Affaire C‑507/17
Google LLC
contre
Commission nationale de l’informatique et des libertés (CNIL)
[demande de décision préjudicielle, introduite par Conseil d’État (France)]
Arrêt de la Cour (grande chambre) du 24 septembre 2019
« Renvoi préjudiciel – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données – Directive 95/46/CE – Règlement (UE) 2016/679 – Moteurs de recherche sur Internet – Traitement des données figurant sur des pages web – Portée territoriale du droit au déréférencement »
1. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46, articles 12 et 14 – Droit d’accès de la personne concernée aux données à caractère personnel et droit d’opposition à leur traitement – Droit de demander la suppression de la liste de résultats des liens vers des pages web – Conditions
[Directive du Parlement européen et du Conseil 95/46, art. 12, b), et 14, 1er al., a)]
(voir point 44)
2. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46, articles 12 et 14 – Droit d’accès de la personne concernée aux données à caractère personnel et droit d’opposition à leur traitement – Recherche effectuée au moyen d’un moteur de recherche à partir du nom d’une personne – Affichage d’une liste de résultats – Droit de demander de ne plus mettre cette information à la disposition du grand public
[Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; directive du Parlement européen et du Conseil 95/46, art. 6, § 1, c) à e), 12, b), et 14, 1er al., a)]
(voir point 45)
3. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46, article 4 – Droit national applicable – Traitement de données dans le cadre des activités de l’établissement d’un exploitant d’un moteur de recherche situé sur le territoire d’un État membre – Portée – Promotion et vente des espaces publicitaires visant les habitants de cet État membre proposés par ce moteur de recherche au moyen dudit établissement – Inclusion
[Directive du Parlement européen et du Conseil 95/46, art. 4, § 1, a) ; règlement du Parlement européen et du Conseil 2016/679, art. 3, § 1]
(voir points 49-51)
4. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Droits à la rectification et à l’effacement des données – Droit au déréférencement – Portée territoriale – Obligation de l’exploitant d’un moteur de recherche d’opérer le déréférencement uniquement sur les versions de son moteur correspondant à l’ensemble des États membres – Obligation dudit exploitant de prendre des mesures efficaces pour empêcher ou décourager les internautes d’avoir accès aux liens faisant l’objet du déréférencement – Vérification par la juridiction nationale
[Directive du Parlement européen et du Conseil 95/46, art. 12, b), et 14, 1er al., a) ; règlement du Parlement européen et du Conseil 2016/679, art. 17, § 1]
(voir points 60-73 et disp.)
Résumé
L’exploitant d’un moteur de recherche n’est pas tenu de procéder à un déréférencement sur l’ensemble des versions de son moteur de recherche
Par l’arrêt du 24 septembre 2019, Google (Portée territoriale du déréférencement) (C‑507/17), la Cour, réunie en grande chambre, a jugé que l’exploitant d’un moteur de recherche est, en principe, tenu d’opérer le déréférencement uniquement sur les versions de son moteur correspondant à l’ensemble des États membres.
La Commission nationale de l’informatique et des libertés (CNIL) (France) a mis Google en demeure, lorsque cette société fait droit à une demande de déréférencement, de procéder à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom de la personne concernée, de liens menant vers des pages web comportant des données personnelles concernant cette dernière, sur toutes les extensions de nom du domaine de son moteur de recherche. À la suite du refus de Google de se conformer à cette mise en demeure, la CNIL a prononcé à l’encontre de cette société une sanction de 100 000 euros. Le Conseil d’État, saisi par Google, a demandé à la Cour de préciser la portée territoriale de l’obligation, pour l’exploitant d’un moteur de recherche, de mettre en œuvre le droit au déréférencement en application de la directive 95/46 (1).
Tout d’abord, la Cour a rappelé la possibilité pour les personnes physiques de faire valoir, sur le fondement du droit de l’Union, leur droit au déréférencement à l’encontre de l’exploitant d’un moteur de recherche disposant d’un ou de plusieurs établissements sur le territoire de l’Union, indépendamment du fait que le traitement de données à caractère personnel (en l’occurrence, le référencement de liens vers des pages web sur lesquelles figurent des données personnelles concernant la personne qui se prévaut de ce droit) ait lieu ou non dans l’Union (2).
S’agissant de la portée du droit au déréférencement, la Cour a considéré que l’exploitant d’un moteur de recherche est tenu d’opérer le déréférencement non pas sur l’ensemble des versions de son moteur mais sur les versions de celui-ci correspondant à l’ensemble des États membres. Elle a relevé à cet égard que, si un déréférencement universel serait, compte tenu des caractéristiques d’Internet et des moteurs de recherche, de nature à rencontrer pleinement l’objectif du législateur de l’Union consistant à garantir un niveau élevé de protection des données personnelles dans l’ensemble de l’Union, il ne ressort toutefois aucunement du droit de l’Union (3) que, aux fins de la réalisation d’un tel objectif, le législateur aurait fait le choix de conférer au droit au déréférencement une portée qui dépasserait le territoire des États membres. En particulier, alors que le droit de l’Union institue des mécanismes de coopération entre autorités de contrôle des États membres pour parvenir à une décision commune, fondée sur une mise en balance entre le droit à la protection de la vie privée et des données personnelles, d’une part, et l’intérêt du public des différents États membres à accéder à une information, d’autre part, de tels mécanismes ne sont, actuellement, pas prévus pour ce qui concerne la portée d’un déréférencement en dehors de l’Union.
En l’état actuel du droit de l’Union, il incombe à l’exploitant d’un moteur de recherche de procéder au déréférencement demandé, non pas sur la seule version du moteur correspondant à l’État membre de résidence du bénéficiaire de ce déréférencement, mais sur les versions du moteur correspondant aux États membres, et ce, afin, notamment, d’assurer un niveau cohérent et élevé de protection dans l’ensemble de l’Union. Par ailleurs, il incombe à un tel exploitant de prendre, si nécessaire, des mesures suffisamment efficaces pour empêcher ou, à tout le moins, sérieusement décourager les internautes de l’Union d’avoir accès, le cas échéant à partir d’une version du moteur correspondant à un État tiers, aux liens faisant l’objet du déréférencement, et il appartient à la juridiction nationale de vérifier si les mesures adoptées par l’exploitant satisfont à cette exigence.
Enfin, la Cour a souligné que, si le droit de l’Union n’impose pas à l’exploitant d’un moteur de recherche d’opérer un déréférencement sur l’ensemble des versions de son moteur, il ne l’interdit pas non plus. Partant, une autorité de contrôle ou une autorité judiciaire d’un État membre reste compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre le droit de la personne concernée au respect de sa vie privée et à la protection de ses données personnelles, d’un côté, et le droit à la liberté d’information, de l’autre côté, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.