CONCLUSIONS DE L’AVOCAT GÉNÉRAL
M. Niilo Jääskinen
présentées le 25 juin 2013 (1)
Affaire C‑131/12
Google Spain SL
Google Inc.
contre
Agencia Española de Protección de Datos (AEPD)
Mario Costeja González
[demande de décision préjudicielle formée par l’Audiencia Nacional (Espagne)]
«World Wide Web − Données à caractère personnel – Moteur de recherche sur Internet – Directive 95/46/CE sur la protection des données à caractère personnel – Interprétation des articles 2, sous b) et d), 4, paragraphe 1, sous a) et c), 12, sous b), et 14, sous a) – Champ d’application territorial – Notion d’établissement sur le territoire d’un État membre – Champ d’application rationae materiae – Notion de traitement de données à caractère personnel – Droit au verrouillage et à l’effacement des données – ‘Droit à l’oubli’ − Charte des droits fondamentaux de l’Union européenne – Articles 7, 8, 11 et 16»
I – Introduction
1. En 1890, dans leur article fondateur de la Harvard Law Review, «The Right to Privacy» (2), Samuel D. Warren et Louis D. Brandeis déploraient que les «inventions et méthodes commerciales récentes», telles que les «photographies instantanées et la presse, aient envahi l’enceinte sacrée de la vie privée et domestique». Dans ce même article, ils évoquaient «les prochaines mesures à prendre pour la protection de la personne».
2. Aujourd’hui, la protection des données à caractère personnel et de la vie privée des individus prend une importance croissante. Tout contenu, y compris des données à caractère personnel, qu’il s’agisse de textes ou de matériaux audiovisuels, peut, au format numérique, être rendu accessible, dans le monde entier, de manière instantanée et permanente. L’Internet a révolutionné nos vies en éliminant les barrières techniques et institutionnelles à la diffusion et à la réception des informations, et a créé une plate-forme pour différents services de la société de l’information. Ces innovations bénéficient aux consommateurs, aux entreprises et à la société en général. Elles ont donné lieu à une situation sans précédent, dans laquelle un équilibre doit être trouvé entre plusieurs droits fondamentaux, tels que la liberté d’expression, la liberté d’information et la liberté d’entreprise, d’une part, et la protection des données à caractère personnel et de la vie privée des individus, d’autre part.
3. S’agissant d’Internet, il convient de distinguer trois situations afférentes aux données à caractère personnel. La première est la publication d’éléments de données à caractère personnel sur n’importe quelle page web de l’Internet (3) (ci‑après la «page web source») (4). La deuxième concerne le cas dans lequel un moteur de recherche sur Internet fournit des résultats de recherche qui dirigent l’utilisateur Internet vers la page web source. La troisième opération, moins visible, survient lorsqu’un internaute effectue une recherche en utilisant un moteur de recherche sur Internet et que certaines de ses données à caractère personnel, telles que l’adresse IP à partir de laquelle la recherche est effectuée, sont automatiquement transférées chez le fournisseur de services de moteur de recherche sur Internet (5).
4. S’agissant de la première situation, la Cour a déjà jugé, dans son arrêt du 6 novembre 2003, Lindqvist (C‑101/01, Rec. p. I‑12971), que la directive 95/46/CE (6) (ci-après la «directive sur la protection des données à caractère personnel» ou la «directive») y était applicable. La troisième situation n’est pas en cause dans la présente affaire, et des procédures administratives engagées par des autorités nationales de protection des données sont en cours pour préciser la portée des règles du droit de l’Union en matière de protection des données aux utilisateurs des moteurs de recherche sur Internet (7).
5. L’ordonnance de renvoi dans la présente affaire concerne la deuxième situation. Elle a été présentée par l’Audiencia Nacional (Cour nationale, Espagne) dans le cadre d’un litige entre Google Spain SL et Google Inc. (ci-après, individuellement ou conjointement, «Google»), d’une part, et l’Agencia Española de Protección de Datos (ci-après l’«AEPD») et M. Mario Costeja González (ci‑après la «personne concernée»), d’autre part. La procédure concerne l’application de la directive sur la protection des données à caractère personnel à un moteur de recherche que Google exploite en tant que fournisseur de services. Dans la procédure nationale, il est constant que certaines données à caractère personnel relatives à la personne concernée ont été publiées par un journal espagnol dans deux de ses éditions papier en 1998, qui ont toutes deux fait l’objet d’une republication ultérieure dans une version électronique mise à disposition sur Internet. La personne concernée estime aujourd’hui que cette information ne devrait plus être diffusée dans les résultats de recherche présentés par le moteur de recherche sur Internet exploité par Google lorsqu’une recherche est faite à partir de son prénom et de ses noms.
6. Les questions déférées à la Cour relèvent de trois catégories (8). Le premier groupe de questions concerne le champ d’application territorial des dispositions du droit de l’Union sur la protection des données à caractère personnel. Le deuxième groupe traite des questions relatives à la situation juridique d’un fournisseur de services exploitant un moteur de recherche sur Internet (9) à la lumière de la directive, notamment au regard de son champ d’application ratione materiae. Enfin, la troisième question concerne le droit à l’oubli et le point de savoir si les personnes concernées peuvent demander que tout ou partie des résultats de recherche les concernant ne soient plus accessibles au moyen du moteur de recherche. Aucune de ces questions, qui soulèvent également d’importants problèmes touchant à la protection des droits fondamentaux, n’a encore été examinée par la Cour.
7. C’est apparemment la première affaire dans laquelle la Cour est appelée à interpréter la directive dans le contexte d’un moteur de recherche sur Internet; c’est une question qui semble d’actualité pour les autorités nationales en matière de protection des données et les juridictions des États membres. De fait, la juridiction de renvoi a indiqué que plusieurs affaires similaires étaient actuellement pendantes devant elle.
8. L’affaire antérieure la plus importante dont ait été saisie la Cour au sujet de problèmes relatifs à la protection des données et à l’Internet est celle ayant donné lieu à son arrêt Lindqvist (10). Cette affaire ne concernait toutefois pas les moteurs de recherche sur Internet. La directive a elle-même été interprétée dans un certain nombre d’arrêts. Parmi ceux-ci, les arrêts Österreichischer Rundfunk e.a. (11), Satakunnan Markkinapörssi et Satamedia (12), et Volker und Markus Schecke et Eifert (13) sont particulièrement importants. Le rôle des moteurs de recherche sur Internet dans le cadre des droits de propriété intellectuelle et de la compétence juridictionnelle a également été examiné par la Cour dans ses arrêts Google France et Google, Portakabin, L’Oréal e.a., Interflora et Interflora British Unit, et Wintersteiger (14).
9. Depuis l’adoption de la directive, une disposition sur la protection des données à caractère personnel a été insérée à l’article 16 TFUE et à l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la «Charte»). Au surplus, la Commission européenne a fait en 2012 une proposition de règlement général sur la protection des données à caractère personnel (15), en vue de le substituer à la directive. Le présent litige doit toutefois être réglé sur la base du droit existant.
10. La présente demande préjudicielle est marquée par le fait que, lorsque la Commission a présenté sa proposition de directive en 1990, l’Internet, au sens actuel du World Wide Web, n’existait pas, et il n’y avait pas non plus de moteurs de recherche. À l’époque de l’adoption de la directive, en 1995, l’Internet venait à peine d’être lancé et les premiers moteurs de recherche rudimentaires commençaient à apparaître, mais nul ne pouvait prévoir que le monde s’en trouverait si profondément bouleversé. Aujourd’hui, presque toute personne équipée d’un smartphone ou d’un ordinateur peut être considérée comme se livrant à des activités sur l’Internet, à laquelle la directive pourrait potentiellement s’appliquer.
II – Cadre juridique
A – La directive sur la protection des données à caractère personnel
11. L’article 1er impose aux États membres d’assurer, conformément à la directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel.
12. L’article 2 définit notamment les notions de «données à caractère personnel» et de «personne concernée», de «traitement de données à caractère personnel», de «responsable du traitement» et de tiers.
13. Conformément à son article 3, la directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel.
14. En vertu de l’article 4, paragraphe 1, chaque État membre applique les dispositions nationales qu’il arrête en vertu de la directive aux traitements de données à caractère personnel lorsque le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur son territoire, ou, si le responsable du traitement n’est pas établi sur le territoire de l’Union, lorsqu’il recourt, à des fins de traitement de données à caractère personnel, à des moyens situés sur le territoire dudit État membre.
15. L’article 12 de la directive accorde aux personnes concernées un «droit d’accès» aux données à caractère personnel traitées par le responsable du traitement, et l’article 14 leur reconnaît un «droit de s’opposer», dans certaines situations, à ce que les données à caractère personnel fassent l’objet d’un traitement.
16. L’article 29 de la directive institue un groupe de travail consultatif indépendant, composé, notamment, des autorités des États membres chargées de la protection des données à caractère personnel (ci-après le «groupe de travail ‘Article 29’»).
B – Le droit national
17. La loi organique nº 15/1999 sur la protection des données a transposé la directive en droit national (16).
III – Faits et questions déférées à titre préjudiciel
18. Début 1998, un journal largement diffusé en Espagne a publié dans son édition papier deux annonces concernant une adjudication sur saisie immobilière pratiquée en recouvrement de dettes de sécurité sociale. La personne concernée y était mentionnée comme étant la propriétaire. Une version électronique du journal a été ultérieurement mise à disposition en ligne par son éditeur.
19. En novembre 2009, la personne concernée a contacté l’éditeur du journal en affirmant que, lorsqu’elle introduisait son prénom et ses noms dans le moteur de recherche Google, apparaissait une référence à des pages du journal sur lesquelles figuraient les annonces relatives à l’adjudication sur saisie immobilière. Elle a soutenu que la procédure de saisie relative à ses dettes de sécurité sociale avait été clôturée et réglée de nombreuses années auparavant, et qu’elle n’avait plus aujourd’hui aucune pertinence. L’éditeur lui a répondu qu’il n’y avait pas lieu d’effacer les données la concernant, au motif que la publication avait été effectuée sur ordre du ministère du Travail et des Affaires sociales.
20. En février 2010, la personne concernée a contacté Google Spain et réclamé que les résultats de recherche n’affichent plus aucun lien vers le journal lorsque son prénom et ses noms étaient introduits dans le moteur de recherche Google. Google Spain a transmis cette demande à Google Inc., dont le siège est en Californie, États-Unis, en estimant que cette entreprise était le fournisseur du service de recherche sur Internet.
21. La personne concernée a ensuite déposé une réclamation auprès de l’AEPD en demandant que l’éditeur se voie ordonner de supprimer ou de modifier la publication, ou de recourir aux outils fournis par les moteurs de recherche afin de protéger ses données à caractère personnel. Elle a également demandé qu’il soit ordonné à Google Spain ou à Google Inc. de supprimer ou d’occulter ses données afin qu’elles cessent d’apparaître dans les résultats de recherche, et de faire figurer des liens vers le journal.
