre sa décision, faire sienne l’interprétation par la CJUE de l’article 8 de la Directive, mais également viser explicitement l’article 17 du règlement 2016/679 du 27 avril 2016 autrement appelé RGPD, qui a vocation à se substituer à la directive, et ainsi annuler la décision de la CNIL au motif qu’en sanctionnant Google au seul motif que seule une mesure s’appliquant à l’intégrité du traitement lié au moteur de recherche, sans considération des extensions interrogées de l’origine géographique de l’internaute effectuant une recherche et même de répondre à l’exigence de protection telle qu’elle est consacrée par la CJUE, la CNIL a entaché la délibération d’une erreur de droit.

 

A son paragraphe 10, la décision rappelle que pour passer du déréférencement européen au déréférencement mondial, la CNIL aurait dû mettre « en balance (…) d’une part le droit de personne concernée au respect de sa vie privée et la protection des données à caractère personnel le concernant et, d’autre part, le droit à la liberté d’information », ce que la CNIL n’a évidemment pas fait, considérant que le déréférencement mondial était consubstantiel à l’efficacité de sa décision, sans qu’il soit nécessaire de rechercher l’ampleur de la violation du droit à l’information au regard de la protection des données individuelles recherchées.

 

Il faut de déduire de cette décision que par principe, lorsqu’il est dû, le droit au déréférencement s’applique sur le territoire de l’Union Européenne, mais ce n’est que par exception que ce droit pourra être imposé à tous les moteurs de recherche, c’est-à-dire sur l’ensemble de la planète.

 

Et sur ce point, le Conseil d’Etat a fait œuvre de pédagogie en rendant, le 06 décembre 2009, treize décisions qui forgent en la matière son droit prétorien.

 

II – Les conditions du droit au déréférencement posées par le Conseil d’Etat

 

Si toutes les têtes se tournent en direction de la CNIL lorsqu’il s’agit d’interpréter, appliquer ou sanctionner au regard du RGPD, il faut ici dénoncer les erreurs de béotiens. En effet, la hiérarchie des normes conduit d’abord à privilégier la position adoptée par la CJUE et son relais national qui est le Conseil d’Etat, dont les décisions s’imposent à tous, en ce compris à la CNIL.

 

A l’aune de cette explication on comprend l’intérêt de suivre la jurisprudence du Conseil d’Etat en la matière.

 

Dans sa fiche juridique intitulée « droit à l’oubli », le Conseil d’Etat synthétise sa position en ces termes :

 

  Lorsque les données personnelles ne sont pas sensibles :Il appartient en principe à la CNIL de mettre l’exploitant du moteur de recherche concerné en demeure de procéder au déréférencement demandé. Toutefois, ce droit au déréférencement n’est pas absolu. La CNIL peut refuser de faire droit à de telles demandes lorsqu’il existe un intérêt prépondérant du public à accéder à l’information en cause en effectuant une recherche à partir du nom de l’intéressé. Dans ce cas, le droit à la liberté de l’information l’emporte sur le droit au respect de la vie privée du demandeur. Pour se déterminer, la CNIL doit mettre en balance trois paramètres principaux :

 

  les caractéristiques des données personnelles en cause : leur nature, leur contenu, leur caractère plus ou moins objectif, leur exactitude, leur source, les conditions et la date de leur mise en ligne ainsi que les répercussions de leur référencement pour l’intéressé[3]. Ces différents éléments réunis doivent permettre d’apprécier la gravité de l’atteinte portée à la vie privée.

 

  le rôle social du demandeur : sa notoriété, son rôle dans la vie publique et sa fonction dans la société – ce qui permet de mieux cerner l’intérêt du public à accéder à l’information en réponse à une recherche portant sur le nom de l’intéressé.

 

  les conditions d’accès de l’information en cause : s’il est possible d’y accéder facilement à partir d’une recherche portant sur des mots-clés ne comportant pas le nom de l’intéressé, le droit à la liberté d’information apparaîtra moins affecté par un éventuel déréférencement. Par ailleurs, si l’intéressé a de lui-même rendu ces informations publiques, l’atteinte à la vie privée qu’il allègue apparaîtra en principe moins caractérisée.

 

  Lorsque les données personnelles sont sensibles[4] :

 

Dans cette hypothèse, l’ingérence dans la vie privée de la personne concernée est particulièrement grave. C’est pourquoi le Conseil d’État resserre les conditions dans lesquelles la CNIL peut légalement refuser de mettre en demeure l’exploitant de moteur de recherches de faire droit à une demande de déréférencement : il faut alors que l’accès à l’information litigieuse à partir d’une recherche portant sur le nom du demandeur soit strictement nécessaire à l’information du public.

 

Si, s’agissant de données sensibles, la CNIL doit donc apprécier de façon plus exigeante l’intérêt du public à accéder aux informations litigieuses, cette appréciation doit en revanche tenir compte des trois mêmes facteurs que ceux précédemment exposés pour les données non-sensibles.

 

Le Conseil d’État précise également que, dans l’hypothèse particulière où les données sensibles litigieuses ont été manifestement rendues publiques par la personne qu’elles concernent, alors la CNIL doit apprécier la demande de déréférencement selon la même grille d’analyse que s’il s’était agi de données non-sensibles.

 

Cas particulier des publications relatives à une procédure pénale :

 

Pour les données relatives à une procédure pénale, le Conseil d’État reprend le cadre applicable aux données sensibles (cf. supra) en lui adjoignant un élément destiné à tenir compte de leurs spécificités. En effet, ces données peuvent s’avérer exactes à un instant donné, mais ne pas refléter les étapes ultérieures de la procédure pénale – ce qui est problématique dans la mesure où, par exemple, une personne finalement acquittée peut se voir sans cesse ramenée à sa condamnation initiale. C’est dans cette optique que le Conseil d’État précise, à la suite de la CJUE, que, même lorsqu’il apparaît que le référencement de telles données non-actualisées est légal, l’exploitant d’un moteur de recherche n’en est pas moins tenu d’aménager la liste des résultats de telle sorte que celle-ci fasse d’abord apparaître au moins un lien menant vers une page web comportant des informations à jour, afin que l’image en résultant soit fidèle à la situation judiciaire actuelle de la personne concernée.

 

Pour illustrer cette nécessaire et perpétuelle balance entre droit d’information et droit à l’oubli, le Conseil d’Etat considère que le droit à l’oubli n’est pas nécessairement caractérisé même lorsqu’il s’agit de supprimer toute trace d’évocation d’une décision de justice ensuite annulée par la Cour de cassation[5].

 

Nos Hautes juridictions nationales se sont engagées dans un processus de lisibilité de compréhension de leurs décisions de justice alors que jusque là elles se considéraient comme des juridictions d’élite destinées à des élites, c’est-à-dire bien loin du concept de la codification des normes nationales introduites par Napoléon avec son Code civil de 1804 destiné à être lu et compris par tous. Nous ne pouvons que saluer une telle évolution qui clarifie avec l’aide de la CJUE, les conditions du droit au déréférencement.

 

*****

 

[1] Les lecteurs de chronos se souviendront notamment du Foreign Corrupt Pratices Acts sur la corruption dans les transactions internationales, du Foreign Account Tax Compliance Act sur la fiscalité, du trop connu Patriot Act sur la lutte contre le terrorisme, et de la tout aussi connue Loi Sarbanes – Oxley qui ont entrainé des condamnation de sociétés françaises, et notamment la société Générale à 1,2 milliards d’euros pour avoir procédé à des opérations en dollars mais en dehors du territoire américain, avec des sociétés de droit cubain, soudanais ou iranien sous embargo américain. Idem pour Alstom ou Crédit Agricole.

 

Mais au-delà d’une protection du territoire américain pas toujours bien comprise, qui consiste à soumettre des entreprises étrangères à leur standards, ces dispositifs, comme a pu le soulever le député Pierre LELLOUCHE s’inscrivent dans « une stratégie délibérée des Etats Unis qui consiste à mettre en réseau leurs agences de renseignements et leur justice afin de mener une véritable guerre économique à leurs concurrents ».

 

[2] Il revient aux Juridictions Nationales des Etats Membres de l’Union Européenne (UE) d’appliquer le droit primaire (traité et les actes de droit dérivés (règlements, directives et décisions) de l’UE. Dans ce cadre, le renvoi préjudiciel est la procédure qui permet à une Juridiction Nationale d’interroger la Cour de Justice sur l’interprétation ou la validité du droit de l’Union Européenne dans le cadre d’un litige dont elle est saisie. En l’espèce, il s’agissait d’un renvoi en interprétation de la norme du droit à l’union : le Juge National demande à la Cour de Justice de préciser l’interprétation du droit à l’union (primaire ou dérivé), afin d’appliquer correctement dans le cadre du litige qui lui est soumis. La décision de la CJUE a l’autorité de la chose jugée, elle s’impose donc à la Juridiction Nationale et ici au Conseil d’Etat, mais aussi à toutes les Juridictions Nationales des Etats Membres qui seraient confrontés à une question identique et similaire.

 

[3] Les données sensibles étant définies, par l’article 6 de la loi n° 78-17 du 6 janvier 1978 comme l’ensemble « des données à caractère personnel qui révèlent la prétendue origine raciale ou l’origine ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale d’une personne physique (…) des données génétiques, des données biométriques (…) unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. »

 

[4] Ce sont les informations qui révèlent la prétendue origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale.

 

Ce sont également les données génétiques, les données biométriques aux fins d’identifier une personne physique de manière unique, les données concernant la santé, la vie sexuelle ou l’orientation sexuelle d’une personne physique.

 

[5] L’accès du public à des articles de presse relatifs à la condamnation, pour apologie de crimes de guerres ou contre l’humanité, d’un maire est strictement nécessaire à l’information du public. Si cette condamnation a ensuite été annulée en cassation, cette circonstance ne suffit pas, compte tenu de la notoriété de l’intéressé et des conditions dans lesquelles les propos litigieux ont été tenus et repris, à rendre illégal le référencement des liens en cause. En outre, les pages vers lesquelles ils mènent comportent un addendum mentionnant cette décision de justice ultérieure (n° 405464).