Affaire C‑136/17
GC e.a
contre
Commission nationale de l’informatique et des libertés (CNIL)
[demande de décision préjudicielle, introduite par le Conseil d’État (France)]
Arrêt de la Cour (grande chambre) du 24 septembre 2019
« Renvoi préjudiciel – Données à caractère personnel – Protection des personnes physiques à l’égard du traitement de ces données figurant sur des pages web – Directive 95/46/CE – Règlement (UE) 2016/679 – Moteurs de recherche sur Internet – Traitement des données contenues dans des sites web – Catégories de données spécifiques visées à l’article 8 de cette directive et aux articles 9 et 10 de ce règlement – Applicabilité de ces articles à l’exploitant du moteur de recherche – Portée des obligations de cet exploitant au regard desdits articles – Publication des données sur des sites web aux seules fins de journalisme ou d’expression artistique ou littéraire – Incidence sur le traitement d’une demande de déréférencement – Articles 7, 8 et 11 de la charte des droits fondamentaux de l’Union européenne »
1. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Article 2 de la directive 95/46 – Traitement de données à caractère personnel – Notion – Activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer, à les stocker et à les mettre à la disposition des internautes – Inclusion – Responsable du traitement – Notion – Exploitant d’un moteur de recherche – Inclusion
[Directive du Parlement européen et du Conseil 95/46, art. 2, b) et d)]
(voir points 35-37)
2. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Traitement portant sur des catégories particulières de données à caractère personnel – Interdictions ou restrictions relatives au traitement desdites catégories de données – Applicabilité à l’exploitant d’un moteur de recherche – Conditions
(Règlement du Parlement européen et du Conseil 2016/679, art. 9, § 1, et 10 ; directive du Parlement européen et du Conseil 95/46, art. 8, § 1 et 5)
(voir points 42-48, disp. 1)
3. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Articles 12 et 14 de la directive 95/46 – Droit d’accès de la personne concernée aux données à caractère personnel et droit d’opposition à leur traitement – Droit de demander la suppression de la liste de résultats des liens vers des pages web – Conditions
[Directive du Parlement européen et du Conseil 95/46, art. 12, b), et 14, 1er al., a)]
(voir points 50-52)
4. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Articles 12 et 14 de la directive 95/46 – Droit d’accès de la personne concernée aux données à caractère personnel et droit d’opposition à leur traitement – Recherche effectuée au moyen d’un moteur de recherche à partir du nom d’une personne – Affichage d’une liste de résultats – Droit de demander de ne plus mettre cette information à la disposition du grand public
[Charte des droits fondamentaux de l’Union européenne, art. 7 et 8 ; directive du Parlement européen et du Conseil 95/46, art. 6, § 1, c) à e), 12, b), et 14, 1er al., a)]
(voir point 53)
5. Droits fondamentaux – Respect de la vie privée – Protection des données à caractère personnel – Limitations – Conditions
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 52, § 1)
(voir point 58)
6. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Traitement portant sur des catégories particulières de données à caractère personnel – Demande de déréférencement – Obligation de l’exploitant d’un moteur de recherche de faire droit à une telle demande – Exception – Données manifestement rendues publiques par la personne concernée – Conditions
[Règlement du Parlement européen et du Conseil 2016/679, art. 9, § 2, a), e) et g), 17, § 1, b) et c), et 21, § 1 ; directive du Parlement européen et du Conseil 95/46, art. 8, § 1, 2, a) et e), et 4, et 14, 1er al., a)]
(voir points 61-65, disp. 2)
7. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Traitement portant sur des catégories particulières de données à caractère personnel – Demande de déréférencement – Obligation de l’exploitant d’un moteur de recherche de faire droit à une telle demande – Exception – Protection de la liberté d’information des internautes – Vérification par ledit exploitant
(Charte des droits fondamentaux de l’Union européenne, art. 7, 8, 11 et 52, § 1 ; règlement du Parlement européen et du Conseil 2016/679, art. 9, § 1, et 10 ; directive du Parlement européen et du Conseil 95/46, art. 8, § 1 et 5)
(voir points 66-69, disp. 2)
8. Rapprochement des législations – Protection des personnes physiques à l’égard du traitement des données à caractère personnel – Directive 95/46 – Traitement portant sur des catégories particulières de données à caractère personnel – Données relatives aux infractions et aux condamnations pénales – Notion – Informations relatives à une procédure judiciaire – Inclusion – Demande de déréférencement – Obligation d’un exploitant d’un moteur de recherche de faire droit à une telle demande – Conditions – Conciliation des droits au respect de la vie privée et à la protection des données de la personne concernée avec la liberté d’information des internautes – Vérification par ledit exploitant
[Charte des droits fondamentaux de l’Union européenne, art. 7, 8 et 11 ; règlement du Parlement européen et du Conseil 2016/679, art. 5, § 1, c) à e), et 10 ; directive du Parlement européen et du Conseil 95/46, art. 6, § 1, c) à e), et 8, § 4 et 5]
(voir points 72-79, disp. 3)
Résumé
L’interdiction de traiter certaines catégories de données personnelles sensibles s’applique également aux exploitants de moteurs de recherche
Par l’arrêt du 24 septembre 2019, GC e.a. (Déréférencement de données sensibles) (C‑136/17), la Cour, réunie en grande chambre, a précisé les obligations de l’exploitant d’un moteur de recherche dans le cadre d’une demande de déréférencement portant sur des données sensibles.