22. Par décision du 30 juillet 2010, le directeur de l’AEPD a accueilli la réclamation qu’avait présentée la personne concernée contre Google Spain et Google Inc., en leur demandant de prendre les mesures nécessaires pour retirer les données de leur index et de rendre impossible l’accès futur à ces dernières, mais a rejeté la réclamation dirigée contre l’éditeur. Il a motivé cette décision par le fait que la publication des données dans la presse était légalement justifiée. Google Spain et Google Inc. ont introduit deux recours devant la juridiction de renvoi, en concluant à l’annulation de la décision de l’AEPD.
23. La juridiction nationale a sursis à statuer et saisi la Cour à titre préjudiciel des questions suivantes:
«1) En ce qui concerne l’application territoriale de la directive 95/46/CE et, par conséquent, de la législation espagnole en matière de protection des données à caractère personnel:
1.1. Doit-on considérer qu’il existe un ‘établissement’ au sens des dispositions de l’article 4, paragraphe 1, sous a), de la directive 95/46/CE lorsque l’une ou plusieurs des conditions suivantes sont réunies:
– lorsque l’entreprise fournissant le moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche, et dont l’activité vise les habitants de cet État membre,
ou
– lorsque la société mère désigne une filiale implantée dans cet État membre comme son représentant et comme étant responsable du traitement de deux fichiers spécifiques contenant les données des clients ayant conclu des services publicitaires avec cette entreprise,
ou
– lorsque la succursale ou la filiale établie dans un État membre transmet à la société mère, basée en dehors de l’Union européenne, les réclamations et injonctions que lui adressent aussi bien les personnes concernées que les autorités compétentes en vue d’obtenir le respect du droit à la protection des données, même lorsque cette collaboration a lieu de manière volontaire?
1.2. L’article 4, paragraphe 1, sous c) de la directive 95/46/CE doit-il s’interpréter au sens où il existe un ‘recours à des moyens situés sur le territoire dudit État membre’:
– lorsqu’un moteur de recherche utilise des ‘araignées du web’ ou robots d’indexation pour localiser et indexer les informations contenues dans des sites web hébergés sur des serveurs situés dans cet État membre
ou
– lorsqu’il utilise un nom de domaine propre d’un État membre et oriente ses recherches et ses résultats en fonction de la langue de cet État membre?
1.3. Le stockage temporaire des informations indexées par les moteurs de recherche sur Internet peut-il être considéré comme constituant un recours à des moyens, au sens de l’article 4, paragraphe 1, sous c), de la directive 95/46/CE? En cas de réponse affirmative à cette dernière question, peut-on considérer que ce critère de rattachement est rempli lorsque l’entreprise refuse de révéler le lieu où elle stocke ces index, en invoquant des raisons de compétitivité?
1.4. Indépendamment de la réponse apportée aux questions précédentes, et en particulier dans le cas où la Cour serait d’avis que les critères de rattachement prévus à l’article 4 de la directive ne sont pas remplis, la Cour est priée de répondre à la question suivante:
À la lumière de l’article 8 de la charte des droits fondamentaux de l’Union européenne, convient-il d’appliquer la directive 95/46/CE en matière de protection des données à caractère personnel dans l’État membre où se situe le centre de gravité du conflit, et dans lequel les droits reconnus aux citoyens de l’Union européenne peuvent bénéficier de la protection la plus efficace?
2) En ce qui concerne l’activité des moteurs de recherche en tant que fournisseurs de contenus en relation avec [la directive]:
2.1. S’agissant du moteur de recherche sur Internet de la société Google, qui agit comme fournisseur de contenus et dont l’activité consiste à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et enfin à les mettre à la disposition des internautes selon un ordre de préférence donné, et lorsque ces informations contiennent des données à caractère personnel de tierces personnes,
faut-il considérer qu’une activité telle que celle décrite est comprise dans la notion de ‘traitement de données à caractère personnel’ telle que définie à l’article 2, sous b), de la directive 95/46/CE?
2.2. Dans le cas où la question précédente appellerait une réponse affirmative, et toujours en relation avec une activité telle que celle décrite au paragraphe précédent: Faut-il interpréter l’article 2, sous d), de [la directive] au sens où il conviendrait de considérer que l’entreprise qui exploite le moteur de recherche ‘Google’ est ‘responsable du traitement’ des données à caractère personnel contenues dans les sites web qu’elle indexe?
2.3. Dans l’hypothèse où la question précédente appellerait une réponse affirmative:
L’autorité nationale chargée du contrôle des données à caractère personnel (en l’espèce, l’[AEPD]) peut-elle, aux fins de faire respecter les droits contenus aux articles 12, sous b), et 14, sous a), de [la directive], ordonner directement au moteur de recherche ‘Google’ qu’il procède au retrait de ses index d’informations publiées par des tiers, sans s’adresser préalablement ou simultanément au propriétaire du site web sur lequel figurent lesdites informations?
2.4. Dans l’hypothèse où la réponse à la question précédente serait affirmative:
Les moteurs de recherche sont-ils libérés de l’obligation qui leur incombe de respecter ces droits lorsque les informations contenues dans les données à caractère personnel ont été publiées légalement par des tiers et demeurent sur le site web d’origine?
3) En ce qui concerne la portée du droit d’obtenir l’effacement et/ou de s’opposer à ce que des données relatives à la personne concernée fassent l’objet d’un traitement, en relation avec le droit à l’oubli, la Cour de justice est priée de dire si:
3.1. Le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement [droits régis par les articles 12, sous b), et 14, sous a), de [la directive]] doivent-ils être interprétés comme permettant à la personne concernée de s’adresser aux moteurs de recherche afin de faire obstacle à l’indexation des informations concernant sa personne, publiées sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers?»
24. Google, les gouvernements espagnol, grec, italien, autrichien et polonais, ainsi que la Commission, ont présenté des observations écrites. À l’exception du gouvernement polonais, tous ont assisté à l’audience du 26 février 2013, de même que le représentant de la personne concernée, et présenté des observations orales.
IV – Observations liminaires
A – Remarques introductives
25. Le problème principal dans la présente affaire est de savoir comment le rôle que jouent les fournisseurs de services de moteur de recherche sur Internet doit être interprété à la lumière des instruments juridiques actuels de l’UE en matière de protection des données, et plus particulièrement de la directive. Il est donc utile de commencer par quelques observations concernant le développement de la protection des données, l’Internet et les moteurs de recherche sur Internet.
26. Lorsque la directive a été négociée et adoptée en 1995 (17), elle a reçu un large champ d’application ratione materiae. On tenait ainsi à rattraper les évolutions technologiques qui avaient permis aux responsables du traitement d’opérer un traitement des données plus décentralisé que ne l’autorisaient les fichiers basés sur des banques de données traditionnelles centralisées, et qui recouvraient également de nouveaux types de données à caractère personnel, comme les images, ainsi que de nouvelles techniques de traitement, telles que les recherches textuelles libres (18).
27. En 1995, l’accès généralisé à l’Internet constituait un phénomène nouveau. Aujourd’hui, près de deux décennies plus tard, le volume de contenus numériques disponibles en ligne a explosé. On peut aisément y accéder, les consulter et les diffuser au travers des médias sociaux, tout comme les télécharger sur divers appareils, tels que tablettes, smartphones et ordinateurs portables. Il est toutefois clair que le législateur communautaire n’avait pas prévu que l’Internet évoluerait vers un stock mondial et complet d’informations, consultable et interrogeable de partout.
28. La façon inédite dont l’Internet facilite et porte à un paroxysme la diffusion des informations est au cœur de la présente demande préjudicielle (19). De même que l’invention de l’imprimerie au XVe siècle a permis de reproduire en quantités illimitées des ouvrages qu’il fallait auparavant recopier à la main, la mise en ligne de documents sur l’Internet autorise un accès de masse à des informations dont la quête pouvait autrefois nécessiter de pénibles recherches à un nombre d’emplacements physiques réduit. L’accès universel à l’information sur l’Internet est possible partout, à l’exception des pays dont les autorités ont limité, par divers moyens techniques (tels que les pare-feux électroniques), l’accès à l’Internet, ou dans lesquels l’accès aux télécommunications est contrôlé ou rare.
29. Du fait de ces évolutions, le champ d’application potentiel de la directive dans le monde moderne est devenu étonnamment large. Prenons par exemple le cas d’un professeur de droit européen qui a téléchargé sur son ordinateur portable la jurisprudence essentielle de la Cour depuis le site de cette dernière. Du point de vue de la directive, ce professeur pourrait être considéré comme un «responsable du traitement» des données à caractère personnel émanant d’un tiers. Le professeur dispose de fichiers comportant des données à caractère personnel qui font l’objet d’un traitement automatisé à des fins de recherche et de consultation dans le cadre d’activités qui ne sont pas exclusivement personnelles ou domestiques. En réalité, toute personne lisant aujourd’hui un journal sur une tablette ou suivant un média social sur un smartphone apparaît comme effectuant un traitement de données à caractère personnel avec des moyens automatisés, et pourrait potentiellement relever du champ d’application de la directive dans la mesure où cette activité sort du cadre strictement personnel (20). Au surplus, la large interprétation que donne la Cour du droit fondamental à la vie privée dans le cadre de la protection des données à caractère personnel semble exposer toute communication humaine à l’aide de moyens électroniques à faire l’objet d’un examen au regard de ce droit.
30. Dans l’environnement actuel, les définitions larges que reçoivent les données à caractère personnel, le traitement des données à caractère personnel et le responsable du traitement sont de nature à couvrir une série d’ampleur inédite de nouvelles situations factuelles liées aux évolutions technologiques. Cela s’explique par le fait que la plupart, si ce n’est la totalité des sites Internet et des fichiers qui y sont accessibles comportent des données à caractère personnel, telles que des noms de personnes physiques vivantes. Aussi incombe-t-il à la Cour d’appliquer une règle de raison, autrement dit le principe de proportionnalité, en interprétant la portée de la directive, de sorte à éviter la survenance de conséquences juridiques déraisonnables et excessives. La Cour a déjà retenu cette approche modérée dans son arrêt Lindqvist, dans lequel elle a rejeté une interprétation qui aurait pu conduire à conférer un champ d’application d’une ampleur déraisonnable à l’article 25 de la directive en ce qui concerne le transfert de données à caractère personnel vers des pays tiers dans le contexte de l’Internet (21).
31. Aussi conviendra-t-il, dans la présente affaire, de dégager un équilibre correct, raisonnable et proportionné entre la protection des données à caractère personnel, l’interprétation cohérente des objectifs de la société de l’information, et les intérêts légitimes des opérateurs économiques et des internautes au sens large. Bien que la directive n’ait pas été modifiée depuis son adoption en 1995, son application à des situations nouvelles a été inévitable. Il s’agit d’un domaine complexe de confrontation entre la loi et les nouvelles technologies. Les avis adoptés par le groupe de travail «Article 29» fournissent à cet égard des analyses fort utiles (22).
B – Moteurs de recherche sur Internet et protection des données à caractère personnel
32. En analysant la situation juridique d’un moteur de recherche sur Internet au regard des dispositions relatives à la protection des données à caractère personnel, il convient de tenir compte des éléments suivants (23).
33. Premièrement, dans sa forme de base, un moteur de recherche sur Internet ne crée pas en principe de contenu autonome nouveau. Dans sa forme la plus simple, il se borne à indiquer où trouver un contenu préexistant, mis à disposition par des tiers sur l’Internet, en fournissant un hyperlien vers le site web qui comporte les termes recherchés.
34. Deuxièmement, les résultats de recherche affichés par un moteur de recherche sur Internet ne résultent pas d’une recherche instantanée de l’ensemble du World Wide Web, mais sont collectés à partir de contenus que le moteur de recherche sur Internet a traités antérieurement. Cela signifie que le moteur de recherche sur Internet a extrait de sites web existants des contenus qu’il a copiés, analysés et indexés sur ses propres machines. Ces contenus comportent des données à caractère personnel si les pages web source en contiennent.
35. Troisièmement, pour permettre une utilisation plus commode des résultats de recherche, les moteurs de recherche sur Internet affichent souvent des contenus additionnels, à côté du lien dirigeant vers le site web original. Il peut s’agir d’extraits de textes, de contenus audiovisuels, voire d’instantanés des pages web source. Ces informations de prévisualisation peuvent, au moins en partie, être extraites des machines du fournisseur de services de moteur de recherche sur Internet, sans être tirées instantanément du site web original. Il en résulte que le fournisseur de services détient en réalité les informations ainsi affichées.
C – Réglementation des moteurs de recherche sur Internet
36. L’Union européenne a attaché une grande importance au développement de la société de l’information. Dans ce contexte, elle s’est aussi penchée sur le rôle des intermédiaires de la société de l’information. De tels intermédiaires jouent le rôle de passerelles entre les fournisseurs de contenus et les internautes. La spécificité de leur rôle a été reconnue, par exemple, dans la directive (considérant 47 du préambule), dans la directive sur le commerce électronique (24) (article 21, paragraphe 2, et considérant 18), ainsi que dans l’avis 1/2008 du groupe de travail «Article 29». Le rôle des fournisseurs d’accès Internet a été jugé crucial pour la société de l’information, et leur responsabilité en ce qui concerne les contenus tiers qu’ils transfèrent et/ou stockent a été limitée afin de faciliter leurs activités légitimes.
37. Le rôle et la situation juridique des fournisseurs de services de moteur de recherche sur Internet n’ont pas été expressément réglementés dans le droit de l’Union. En tant que tels, les «services de moteur de recherche» sont «prestés à distance par voie électronique et à la demande individuelle d’un destinataire de services», et correspondent donc à un service de la société de l’information, consistant dans la fourniture d’outils permettant de rechercher des informations, d’y accéder et de les extraire. Toutefois, les fournisseurs de services de moteur de recherche sur Internet, tels que Google, qui ne fournissent pas leurs services contre rémunération de la part des internautes, ne semblent pas relever, en cette qualité, du champ d’application de la directive 2000/31 sur le commerce électronique (25).
38. Nonobstant cette circonstance, il n’en convient pas moins d’analyser leur position à l’égard des principes juridiques fondant les limitations de responsabilité des fournisseurs de services Internet. En d’autres termes, dans quelle mesure les activités exercées par un fournisseur de services de moteur de recherche sur Internet sont-elles analogues, du point des principes régissant la responsabilité, aux services énumérés dans la directive 2003/31 sur le commerce électronique (transport, simple forme de stockage dite «caching», hébergement) ou au service de transmission mentionné au considérant 47 du préambule de la directive, et dans quelle mesure le fournisseur de services de moteur de recherche sur Internet agit en tant que fournisseur autonome de contenu.
D – Rôle et responsabilité des éditeurs de pages web source
39. Dans son arrêt Lindqvist, la Cour a jugé que «l’opération consistant à faire figurer, sur une page Internet, des données à caractère personnel est à considérer comme un [traitement de données à caractère personnel]» (26). Au surplus, «faire apparaître des informations sur une page Internet implique, selon les procédures techniques et informatiques appliquées actuellement, de réaliser une opération de chargement de cette page sur un serveur ainsi que les opérations nécessaires pour rendre cette page accessible aux personnes qui se sont connectées à Internet. Ces opérations sont effectuées, au moins en partie, de manière automatisée». La Cour a conclu que «l’opération consistant à faire référence, sur une page Internet, à diverses personnes et à les identifier soit par leur nom, soit par d’autres moyens» constitue un «‘traitement de données à caractère personnel, automatisé en tout ou en partie,’ au sens de l’article 3, paragraphe 1, de la [directive]».
40. Il résulte des constatations ci-dessus établies dans l’arrêt Lindqvist que l’éditeur de pages web source comportant des données à caractère personnel est un responsable du traitement de données à caractère personnel au sens de la directive. En tant que tel, l’éditeur est lié par l’ensemble des obligations que la directive impose aux responsables du traitement.
41. Les pages web source sont conservées sur des serveurs d’hébergement connectés à l’Internet. L’éditeur de pages web source peut inclure des «codes d’exclusion» (27) pour le fonctionnement des moteurs de recherche sur Internet. Les codes d’exclusion invitent les moteurs de recherche à ne pas indexer ou stocker une page web source, ou à ne pas l’afficher dans les résultats de recherche (28). Leur utilisation indique que l’éditeur ne souhaite pas que certaines informations figurant sur la page web source soient extraites pour être diffusées au travers de moteurs de recherche.
42. Aussi l’éditeur a-t-il la possibilité technique d’insérer dans ses pages web des codes d’exclusion limitant l’indexation et l’archivage des pages, en renforçant donc la protection des données à caractère personnel. À la limite, l’éditeur peut retirer la page du serveur d’hébergement, la republier sans les données à caractère personnel en cause et exiger la mise à jour de la page dans les mémoires cache des moteurs de recherche.
43. La personne qui publie le contenu d’une page web source est donc, en sa qualité de responsable du traitement, responsable des données à caractère personnel publiées sur cette page, et elle dispose de plusieurs moyens de remplir ses obligations à cet égard. Cette canalisation de la responsabilité juridique est dans la ligne des principes établis qui régissent la responsabilité des éditeurs dans le cadre des médias traditionnels (29).
44. Cette responsabilité de l’éditeur ne garantit toutefois pas que les problèmes de protection des données à caractère personnel puissent être réglés de façon concluante en s’adressant uniquement aux responsables du traitement des pages web source. Comme l’a souligné la juridiction de renvoi, les mêmes données à caractère personnel peuvent avoir été publiées sur d’innombrables pages, en sorte qu’il pourrait être difficile, voire impossible de repérer et de contacter l’ensemble des éditeurs concernés. Au surplus, l’éditeur peut être établi dans un pays tiers et les pages web concernées pourraient être hors du champ d’application des règles du droit de l’Union sur la protection des données à caractère personnel. Il pourrait également y avoir des obstacles juridiques tels que ceux existant dans la présente affaire, dans laquelle le maintien de la publication originale sur l’Internet a été considéré comme licite.
45. L’accessibilité universelle des informations sur l’Internet dépend en réalité des moteurs de recherche, puisqu’il serait trop compliqué et difficile de trouver sans eux les informations pertinentes, et l’on n’obtiendrait que des résultats limités. Comme l’observe à juste titre la juridiction de renvoi, il aurait fallu autrefois se rendre aux archives du journal pour obtenir des informations sur les annonces concernant la vente forcée de la propriété de la personne concernée. Aujourd’hui, ces informations peuvent être obtenues en entrant le nom de cette personne dans un moteur de recherche sur Internet, ce qui accroît considérablement l’efficacité de la diffusion de telles informations, tout en la rendant plus perturbante pour la personne concernée. Les moteurs de recherche sur Internet peuvent être utilisés pour établir un profil exhaustif des individus par la recherche et la collecte de leurs données à caractère personnel. Or ce sont précisément les craintes relatives à l’établissement de tels profils qui ont été à l’origine du développement de la législation moderne en matière de protection des données à caractère personnel (30).
46. Ces raisons font qu’il est important d’examiner la responsabilité des fournisseurs de services de moteurs de recherche sur Internet en ce qui concerne les données à caractère personnel publiées sur des pages web source de tiers accessibles au moyen de leurs moteurs de recherche. En d’autres termes, la Cour fait ici face au problème de la «responsabilité subsidiaire» d’une catégorie de prestataires de services de la société de l’information, analogue à celui qu’elle a examiné dans sa jurisprudence sur les marques et les places de marché électronique (31).
E – Activités d’un fournisseur de services de moteur de recherche sur Internet
47. Un fournisseur de services de moteur de recherche sur Internet peut exercer plusieurs types d’activités. La nature et l’appréciation desdites activités peuvent varier du point de vue de la protection des données.
48. Un fournisseur de services de moteur de recherche sur Internet peut automatiquement acquérir des données à caractère personnel concernant ses utilisateurs (32), c’est-à-dire les personnes saisissant des termes de recherche dans le moteur de recherche. Ces données transmises automatiquement peuvent inclure les adresses IP, les préférences (langue, etc.) et, bien sûr, les termes de recherche eux‑mêmes, qui, en cas d’«egosurfing» (c’est-à-dire de recherches effectuées sur son propre nom par un utilisateur), révèlent aisément l’identité des internautes. Au surplus, s’agissant des personnes disposant de comptes utilisateurs et qui se sont donc enregistrées elles-mêmes, leurs données à caractère personnel, telles que noms, adresses e-mail et numéros de téléphone, finissent quasi invariablement entre les mains du fournisseur de services de moteur de recherche sur Internet.
49. Le fournisseur de services de moteur de recherche sur Internet ne tire pas ses revenus des utilisateurs qui saisissent des termes de recherche dans le moteur de recherche, mais des annonceurs qui achètent des termes de recherche en tant que mots clés de manière à ce que leur publicité s’affiche simultanément avec les résultats de recherche des personnes utilisant ce mot clé (33). Il est évident que les données à caractère personnel concernant les clients annonceurs entrent en possession du fournisseur de services.
50. La présente demande préjudicielle concerne cependant l’activité qu’exerce Google en tant que simple fournisseur de services de moteur de recherche sur Internet, à propos des données, dont celles à caractère personnel, publiées sur Internet sur des pages web source de tiers, qu’elle traite et indexe ensuite sur son moteur de recherche. Les problèmes des clients utilisateurs et annonceurs, aux données desquels la directive est indubitablement applicable dans leur relation avec Google, n’ont donc pas d’incidence sur l’analyse du deuxième groupe de questions préjudicielles. Ces catégories de clients peuvent cependant présenter une pertinence en ce qui concerne les aspects tenant à la compétence, qui relèvent du premier groupe de questions préjudicielles.
V – Premier groupe de questions concernant le champ d’application territorial de la directive
A – Introduction
51. Le premier groupe de questions préjudicielles concerne l’interprétation de l’article 4 de la directive au regard des critères déterminant le champ d’application territorial de la législation nationale de transposition.
52. La juridiction de renvoi a divisé ses questions préjudicielles au sujet du champ d’application territorial de la législation espagnole en matière de protection des données en quatre sous-questions. La première porte sur la notion d’établissement au sens de l’article 4, paragraphe 1, sous a), de la directive, tandis que la deuxième concerne les circonstances dans lesquelles il existe un «recours à des moyens […] situés sur le territoire dudit État membre» au sens de l’article 4, paragraphe 1, sous c). La troisième question vise à savoir si le stockage temporaire des informations indexées par les moteurs de recherche sur Internet peut être considéré comme un recours à des moyens, et, en cas de réponse affirmative, si ce critère de rattachement peut être présumé si l’entreprise refuse de révéler le lieu où elle stocke ces index. Par sa quatrième sous-question, la juridiction demande si, à la lumière de l’article 8 de la Charte, la législation mettant en œuvre la directive doit être appliquée dans l’État membre où se situe le centre de gravité du litige et où les droits reconnus aux citoyens de l’Union européenne peuvent bénéficier d’une protection plus efficace.
53. J’examinerai d’abord la dernière sous-question, que la juridiction nationale a posée «[i]ndépendamment de la réponse apportée aux questions précédentes, et en particulier dans le cas où la Cour serait d’avis que les critères de rattachement prévus à l’article 4 de la directive ne sont pas remplis».
B – Le centre de gravité géographique du litige n’est pas en soi suffisant pour rendre la directive applicable
54. En vertu de son article 51, paragraphe 2, la Charte n’étend pas le champ d’application du droit de l’Union au-delà des compétences de l’Union, ni ne crée aucune compétence ni aucune tâche nouvelle pour l’Union et ne modifie pas les compétences et tâches définies dans les traités (34). Ce principe s’applique également à l’article 8 de la Charte sur la protection des données à caractère personnel. Ainsi l’interprétation de la directive conformément à la Charte ne saurait ajouter aucun élément nouveau qui pourrait aboutir à ce que la législation nationale mettant en œuvre la directive soit territorialement applicable aux personnes visées à l’article 4, paragraphe 1, de la directive. L’article 8 de la Charte doit bien sûr être pris en compte dans l’interprétation des notions employées à l’article 4, paragraphe 1, de la directive, mais les éléments de rattachement définis par le législateur de l’Union ne peuvent être complétés par un critère entièrement nouveau tiré de ce droit fondamental (35).
55. Le groupe de travail «Article 29» a souligné à juste titre que l’application territoriale de la directive et de la législation nationale de transposition était fonction du lieu d’établissement du responsable du traitement, ou, si ce dernier se trouve en dehors de l’Espace économique européen (EEE), de la localisation des moyens utilisés. Ni la nationalité ou le lieu de résidence habituelle des personnes concernées ni la localisation physique des données à caractère personnel ne sont déterminants (36).
56. Le groupe de travail «Article 29» a proposé que le degré de ciblage des personnes soit éventuellement pris en compte dans la législation future en ce qui concerne les responsables du traitement non établis dans l’Union européenne (37). Dans la proposition de la Commission de règlement général sur la protection des données (2012) (38), l’offre de biens ou de services aux personnes concernées résidant dans l’Union européenne serait un facteur d’application des dispositions sur la protection des données aux responsables du traitement établis dans des pays tiers. Une telle approche, qui lie l’applicabilité territoriale du droit de l’Union au public ciblé, est compatible avec la jurisprudence de la Cour sur l’applicabilité aux situations transfrontalières de la directive 2000/31 (39), du règlement (CE) nº 44/2001 (40) et de la directive 2001/29/CE (41).
57. En revanche, le critère du public ciblé, que forment dans la présente affaire les utilisateurs espagnols du moteur de recherche sur Internet de Google, aux yeux duquel les annonces litigieuses ont pu nuire à la réputation de la personne concernée, ne semble pas être un facteur déclenchant l’applicabilité territoriale de la directive et de la législation nationale qui la met en œuvre.
58. Aussi le centre de gravité du litige en Espagne ne saurait être ajouté aux critères énoncés à l’article 4, paragraphe 1, de la directive, lequel, selon moi, harmonise entièrement le champ d’application territorial des lois des États membres sur la protection des données à caractère personnel. Cette conclusion s’applique indépendamment du point de savoir si un tel centre de gravité est constitué par la nationalité ou le lieu de résidence des personnes concernées, par la localisation des données à caractère personnel litigieuses sur le site Internet du journal, ou par le fait que le site Internet espagnol de Google a spécialement ciblé le public espagnol (42).
59. Pour ces raisons, je propose que, pour le cas où la Cour jugerait nécessaire de répondre à cette question, elle apporte une réponse négative à la quatrième sous-question.
C – L’applicabilité du critère d’un «établissement dans l’UE» à un fournisseur de services de moteur de recherche sur Internet d’un pays tiers
60. En vertu de l’article 4, paragraphe 1, de la directive, le principal facteur d’applicabilité territoriale de la législation nationale en matière de protection des données est que le traitement des données à caractère personnel soit effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre. En outre, lorsqu’un responsable du traitement n’est pas établi sur le territoire de l’Union européenne, mais recourt, à des fins de traitement de données à caractère personnel, à des moyens (43) situés sur le territoire de l’État membre, la législation de cet État s’applique, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de l’Union européenne.
61. Ainsi qu’on l’a relevé ci-dessus, la directive et son article 4 ont été adoptés avant la fourniture à grande échelle de services en ligne sur l’Internet. En outre, son libellé n’est, à cet égard, ni cohérent ni complet (44). Il n’est pas étonnant que les experts en protection de données à caractère personnel aient eu des difficultés considérables à l’interpréter en ce qui concerne l’Internet. Les faits de la présente affaire illustrent ces problèmes.
62. Google Inc. est une société californienne qui dispose de filiales dans différents États membres de l’Union. Ses activités européennes sont, dans une certaine mesure, coordonnées par sa filiale irlandaise. Elle dispose actuellement de centres de données à tout le moins en Belgique et en Finlande. Les informations relatives à la situation géographique exacte des fonctions relatives à son moteur de recherche ne sont pas rendues publiques. Google fait valoir qu’aucun traitement de données à caractère personnel concernant son moteur de recherche n’est effectué en Espagne. Google Spain agit en tant que représentant commercial de Google pour ses activités publicitaires. Elle exerce en cette qualité la responsabilité du traitement des données à caractère personnel relatives à ses clients annonceurs espagnols. Google conteste que son moteur de recherche effectue quelque opération que ce soit sur les serveurs hôtes des pages web source, ou qu’elle collecte des informations au moyen de «cookies» d’utilisateurs non enregistrés de son moteur de recherche.
63. Dans ce contexte factuel, le libellé de l’article 4, paragraphe 1, de la directive n’est pas très utile. Google dispose de plusieurs établissements sur le territoire de l’Union. Dans une interprétation littérale, cette circonstance exclurait l’applicabilité de la condition des moyens, prévue à l’article 4, paragraphe 1, sous c), de la directive. D’un autre côté, on ne sait pas précisément dans quelle mesure ni où un traitement de données à caractère personnel afférentes à des personnes concernées résidant dans l’Union est effectué dans le cadre de ses filiales établies dans l’Union.
64. Selon moi, la Cour devrait aborder la question de l’applicabilité territoriale du point de vue du modèle économique des prestataires de services de moteur de recherche sur Internet. Comme je l’ai déjà indiqué, ce modèle repose normalement sur la publicité par mots clés, qui constitue la source de revenus et qui, en tant que telle, est la raison d’être économique de la fourniture d’un outil gratuit de localisation d’informations sous la forme d’un moteur de recherche. L’entité en charge de la publicité par mots clés (dénommée «prestataire du service de référencement» dans la jurisprudence de la Cour (45)) est liée au moteur de recherche sur Internet. Cette entité doit être présente sur les marchés nationaux de publicité. C’est la raison pour laquelle Google a établi des filiales dans de nombreux États membres, lesquelles constituent clairement des établissements au sens de l’article 4, paragraphe 1, sous a), de la directive. Elle fournit également des noms de domaines Internet nationaux, tels que google.es ou google.fi. L’activité du moteur de recherche tient compte de cette diversification nationale de plusieurs façons tenant à l’affichage des résultats de recherche, puisque le modèle normal de financement de la publicité par mots clés suit le principe du paiement par clic (46).
65. Pour ces raisons, je tends à me rallier à la conclusion du groupe de travail «Article 29» selon laquelle le modèle économique d’un prestataire de services de moteur de recherche sur Internet doit être pris en compte en ce sens que son établissement joue un rôle significatif dans le traitement des données à caractère personnel s’il est lié à un service intervenant dans la vente de publicité ciblée aux habitants de cet État (47).
66. En outre, même si, du point de vue de ses dispositions matérielles, l’article 4 de la directive se fonde sur une notion unique de responsable du traitement, j’estime que, pour statuer sur la question préliminaire de l’applicabilité territoriale, un opérateur économique doit être considéré comme une entité unique, et qu’il n’y a donc pas lieu, à ce stade de l’analyse, de le fractionner en fonction de ses activités individuelles relatives au traitement de données à caractère personnel ou en fonction des différents groupes de personnes concernées qui sont visés par ses activités.
67. En conclusion, le traitement de données à caractère personnel est effectué dans le cadre de l’établissement d’un responsable du traitement, si cet établissement joue le rôle d’intermédiaire pour le service de référencement destiné au marché publicitaire de cet État membre, même si les opérations techniques de traitement des données ont lieu dans d’autres États membres ou des pays tiers.
68. C’est la raison pour laquelle je propose à la Cour de répondre au premier groupe de questions préjudicielles en ce sens que le traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable du traitement, au sens de l’article 4, paragraphe 1, sous a), de la directive, lorsque l’entreprise fournissant le moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche, et dont l’activité vise les habitants de cet État.
VI – Deuxième groupe de questions relatives au champ d’application ratione materiae de la directive
69. Le deuxième groupe de questions porte sur la position juridique, à la lumière des dispositions de la directive, d’un fournisseur de services de moteur de recherche sur Internet, offrant un accès à un moteur de recherche sur Internet. La juridiction nationale les a formulées en les rapportant aux notions de «traitement» de données à caractère personnel (question 2.1) et de «responsable du traitement» (question 2.2), aux compétences de l’autorité nationale en matière de protection des données d’adresser directement des injonctions au fournisseur de services de moteur de recherche sur Internet (question 2.3), et à la possibilité d’exclure de la protection des données à caractère personnel des informations légalement publiées par des tiers sur l’Internet (question 2.4). Ces deux dernières sous-questions ne sont pertinentes que si le fournisseur de services de moteur de recherche sur Internet peut être considéré comme traitant des données à caractère personnel sur des pages web source de tiers et comme le responsable du traitement de ces données.
A – Traitement de données à caractère personnel par un moteur de recherche sur Internet
70. La première sous-question de ce groupe concerne l’applicabilité des notions de «données à caractère personnel» et de «traitement» desdites données à un fournisseur de services de moteur de recherche sur Internet, tel que Google, en supposant que les discussions ne portent pas sur les données à caractère personnel d’internautes ou d’annonceurs, mais sur les données à caractère personnel publiées sur des pages web source de tiers et traitées par le moteur de recherche sur Internet qu’exploite le fournisseur de services. La juridiction nationale décrit ce traitement comme consistant dans la localisation d’informations publiées ou placées sur Internet par des tiers, leur indexation automatique, leur stockage temporaire, et, enfin, leur mise à disposition aux internautes selon un ordre de préférence donné.
71. Selon moi, il n’est pas nécessaire de se lancer dans une longue discussion pour apporter une réponse positive à cette question. La directive a conféré à la notion de données à caractère personnel une définition large, qu’a appliquée le groupe de travail «Article 29» et qu’a confirmée la Cour (48).
72. Quant au «traitement», les pages web source sur l’Internet peuvent comporter et comportent souvent des noms, des images, des adresses, des numéros de téléphone, des descriptions et autres indications, à l’aide desquels une personne physique peut être identifiée. Le fait que leur nature de données à caractère personnel reste «ignorée» du fournisseur de services de moteur de recherche sur Internet, dont le moteur de recherche fonctionne sans aucune intervention humaine sur les données collectées, indexées et affichées à des fins de recherche, ne change rien à cette constatation (49). Il en va de même de la nature aléatoire que peut en quelque sorte revêtir, pour le fournisseur de services de moteur de recherche sur Internet, la présence de données à caractère personnel dans les pages web source, puisque, pour le fournisseur de services, ou, plus précisément, pour les fonctions d’exploration, d’analyse et d’indexation du moteur de recherche, qui ciblent l’ensemble des pages web accessibles sur Internet, il peut n’y avoir aucune différence technique ou opérationnelle entre une page web source contenant des données à caractère personnel et une autre qui n’en comporte pas (50). Ces circonstances devraient toutefois, selon moi, influer sur l’interprétation de la notion de «responsable du traitement».
73. La fonction d’exploration du moteur de recherche de Google, dénommée «googlebot», explore l’Internet de façon constante et systématique, et, en avançant d’une page web source à une autre sur la base d’hyperliens entre les pages, invite les sites visités à lui envoyer une copie des pages visitées (51). Les copies de telles pages web source sont analysées par la fonction d’indexation de Google. Les chaînes de signes (mots clés, termes recherchés) qui sont trouvées sur les pages sont enregistrées dans l’index du moteur de recherche (52). L’algorithme de recherche élaboré de Google évalue également la pertinence des résultats de recherche. Les combinaisons de ces mots clés et des adresses URL où ils peuvent être trouvés constituent l’index du moteur de recherche. Les recherches lancées par les internautes sont exécutées à l’intérieur de l’index. Aux fins de l’indexation et de l’affichage des résultats de recherche, la copie des pages est enregistrée dans la mémoire cache du moteur de recherche (53).
74. Une copie de la page web source, stockée en cache, peut être affichée après que l’internaute a effectué sa recherche. Toutefois, l’utilisateur peut accéder à la page originale s’il souhaite, par exemple, afficher des images dans la page web source. La mémoire cache est mise à jour fréquemment, mais il peut arriver que la page affichée par le moteur de recherche ne corresponde pas aux pages web source dans le serveur hôte, en raison de changements qui y ont été apportés ou de leur suppression (54).
75. Il va sans dire que les opérations décrites dans les points qui précèdent relèvent du «traitement» de données à caractère personnel sur les pages web source copiées, indexées, mises en cache et affichées par le moteur de recherche. Plus particulièrement, elles comportent la collecte, l’enregistrement, l’organisation et la conservation de telles données à caractère personnel, et peuvent comprendre leur utilisation, leur communication par transmission, diffusion ou toute autre forme de mise à disposition et l’interconnexion de données à caractère personnel au sens de l’article 2, sous b), de la directive.
B – La notion de «responsable du traitement»
76. Aux termes de l’article 2, sous d), de la directive, un responsable du traitement (55) est «la personne physique ou morale [...] qui, seul[e] ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel». Selon moi, le cœur du problème de cette affaire est de savoir dans quelle mesure un fournisseur de services de moteur de recherche sur Internet relève de cette définition.
77. Toutes les parties, à l’exception de Google et du gouvernement grec, proposent d’apporter une réponse affirmative à cette question, qui pourrait aisément être défendue en tant que conclusion logique d’une interprétation littérale, voire téléologique, de la directive, étant donné que les définitions de base de la directive ont été formulées de manière exhaustive afin de couvrir les nouvelles évolutions. J’estime toutefois qu’une telle approche serait constitutive d’une méthode qui ne ferait aucun cas du fait que, lorsque la directive a été rédigée, il n’était pas possible d’envisager l’apparition de l’Internet et des différents phénomènes nouveaux qui y sont liés.
78. Lorsque la directive a été adoptée, le World Wide Web venait à peine d’apparaître et les moteurs de recherche en étaient encore à leurs prémices. Les dispositions de la directive ne tiennent tout simplement pas compte du fait que des masses considérables de documents et de fichiers électroniques hébergés de façon décentralisée sont accessibles de partout dans le monde et que leurs contenus peuvent être copiés, analysés et diffusés par des personnes n’ayant pas la moindre relation avec leur auteur ou avec ceux qui les ont mis en ligne sur un serveur hôte connecté à l’Internet.
79. Je rappelle que, dans son arrêt Lindqvist, la Cour n’a pas suivi l’approche maximaliste que proposait la Commission en ce qui concerne l’interprétation de la notion de transfert de données vers des pays tiers. Elle a jugé que, «[e]u égard, d’une part, à l’état du développement d’Internet à l’époque de l’élaboration de la directive 95/46 et, d’autre part, à l’absence, dans son chapitre IV, de critères applicables à l’utilisation d’Internet, on ne saurait présumer que le législateur communautaire avait l’intention d’inclure prospectivement dans la notion de ‘transfert vers un pays tiers de données’ l’inscription, par une personne se trouvant dans la situation de Mme Lindqvist, de données sur une page Internet, même si celles-ci sont ainsi rendues accessibles aux personnes de pays tiers possédant les moyens techniques d’y accéder» (56). Cela signifie selon moi qu’il convient, pour interpréter la directive à l’égard des nouveaux phénomènes technologiques, de tenir compte, si l’on veut parvenir à un résultat équilibré et raisonnable, du principe de proportionnalité, des objectifs de la directive et des moyens qui y sont prévus pour les réaliser.
80. J’estime qu’une question essentielle qui se pose en l’espèce est celle de savoir s’il importe que, dans la définition qu’elle donne du responsable du traitement, la directive y voit la personne qui «détermine les finalités et les moyens du traitement de données à caractère personnel» (c’est moi qui souligne). Les parties qui considèrent Google comme un responsable du traitement fondent cette appréciation sur le fait indéniable que le fournisseur de services exploitant un moteur de recherche sur Internet détermine les finalités et les moyens du traitement de données en vue des fins qu’il poursuit.
81. Je doute toutefois qu’une telle analyse conduise à une interprétation fidèle de la directive lorsque le traitement porte sur des fichiers mêlant données à caractère personnel et autres données de façon non systématique, non ciblée et aléatoire. Le professeur de droit européen que j’ai évoqué dans mon exemple du point 29 ci-dessus détermine-t-il les finalités et les moyens du traitement de données à caractère personnel figurant dans les arrêts de la Cour qu’il a téléchargés sur son ordinateur portable? La constatation du groupe de travail «Article 29» selon laquelle «les utilisateurs du moteur de recherche pourraient également être considérés comme des responsables du traitement» révèle la nature irrationnelle de l’interprétation littérale aveugle de la directive dans le contexte de l’Internet (57). La Cour ne devrait pas admettre une interprétation qui fait de presque toute personne possédant un smartphone, une tablette ou un ordinateur portable un responsable du traitement de données à caractère personnel publiées sur l’Internet.
82. À mon avis, l’économie générale de la directive, la plupart des versions linguistiques et les obligations individuelles qu’elle impose au responsable du traitement reposent sur l’idée de la responsabilité du responsable du traitement à l’égard des données à caractère personnel qui sont traitées, en ce sens que le responsable du traitement est conscient de l’existence d’une certaine catégorie définie d’informations correspondant à des données à caractère personnel, et qu’il les traite en étant animé de quelque intention en rapport avec leur traitement en tant que données à caractère personnel (58).
83. Le groupe de travail «Article 29» relève à juste titre que «[l]a notion de responsable du traitement est une notion fonctionnelle, visant à attribuer les responsabilités aux personnes qui exercent une influence de fait, et [qu’]elle s’appuie donc sur une analyse factuelle plutôt que formelle» (59). Il poursuit en notant que «le responsable du traitement doit déterminer les données qui seront traitées pour la ou les finalités envisagées» (60). Les dispositions matérielles de la directive – et, plus particulièrement, ses articles 6, 7 et 8 – sont, selon moi, fondées sur le postulat selon lequel le responsable du traitement sait ce qu’il fait au sujet des données à caractère personnel concernées, en ce sens qu’il est conscient de la nature des données à caractère personnel qu’il traite et des raisons pour lesquelles il les traite. En d’autres termes, le traitement des données doit lui apparaître, d’une façon ou d’une autre qui soit pertinente sur un plan sémantique, comme un traitement de données à caractère personnel, c’est-à-dire d’«information[s] concernant une personne physique identifiée ou identifiable», et non pas comme le traitement d’un simple code informatique (61).
C – Un fournisseur de services de moteur de recherche sur Internet n’est pas un «responsable du traitement» de données à caractère personnel sur les pages web source de tiers
84. Le fournisseur de services de moteur de recherche sur Internet, qui se borne à offrir un outil de localisation d’informations, n’exerce pas de contrôle sur les données à caractère personnel figurant sur les pages web de tiers. Le fournisseur de services n’est «conscient» de l’existence de données à caractère personnel qu’en ce sens que, d’un point de vue statistique, il est probable que des pages web comportent des données à caractère personnel. Au cours du traitement des pages web source aux fins d’exploration, d’analyse et d’indexation, les données à caractère personnel ne se manifestent en tant que telles d’aucune manière particulière.
85. C’est la raison pour laquelle je considère l’approche retenue par le groupe de travail «Article 29» comme appropriée, dans la mesure où il entend tracer une limite entre les fonctions d’intermédiaire, purement passives, des moteurs de recherche, et les cas dans lesquels leur activité s’apparente à un contrôle réel sur les données à caractère personnel traitées (62). Dans un souci d’exhaustivité, il convient d’ajouter que la question de savoir si les données à caractère personnel sont devenues publiques (63) ou ont été légalement divulguées sur des pages web source de tiers est dénuée de pertinence pour l’application de la directive (64).
86. Le fournisseur de services de moteur de recherche sur Internet n’a aucun rapport avec le contenu des pages web source de tiers sur l’Internet, où peuvent apparaître des données à caractère personnel. En outre, comme le moteur de recherche fonctionne sur la base de copies des pages web source que sa fonction d’exploration a extraites et copiées, le fournisseur de services n’a aucun moyen de modifier les informations sur les serveurs hôtes. La fourniture d’un outil de localisation d’informations n’emporte aucun contrôle sur le contenu. Elle ne permet même pas aux fournisseurs de services de moteur de recherche sur Internet de distinguer entre les données à caractère personnel, au sens de la directive, qui se rapportent à une personne physique vivante identifiable, et d’autres données.
87. À ce stade, je m’appuierai sur le principe exprimé au considérant 47 du préambule de la directive. Il y est indiqué que le responsable du traitement de messages comportant des données à caractère personnel transmises par voie de télécommunication ou de courrier électronique est la personne dont émane ce message et non celle qui offre les services de transmission. Ce considérant ainsi que les exceptions à la responsabilité prévue dans la directive 2000/31 sur le commerce électronique (articles 12, 13 et 14) se fondent sur le principe juridique selon lequel les rapports automatisés, techniques et passifs à l’égard d’un contenu stocké ou transmis par voie électronique n’instituent pas un contrôle ou une responsabilité sur celui-ci.
88. Le groupe de travail «Article 29» a souligné que le rôle premier de la notion de responsable du traitement est de déterminer qui est chargé de faire respecter les règles de protection des données, et d’attribuer cette responsabilité aux personnes qui exercent une influence de fait (65). Selon le groupe de travail, «[l]e principe de proportionnalité veut que, lorsqu’un fournisseur de moteur de recherche agit exclusivement en tant qu’intermédiaire, il ne soit pas considéré comme le principal responsable du traitement des données à caractère personnel effectué. Dans ce cas, les responsables principaux sont les fournisseurs d’informations» (66).
89. Selon moi, le fournisseur de services de moteur de recherche sur Internet ne saurait, en droit ou en fait, remplir les obligations du responsable du traitement que prévoient les articles 6, 7 et 8 de la directive en ce qui concerne les données à caractère personnel figurant sur les pages web source hébergées sur des serveurs de tiers. Aussi une interprétation raisonnable de la directive exige-t-elle que le fournisseur de services ne soit pas, de façon générale, considéré comme ayant cette qualité (67).
90. Retenir une thèse opposée supposerait que les moteurs de recherche sur Internet sont incompatibles avec le droit de l’Union, une conclusion que je jugerais absurde. Plus particulièrement, si les fournisseurs de services de moteur de recherche sur Internet étaient considérés comme des responsables du traitement de données à caractère personnel sur des pages web source de tiers et que figuraient sur ces pages des «catégories particulières de données», telles que visées à l’article 8 de la directive (c’est-à-dire des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que des données relatives à la santé et à la vie sexuelle), l’activité du fournisseur de services de moteur de recherche sur Internet deviendrait automatiquement illégale, dès lors que les conditions strictes prévues dans cet article pour le traitement de telles données ne seraient pas remplies.
D – Circonstances dans lesquelles le fournisseur de services de moteur de recherche sur Internet est un «responsable du traitement»
91. Les fournisseurs de services de moteur de recherche sur Internet contrôlent clairement l’index du moteur de recherche, qui lie les mots clés aux adresses URL pertinentes. Le fournisseur de services détermine la façon dont l’index est structuré, et il peut techniquement bloquer certains résultats de recherche, par exemple en n’affichant pas des adresses URL émanant de certains pays ou domaines dans les résultats de recherche (68). En outre le fournisseur de services de moteur de recherche sur Internet contrôle son index en ce sens qu’il décide si des codes d’exclusion (69) figurant sur des pages web source doivent être ou non respectés.
92. En revanche, les contenus de la mémoire cache des moteurs de recherche sur Internet ne peuvent être considérés comme relevant du contrôle du fournisseur de services, puisque le cache résulte de processus entièrement techniques et automatisés, produisant une image miroir des données textuelles des pages web explorées, à l’exception des données exclues de l’indexation et de l’archivage. On notera que certains États membres semblent prévoir des exceptions horizontales particulières en ce qui concerne la responsabilité des moteurs de recherche, qui sont analogues à l’exception prévue dans la directive 2000/31 sur le commerce électronique pour certains prestataires de services de la société de l’information (70).
93. Toutefois, s’agissant des contenus de la mémoire cache, une décision de ne pas respecter les codes d’exclusion (71) figurant sur une page web emporte selon moi la qualité de responsable du traitement, au sens de la directive, de telles données à caractère personnel. Il en va de même dans les cas où le fournisseur de services de moteur de recherche sur Internet ne met pas à jour une page web dans sa mémoire cache, en dépit d’une demande en ce sens reçue de la part du site web.
E – Les obligations d’un fournisseur de services de moteur de recherche sur Internet en tant que «responsable du traitement»
94. Il est évident que si et lorsque le fournisseur de services de moteur de recherche sur Internet peut être considéré comme «responsable du traitement», il est tenu de satisfaire aux obligations prévues par la directive.
95. Quant aux critères qui légitiment le traitement des données en l’absence du consentement de la personne concernée [article 7, sous a), de la directive], il paraît évident que la fourniture de services de moteur de recherche sur Internet poursuit en tant que tel un intérêt légitime [article 7, sous f), de la directive], à savoir i) faciliter l’accès des informations aux internautes; ii) améliorer l’efficacité de la diffusion des informations mises en ligne; iii) permettre différents services de la société de l’information qui sont offerts par le fournisseur de services de moteur de recherche sur Internet et qui sont accessoires au moteur de recherche, tels que l’offre de publicité par mots clés. Ces trois finalités se rapportent respectivement à trois droits fondamentaux garantis par la Charte, à savoir la liberté d’information et la liberté d’expression (toutes deux consacrées à l’article 11) et la liberté d’entreprise (article 16). Aussi un fournisseur de services de moteur de recherche sur Internet poursuit-il des intérêts légitimes, au sens de l’article 7, sous f), de la directive, lorsqu’il traite des données mises à disposition sur l’Internet, y compris des données à caractère personnel.
96. En tant que responsable du traitement, un fournisseur de services de moteur de recherche sur Internet doit respecter les exigences prévues à l’article 6 de la directive. En particulier, les données à caractère personnel doivent être adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, et à jour, sans être dépassées pour les finalités pour lesquelles elles ont été collectées. En outre, les intérêts du «responsable du traitement», ou des tiers dans l’intérêt desquels le traitement est effectué, ainsi que ceux de la personne concernée, doivent être pondérés.
97. Dans la procédure au principal, la personne concernée demande que soit retirée de l’index de Google l’indexation de son prénom et de ses noms avec les adresses URL des pages du journal affichant les données à caractère personnel qu’il cherche à faire supprimer. De fait, les noms de personnes sont utilisés comme termes de recherche et sont enregistrés en tant que mots clés dans les index des moteurs de recherche. Cela dit, un nom ne suffit généralement pas, en tant que tel, à permettre l’identification directe d’une personne physique sur l’Internet, puisque sur le plan mondial il y a plusieurs, voire des milliers, ou même des millions de personnes à porter le même nom, ou à présenter la combinaison d’un ou de plusieurs prénoms et noms (72). Néanmoins, je suppose que, dans la plupart des cas, le fait de combiner un prénom et un nom en tant que termes de recherche permet l’identification indirecte d’une personne physique au sens de l’article 2, sous a), de la directive, dans la mesure où le résultat de la recherche dans l’index du moteur de recherche révèle une série limitée de liens permettant à un internaute de distinguer entre des personnes portant le même nom.
98. Un index de moteur de recherche rattache les noms et autres identifiants qui sont utilisés en tant que termes de recherche à un ou plusieurs liens vers des pages web. Dans la mesure où le lien est adéquat, en ce sens que les données correspondant au terme de recherche apparaissent réellement ou sont apparues sur les pages web faisant l’objet des liens, l’index remplit à mon avis les critères d’adéquation, de pertinence, de proportionnalité, d’exactitude et de complétude, fixés à l’article 6, sous c) et d), de la directive. S’agissant des aspects temporels visés à l’article 6, sous d) et e) (données à caractère personnel à jour et non conservées plus longtemps que nécessaire), il convient également de les examiner du point de vue du traitement en cause, c’est-à-dire de la fourniture d’un service de localisation d’informations, et non en tant que question relative au contenu des pages web source (73).
F – Conclusion sur le deuxième groupe de questions
99. Sur la base de ce raisonnement, j’estime qu’une autorité nationale en matière de protection des données ne saurait exiger d’un fournisseur de services de moteur de recherche sur Internet qu’il retire des informations de son index, à l’exception des cas dans lesquels ce fournisseur de services ne s’est pas conformé aux codes d’exclusion (74) ou qu’une demande émanant du site Internet au sujet de la mise à jour de la mémoire cache n’a pas été respectée. Ce scénario n’apparaît pas pertinent pour la présente demande préjudicielle. Une éventuelle «procédure de notification et de retrait» (75) concernant les liens vers les pages web source comportant des contenus illicites ou inappropriés relève de la responsabilité civile de droit national, fondée sur des motifs autres que la protection des données à caractère personnel (76).
100. Pour ces raisons, je propose à la Cour de répondre au deuxième groupe de questions en ce sens que, dans les circonstances indiquées dans la demande préjudicielle, un fournisseur de services de moteur de recherche sur Internet «traite» des données à caractère personnel au sens de l’article 2, sous b), de la directive. En revanche, le fournisseur de services ne saurait être considéré comme un «responsable du traitement» de telles données à caractère personnel au sens de l’article 2, sous d), de la directive, sous réserve de l’exception expliquée ci‑dessus.
VII – Troisième question relative à l’éventuel «droit à l’oubli» de la personne concernée
A – Observations préliminaires
101. La troisième question préjudicielle n’est pertinente que si la Cour rejette la conclusion que j’ai tirée ci-dessus, selon laquelle Google ne saurait être considérée comme un «responsable du traitement» au sens de l’article 2, sous d), de la directive, ou qu’en tant qu’elle admet ma proposition selon laquelle il existe des cas où un fournisseur de services de moteur de recherche sur Internet, tel que Google, pourrait être considéré comme ayant cette qualité. Dans le cas contraire, la section qui suit est superflue.
102. En tout état de cause, par sa troisième question, la juridiction nationale demande si le droit d’obtenir l’effacement et le verrouillage des données, prévu à l’article 12, sous b), de la directive, et le droit d’opposition, prévu à l’article 14, sous a), de la directive, permettent à la personne concernée de s’adresser aux fournisseurs de services de moteur de recherche sur Internet afin de faire obstacle à l’indexation des informations concernant sa personne qui ont été publiées sur des pages web de tiers. En agissant ainsi, une personne concernée cherche à empêcher que des informations potentiellement préjudiciables soient connues des internautes, ou exprime le désir que ces informations soient oubliées, bien qu’il s’agisse d’informations légalement publiées par des tiers. En d’autres termes, la juridiction nationale demande, en substance, si un «droit à l’oubli» peut être dégagé des articles 12, sous b), et 14, sous a), de la directive. C’est le premier point qu’il s’agit d’examiner dans l’analyse qui suit, qui sera fondée sur le libellé et l’objectif de ces dispositions.
103. Si je conclus qu’en et par eux-mêmes les articles 12, sous b), et 14, sous a), de la directive n’offrent pas cette protection, j’examinerai ensuite si une telle interprétation est compatible avec la Charte (77). Il me faudra alors considérer le droit à la protection des données à caractère personnel, consacré à l’article 8, le droit au respect de la vie privée et familiale, inscrit à l’article 7, les libertés d’expression et d’information, telles que protégées par l’article 11 (celles-ci devant être toutes deux envisagées au regard de la liberté d’expression des éditeurs de pages web et de la liberté des internautes de recevoir des informations), et la liberté d’entreprise, prévue à l’article 16. En effet, les droits que tirent les personnes concernées des articles 7 et 8 doivent être mis en balance avec les droits que garantissent les articles 11 et 16 en faveur de ceux qui souhaitent diffuser les données ou y accéder.
B – Les droits de rectification, d’effacement, de verrouillage et d’opposition prévus dans la directive correspondent-ils à un droit de la personne concernée «à l’oubli»?
104. Les droits de rectification, d’effacement et de verrouillage des données, prévus à l’article 12, sous b), de la directive, concernent les données dont le traitement ne satisfait pas aux dispositions de la directive, notamment en raison du caractère incomplet ou inexact des données (c’est moi qui souligne).
105. L’ordonnance de renvoi reconnaît que les informations apparaissant sur les pages web concernées ne sauraient être considérées comme incomplètes ou inexactes. Encore moins est-il soutenu que l’index de Google ou les contenus de sa mémoire cache renfermant de telles données pourraient être ainsi qualifiés. Aussi le droit de rectification, d’effacement ou de verrouillage, visé à l’article 12, sous b), de la directive, ne sera-t-il constitué que si le traitement par Google des données à caractère personnel émanant de pages web source de tiers est incompatible avec la directive pour d’autres raisons.
106. L’article 14, sous a), de la directive impose aux États membres de reconnaître à une personne concernée le droit de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. Cette dernière hypothèse vise plus particulièrement les cas prévus à l’article 7, sous e) et f), de la directive, c’est-à-dire lorsque le traitement est nécessaire à la réalisation de l’intérêt public ou des intérêts légitimes poursuivis par le responsable du traitement ou par des tiers. Au surplus, conformément à l’article 14, sous a), «le traitement mis en œuvre par le responsable du traitement» ne peut plus porter sur ces données en cas d’opposition justifiée.
107. Dans les cas où les fournisseurs de services de moteur de recherche sur Internet sont considérés comme des responsables du traitement des données à caractère personnel, l’article 6, paragraphe 2, de la directive leur impose de pondérer les intérêts du responsable du traitement, ou des tiers dans l’intérêt desquels le traitement est exercé, avec ceux de la personne concernée. Comme la Cour l’a observé dans son arrêt ASNEF et FECEMD, le point de savoir si les données en cause figurent déjà, ou non, dans des sources accessibles au public est pertinent pour l’exercice de cette pondération (78).
108. Toutefois, et comme l’ont affirmé la quasi-totalité des parties ayant présenté des observations écrites dans la présente affaire, j’estime que la directive ne prévoit pas de droit général à l’oubli, en ce sens qu’une personne concernée pourrait restreindre ou faire cesser la diffusion de données à caractère personnel qu’elle juge préjudiciables ou contraires à ses intérêts. Ce sont la finalité du traitement et les intérêts auxquels celui-ci contribue, si on les compare à ceux de la personne concernée, qui sont les critères qu’il convient d’appliquer lorsque les données sont traitées en l’absence du consentement de ladite personne, et non les préférences subjectives de cette dernière. À elle seule, une préférence subjective ne constitue pas un motif légitime prépondérant au sens de l’article 14, sous a), de la directive.
109. Quand bien même la Cour jugerait-elle que les fournisseurs de services de moteur de recherche sur Internet sont responsables en tant que responsables du traitement, quod non, des données à caractère personnel figurant sur des pages web source de tiers, une personne concernée n’en jouirait pas pour autant d’un «droit à l’oubli» absolu qu’elle pourrait invoquer à l’encontre de ces fournisseurs de services. Le fournisseur de services devrait néanmoins se placer dans la position de l’éditeur de la page web source et vérifier si la diffusion des données à caractère personnel sur la page peut, au moment où il procède à cet examen, être considérée comme légale et légitime aux fins de la directive. En d’autres termes, le fournisseur de services devrait abandonner sa fonction d’intermédiaire entre l’utilisateur et l’éditeur, et assumer la responsabilité du contenu de la page web source, et, si nécessaire, censurer le contenu en empêchant et en limitant l’accès à celui-ci.
110. Dans un souci d’exhaustivité, il est utile de rappeler que la proposition de la Commission de règlement général sur la protection des données prévoit, dans son article 17, un droit à l’oubli. Cette proposition semble toutefois s’être heurtée à une opposition considérable, et n’est pas supposée constituer une codification du droit existant, mais une innovation juridique importante. Aussi ne paraît-elle pas devoir affecter la réponse qu’il convient d’apporter à la question préjudicielle. On notera cependant que, aux termes de l’article 17, paragraphe 2, de la proposition, «[l]orsque le responsable du traitement […] a rendu publiques les données à caractère personnel, il prend toutes les mesures raisonnables […] en ce qui concerne les données publiées sous sa responsabilité, en vue d’informer les tiers qui traitent lesdites données qu’une personne concernée leur demande d’effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci». Ce texte semble considérer davantage les fournisseurs de services de moteur de recherche sur Internet comme des tiers que comme des responsables du traitement en tant que tels.
111. Aussi conclurai-je que les articles 12, sous b), et 14, sous a), de la directive ne prévoient pas de droit à l’oubli. Je vais maintenant examiner si cette interprétation desdites dispositions est conforme à la Charte.
C – Les droits fondamentaux en cause
112. L’article 8 de la Charte garantit à toute personne le droit à la protection des données à caractère personnel la concernant. Ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi. Toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification. Le respect de ces règles est soumis au contrôle d’une autorité indépendante.
113. Comme il s’agit d’une réaffirmation de l’acquis de l’Union européenne et du Conseil de l’Europe dans ce domaine, ce droit fondamental souligne l’importance de la protection des données à caractère personnel, mais n’ajoute en soi aucun nouvel élément significatif pour l’interprétation de la directive.
114. En vertu de l’article 7 de la Charte, toute personne a droit au respect de sa vie privée et familiale, de son domicile et de ses communications. Comme elle est en substance identique à l’article 8 de la CEDH, cette disposition doit être dûment prise en compte dans l’interprétation des dispositions pertinentes de la directive, qui imposent aux États membres de protéger notamment le droit à la vie privée.
115. On rappellera que, dans le cadre de la CEDH, l’article 8 de cette convention couvre également les questions relatives à la protection des données à caractère personnel. Pour cette raison, et en vertu de l’article 52, paragraphe 3, de la Charte, la jurisprudence de la Cour européenne des droits de l’homme sur l’article 8 de la CEDH est pertinente tant pour interpréter l’article 7 de la Charte que pour appliquer la directive de manière conforme à l’article 8 de ladite Charte.
116. Dans son arrêt Niemietz c. Allemagne, la Cour européenne des droits de l’homme a conclu que les activités professionnelles et commerciales d’un individu pouvaient relever du champ de la vie privée telle que protégées par l’article 8 de la CEDH (79). Elle a confirmé cette approche dans sa jurisprudence ultérieure.
117. En outre, dans son arrêt Volker und Markus Schecke et Eifert (80), la Cour de justice a jugé que «le respect du droit à la vie privée à l’égard du traitement des données à caractère personnel, reconnu par les articles 7 et 8 de la charte, se rapporte à toute information [c’est moi qui souligne] concernant une personne physique identifiée ou identifiable […] et […] que les limitations susceptibles d’être légitimement apportées au droit à la protection des données à caractère personnel, correspondent à celles tolérées dans le cadre de l’article 8 de la CEDH».
118. Sur la base de l’arrêt Volker und Markus Schecke et Eifert, je conclus que la protection de la vie privée en vertu de la Charte, au regard du traitement des données à caractère personnel, couvre l’ensemble des informations relatives à une personne, indépendamment du point de savoir si celle-ci agit dans une sphère purement privée ou en tant qu’opérateur économique, ou, par exemple, en tant qu’homme politique. Eu égard à l’ampleur que revêtent en droit de l’Union les notions de données à caractère personnel et de traitement desdites données, il paraît résulter de la jurisprudence susmentionnée que tout acte de communication effectué à l’aide de procédés automatisés, tels que par voie de télécommunications, de courrier électronique, ou en passant par les médias sociaux, et concernant une personne physique, est constitutif en tant que tel d’une présomption d’ingérence dans l’exercice de ce droit fondamental, qui requiert une justification (81).
119. Au point 75, j’ai conclu qu’un fournisseur de services de moteur de recherche sur Internet jouait un rôle dans le traitement d’informations à caractère personnel affichées sur les pages web source de tiers. Aussi résulte-t-il de l’arrêt Volker und Markus Schecke et Eifert de la Cour que, indépendamment de la façon dont les activités dudit fournisseur sont qualifiées au regard de la directive, les personnes concernées subissent une ingérence dans l’exercice de leur droit à la vie privée que consacre l’article 7 de la Charte. Selon la CEDH et la Charte, toute ingérence dans l’exercice de droits protégés doit être fondée sur la loi et être nécessaire dans une société démocratique. Dans la présente affaire, ce n’est pas à une ingérence commise par des autorités publiques et requérant une justification que nous faisons face, mais à la question de savoir dans quelle mesure cette ingérence exercée par des particuliers peut être tolérée. Les limites à laquelle cette ingérence est soumise sont fixées dans la directive et sont donc fondées sur la loi, comme l’exigent la CEDH et la Charte. Aussi l’interprétation de la directive doit-elle précisément porter sur l’analyse, à la lumière de la Charte, des limites fixées au traitement de données effectué par des particuliers. Des considérations qui précèdent résulte la question de savoir s’il existe une obligation positive pesant sur l’Union et sur les États membres d’imposer aux fournisseurs de services de moteur de recherche sur Internet, lesquels sont des personnes privées, l’exécution d’un droit à l’oubli (82). Cette question nous amène elle-même aux aspects touchant à la justification des atteintes aux articles 7 et 8 de la Charte, et à la relation avec les droits concurrents de la liberté d’expression et d’information, et de la liberté d’entreprise.
D – Droits à la liberté d’expression et d’information, et droit à la liberté d’entreprise
120. La présente affaire concerne à bien des égards la liberté d’expression et d’information, consacrée à l’article 11 de la Charte, qui correspond à l’article 10 de la CEDH. L’article 11, paragraphe 1, de la Charte dispose que «[t]oute personne a droit à la liberté d’expression. Ce droit comprend la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières» (83).
121. Le droit de l’internaute à recevoir et à communiquer des informations mises à disposition sur l’Internet est protégé par l’article 11 de la Charte (84). Cela concerne aussi bien les informations figurant sur les pages web source que les informations fournies par les moteurs de recherche sur Internet. Comme je l’ai déjà mentionné, l’Internet a révolutionné l’accès à toutes sortes d’informations, ainsi que leur diffusion, et permis de nouvelles formes de communication et interactions sociales entre les individus. Selon moi, le droit fondamental à l’information mérite une protection particulière en droit de l’Union, notamment au regard de la tendance toujours croissante de régimes autoritaires dans d’autres parties du monde à limiter l’accès à l’Internet ou à censurer les contenus qui y sont mis à disposition (85).
122. Les éditeurs de pages web bénéficient également d’une protection en vertu de l’article 11 de la Charte. Le fait de mettre un contenu à disposition sur l’Internet relève de l’exercice de la liberté d’expression (86), et ce a fortiori si l’éditeur a placé un lien entre sa page et d’autres pages, et qu’il n’a pas limité l’indexation ou l’archivage de ses pages par les moteurs de recherche, en manifestant ainsi sa volonté de voir le contenu largement diffusé. La publication sur le web constitue un moyen pour les individus de participer au débat et de diffuser leurs propres contenus ou celui mis en ligne par d’autres sur l’Internet (87).
123. Plus particulièrement, la présente demande préjudicielle concerne des données à caractère personnel publiées dans les archives historiques d’un journal. Dans son arrêt Times Newspapers Ltd c. Royaume-Uni (nos 1 et 2), la Cour européenne des droits de l’homme a relevé que la mise à disposition d’archives sur Internet contribuait grandement à la préservation et à l’accessibilité de l’actualité et des informations: «Les archives en question constituent une source précieuse pour l’enseignement et les recherches historiques, notamment en ce qu’elles sont immédiatement accessibles au public et généralement gratuites. [...] Cela étant, les États bénéficient probablement d’une latitude plus large pour établir un équilibre entre les intérêts concurrents lorsque les informations sont archivées et portent sur des événements passés que lorsqu’elles ont pour objet des événements actuels. À cet égard, le devoir de la presse de se conformer aux principes d’un journalisme responsable en vérifiant l’exactitude [c’est moi qui souligne] des informations publiées est vraisemblablement plus rigoureux en ce qui concerne celles qui ont trait au passé – et dont la diffusion ne revêt aucun caractère d’urgence – qu’en ce qui concerne l’actualité, par nature périssable» (88).
124. Les fournisseurs commerciaux de services de moteur de recherche sur Internet offrent leurs services de localisation d’informations dans le cadre d’une activité économique visant à tirer des revenus de la publicité par mots clés. Cela en fait une entreprise, dont la liberté est reconnue par l’article 16 de la Charte conformément au droit de l’Union et au droit national (89).
125. Au surplus, il convient de rappeler qu’aucun des droits fondamentaux dont il est question dans cette affaire n’est absolu. Ils peuvent être limités à condition qu’il existe une justification acceptable au regard des conditions fixées à l’article 52, paragraphe 1, de la Charte (90).
E – Un droit de la personne concernée à l’oubli peut-il être tiré de l’article 7 de la Charte?
126. Enfin, il est nécessaire de se demander si l’interprétation des articles 12, sous b), et 14, sous a), de la directive à la lumière de la Charte, et plus particulièrement de son article 7, pourrait aboutir à la reconnaissance d’un «droit à l’oubli» au sens visé par la juridiction nationale. Une telle constatation ne serait a priori pas contraire à l’article 51, paragraphe 2, de la Charte, puisqu’elle préciserait la portée du droit d’accès et du droit d’opposition de la personne concernée, que lui reconnaît déjà la directive, sans créer de nouveaux droits ou élargir le champ d’application du droit de l’Union.
127. Dans son arrêt Aleksey Ovchinnikov c. Russie (91), la Cour européenne des droits de l’homme a jugé que, «dans certains cas, il peut être justifié de limiter la reproduction d’informations déjà entrées dans le domaine public, par exemple pour empêcher que continuent d’être diffusés les détails de la vie privée d’une personne hors de tout débat politique ou public portant sur un sujet d’intérêt général». Le droit fondamental à la protection de la vie privée peut donc en principe être invoqué même si les informations concernées sont déjà dans le domaine public.
128. Le droit d’une personne concernée à la protection de sa vie privée n’en doit pas moins être mis en balance avec d’autres droits fondamentaux, notamment avec la liberté d’expression et la liberté d’information.
129. La liberté d’information de l’éditeur d’un journal protège son droit de republier numériquement sur l’Internet ses journaux imprimés. Selon moi, les autorités, y compris celles chargées de la protection des données, ne peuvent censurer une telle republication. L’arrêt Times Newspapers Ltd c. Royaume-Uni (nos 1 et 2) de la Cour européenne des droits de l’homme (92) démontre que la responsabilité de l’éditeur en ce qui concerne l’exactitude des publications historiques peut être plus stricte que celle afférente aux nouvelles contemporaines, et peut exiger l’emploi d’avertissements appropriés venant compléter le contenu litigieux. En revanche, j’estime que rien ne pourrait justifier d’exiger la republication numérique du numéro d’un journal avec un contenu différent de la version papier initialement publiée. Cela s’apparenterait à de la falsification de l’histoire.
130. Le problème de protection des données au cœur du présent litige ne surgit que si un internaute saisit les prénom et nom de la personne concernée dans le moteur de recherche, et se voit ainsi fournir un lien vers les pages web du journal dans lesquelles figurent les annonces contestées. Dans une telle situation, l’internaute exerce activement son droit de recevoir des informations relatives à la personne concernée à partir de sources publiques, pour des raisons connues de lui seul (93).
131. Dans la société contemporaine de l’information, le droit de rechercher des informations publiées sur Internet en recourant à des moteurs de recherche constitue l’un des moyens les plus importants d’exercer ce droit fondamental. Ce droit comprend indubitablement celui de rechercher des informations qui sont relatives à d’autres personnes et qui sont en principe protégées par le droit à la vie privée, telles que les informations figurant sur l’Internet à propos des activités qu’exerce une personne en tant qu’entrepreneur ou qu’homme ou femme politique. Le droit d’un internaute à l’information serait compromis si sa recherche d’informations au sujet d’une personne ne produisait pas des résultats de recherche reflétant fidèlement les pages web pertinentes, mais n’en donnait qu’une version «bowdlerisée» (94).
132. Un fournisseur de services de moteur de recherche sur Internet exerce légalement sa liberté d’entreprise aussi bien que sa liberté d’expression lorsqu’il met à disposition des outils de localisation d’informations sur Internet s’appuyant sur un moteur de recherche.
133. La constellation particulièrement complexe et difficile de droits fondamentaux que présente cette affaire fait obstacle à ce que l’on puisse justifier que la situation juridique de la personne concernée au titre de la directive soit renforcée et se voit dotée d’un droit à l’oubli. Cela obligerait à sacrifier des droits essentiels, tels que la liberté d’expression et d’information. Je dissuaderais également la Cour de conclure que ces intérêts concurrents pourraient être mis en balance de façon satisfaisante dans les situations individuelles, sur la base d’une analyse au cas par cas, en laissant aux fournisseurs de services de moteur de recherche sur Internet le soin de statuer. De telles «procédures de notification et de retrait», si elles étaient exigées par la Cour, conduiraient vraisemblablement soit au retrait automatique de liens vers tout contenu faisant l’objet d’une opposition, soit à un nombre ingérable de demandes traitées par les fournisseurs de services de moteur de recherche sur Internet les plus populaires et importants (95). Dans ce cadre, il convient de rappeler que les «procédures de notification et de retrait» qui apparaissent dans la directive 2000/31 sur le commerce électronique portent sur des contenus illicites, alors que la présente affaire concerne une demande tendant à faire supprimer des informations légales et légitimes qui sont entrées dans la sphère publique.
134. Plus particulièrement, les fournisseurs de services de moteur de recherche sur Internet ne devraient pas se voir accablés d’une telle obligation. Celle-ci serait constitutive d’une ingérence dans la liberté d’expression de l’éditeur de la page web, qui ne jouirait pas, dans une telle situation, d’une protection juridique adéquate, puisque toute «procédure de notification et de retrait» non réglementée constituerait une affaire privée entre la personne concernée et le fournisseur de services de moteur de recherche (96). Cela reviendrait à ce qu’un particulier censure son contenu publié (97). C’est une chose totalement différente que les États aient des obligations positives de fournir un recours effectif à l’encontre de l’éditeur portant atteinte au droit à la vie privée, qui, dans le cadre de l’Internet, concernerait l’éditeur de la page web.
135. Comme l’a relevé le groupe de travail «Article 29», il est possible que la responsabilité subsidiaire des fournisseurs de services de moteur de recherche sur Internet en vertu de la législation nationale puisse déboucher sur des obligations revenant à bloquer l’accès à des sites Internet de tiers présentant des contenus illégaux, tels que des pages web enfreignant les droits de propriété intellectuelle ou affichant des informations diffamatoires ou criminelles (98).
136. En revanche, aucun droit généralisé à l’oubli ne saurait être invoqué à leur encontre sur la base de la directive, même si celle-ci est interprétée en conformité avec la Charte.
137. Pour ces raisons, je propose à la Cour de répondre à la troisième question préjudicielle en ce sens que le droit d’obtenir l’effacement et le verrouillage des données, prévu à l’article 12, sous b), et le droit d’opposition, prévu à l’article 14, sous a), de la directive, ne confèrent pas de droit à l’oubli tel que celui décrit dans la décision de renvoi.
VIII – Conclusion
138. Au vu des considérations ci-dessus, j’estime que la Cour devrait apporter les réponses suivantes aux questions déférées par l’Audiencia Nacional:
1) Un traitement de données à caractère personnel est effectué dans le cadre des activités d’un «établissement» du responsable du traitement au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, lorsque l’entreprise fournissant le moteur de recherche sur Internet crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche, et dont l’activité vise les habitants de cet État.
2) Un fournisseur de services de moteur de recherche sur Internet, dont le moteur de recherche trouve des informations publiées ou placées sur Internet par des tiers, les indexe de manière automatique, les stocke temporairement et enfin les met à dispositions des internautes selon un ordre de préférence donné, ‘traite’ des informations à caractère personnel au sens de l’article 2, sous b), de la directive 95/46 dès lors que ces informations comportent des données à caractère personnel.
Toutefois, le fournisseur de services de moteur de recherche sur Internet ne peut être considéré comme un «responsable du traitement» de telles données à caractère personnel, au sens de l’article 2, sous d), de la directive 95/46, sauf pour ce qui concerne les contenus de l’index de son moteur de recherche, à condition qu’il n’indexe pas ou n’archive pas des données à caractère personnel en allant à l’encontre des instructions ou des demandes de l’éditeur de la page web.
3) Le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel, prévu à l’article 12, sous b), et le droit d’opposition, prévu à l’article 14, sous a), de la directive 95/46, ne permettent pas à la personne concernée de s’adresser aux moteurs de recherche afin d’empêcher l’indexation des informations concernant sa personne, publiées sur des sites web de tiers, en faisant valoir qu’elle souhaite que ces informations ne soient pas connues des internautes, lorsqu’elle estime que lesdites informations sont susceptibles de lui porter préjudice ou qu’elle désire que celles-ci soient oubliées.