Google avait refusé de faire droit aux demandes de quatre personnes de déréférencer, dans la liste de résultats affichée par le moteur de recherche en réponse à une recherche effectuée à partir de leur nom respectif, divers liens menant vers des pages web publiées par des tiers, notamment des articles de presse. Suite aux plaintes de ces quatre personnes, la Commission nationale de l’informatique et des libertés (CNIL) (France) a refusé de mettre en demeure Google de procéder aux déréférencements demandés. Le Conseil d’État (France), saisi de l’affaire, a demandé à la Cour de préciser les obligations incombant à l’exploitant d’un moteur de recherche lors du traitement d’une demande de déréférencement en vertu de la directive 95/46 (1).
Premièrement, la Cour a rappelé que le traitement des données à caractère personnel qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, ainsi que le traitement des données relatives à la santé et à la vie sexuelle, est interdit (2), sous réserve de certaines exceptions et dérogations. S’agissant du traitement de données relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté, il ne peut en principe être effectué que sous le contrôle de l’autorité publique ou si des garanties appropriées et spécifiques sont prévues par le droit national (3).
La Cour a jugé que l’interdiction et les restrictions relatives au traitement de ces catégories particulières de données s’appliquent à l’exploitant d’un moteur de recherche, à l’instar de tout autre responsable du traitement de données à caractère personnel. En effet, la finalité de ces interdictions et restrictions consiste à assurer une protection accrue à l’encontre de tels traitements qui, en raison de la sensibilité particulière de ces données, sont susceptibles de constituer une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel (4).
Toutefois, l’exploitant d’un moteur de recherche est responsable non pas du fait que des données à caractère personnel figurent sur une page web publiée par un tiers, mais du référencement de cette page. Dans ces conditions, l’interdiction et les restrictions relatives au traitement de données sensibles ne s’appliquent à cet exploitant qu’en raison de ce référencement et, donc, par l’intermédiaire d’une vérification à effectuer, sous le contrôle des autorités nationales compétentes, sur la base d’une demande formée par la personne concernée.
Deuxièmement, la Cour a considéré que, lorsque l’exploitant est saisi d’une demande de déréférencement relative à des données sensibles, il est en principe obligé, sous réserve de certaines exceptions, de faire droit à cette demande. S’agissant de ces exceptions, l’exploitant peut notamment refuser de faire droit à une telle demande lorsqu’il constate que les liens mènent vers des données manifestement rendues publiques par la personne concernée (5), à condition que le référencement de tels liens réponde aux autres conditions de licéité d’un traitement de données à caractère personnel et à moins que cette personne n’ait le droit de s’opposer audit référencement pour des raisons tenant à sa situation particulière (6).
En tout état de cause, lorsqu’il est saisi d’une demande de déréférencement, l’exploitant d’un moteur de recherche doit vérifier si l’inclusion dans la liste de résultats du lien vers une page web sur laquelle des données sensibles sont publiées, qui est affichée à la suite d’une recherche effectuée à partir du nom de cette personne, s’avère strictement nécessaire pour protéger la liberté d’information des internautes (7) potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche. À cet égard, la Cour a souligné que, si les droits au respect de la vie privée et à la protection des données à caractère personnel prévalent, en règle générale, sur la liberté d’information des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique.
Troisièmement, la Cour a jugé que, dans le cadre d’une demande de déréférencement portant sur des données relatives à une procédure judiciaire en matière pénale menée contre la personne concernée, qui se rapportent à une étape antérieure de cette procédure et ne correspondent plus à la situation actuelle, il appartient à l’exploitant d’un moteur de recherche d’apprécier si, eu égard à l’ensemble des circonstances de l’espèce, ladite personne a droit à ce que les informations en question ne soient plus, au stade actuel, liées à son nom par une liste de résultats, affichée à la suite d’une recherche effectuée à partir de ce nom. Cependant, même si tel n’est pas le cas en raison du fait que l’inclusion du lien en cause s’avère strictement nécessaire pour concilier les droits au respect de la vie privée et à la protection des données de la personne concernée avec la liberté d’information des internautes potentiellement intéressés, l’exploitant est tenu, au plus tard à l’occasion de la demande de déréférencement, d’aménager la liste de résultats de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation judiciaire actuelle, ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste.