A – Le cadre juridique européen pertinent en matière de droit à l’oubli

La directive 95/46 constituait alors le seul cadre juridique pertinent. Elle a depuis été complétée par la directive 2000/31 du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), transposée en droit français par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. La directive 95/46 reste cependant le cadre juridique pertinent de la réflexion sur le droit à l’oubli. Son article 1er a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données, énonce à ses considérants 2, 10, 18 à 20 et 25 : considérant que les systèmes de traitement de données sont au service de l’homme ; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au (…) bien-être des individus ; (…) considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales (…) et dans les principes généraux du droit communautaire ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la communauté ; considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres ; que, à cet égard, il est opportun de soumettre les traitements des données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État ; considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable ; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux ; considérant que l’établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive ; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l’État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés ; considérant que les principes de la protection doivent trouver leur expression, d’une part, dans les obligations mises à la charge des personnes (…) qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l’autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d’autre part, dans les droits donnés aux personnes dont les données font l’objet d’un traitement d’être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances ».

L’article 2 de la directive 95/46 apporte des éléments de définition et dispose que « on entend par : “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; « traitement de données à caractère personnel » (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ; responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire.

L’article 3 de la directive, intitulé : « Champ d’application », dispose, dans son premier paragraphe que : La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

L’article 4 de la même directive, intitulé : « Droit national applicable », prévoit : « 1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ; le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public ; le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même ».

Sous le chapitre II, section I, de la directive 95/46, intitulée : « Principes relatifs à la qualité des données », l’article 6 de cette directive est libellé ainsi : « 1. Les États membres prévoient que les données à caractère personnel doivent être : a) traitées loyalement et licitement ; b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées ; c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ; d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ; e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques. 2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1 ».

Sous le chapitre II, section II, de la directive 95/46, intitulée : «Principes relatifs à la légitimation des traitements de données», l’article 7 de cette directive dispose : « Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si : f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 ». L’article 9 de la directive, intitulé : « Traitements de données à caractère personnel et liberté d’expression », énonce : « Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression ».

L’article 12 de la même directive, intitulé : « Droit d’accès », prévoit que « Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement : b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données. L’article 14 de la directive 95/46, intitulé : « Droit d’opposition de la personne concernée », dispose que « Les États membres reconnaissent à la personne concernée le droit : au moins dans les cas visés à l’article 7 points e) et f), de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. En cas d’opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données.

L’article 28 de la directive, intitulé : « Autorité de contrôle », précise que « 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive. Chaque autorité de contrôle dispose notamment : de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle, de pouvoirs effectifs d’intervention, tels que, par exemple, celui (…) d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement (…). Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre. Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile. Ce sont ces dispositions5 spécifiquement que la cour devait analyser au regard du contentieux porté devant elle par la juridiction espagnole. Elle leur a donné une interprétation conforme à sa méthode de travail téléologique.

B – Une interprétation constructive des dispositions applicables

La Cour a adopté une interprétation protectrice des droits des individus face à la diffusion de données en ligne. L’affaire portait sur le cas d’espèce suivant. Le 5 mars 2010, M. Costeja González, de nationalité espagnole et domicilié en Espagne, a introduit auprès de l’AEPD une réclamation à l’encontre de La Vanguardia Ediciones SL, qui publie un quotidien de grande diffusion, notamment en Catalogne (Espagne) ainsi qu’à l’encontre de Google Spain et de Google Inc. Cette réclamation se fondait sur le fait que, lorsqu’un internaute introduisait le nom de M. Costeja González dans le moteur de recherche du groupe Google (ci-après « Google Search »), il obtenait des liens vers deux pages du quotidien de La Vanguardia respectivement du 19 janvier et du 9 mars 1998, sur lesquelles figurait une annonce, mentionnant le nom de M. Costeja González, pour une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale.

Par cette réclamation, M. Costeja González demandait, d’une part, qu’il soit ordonné à La Vanguardia soit de supprimer ou de modifier lesdites pages afin que ses données personnelles n’y apparaissent plus, soit de recourir à certains outils fournis par les moteurs de recherche pour protéger ces données. D’autre part, il demandait qu’il soit ordonné à Google Spain ou à Google Inc. de supprimer ou d’occulter ses données personnelles afin qu’elles cessent d’apparaître dans les résultats de recherche et ne figurent plus dans des liens de La Vanguardia. M. Costeja González affirmait dans ce contexte que la saisie, dont il avait fait l’objet, avait été entièrement réglée depuis plusieurs années et que la mention de celle-ci était désormais dépourvue de toute pertinence. Par décision du 30 juillet 2010, l’AEPD a rejeté ladite réclamation pour autant qu’elle visait la Vanguardia, estimant que la publication par cette dernière des informations en cause était légalement justifiée étant donné qu’elle avait eu lieu sur ordre du ministère du Travail et des Affaires sociales et avait eu pour but de conférer une publicité maximale à la vente publique afin de réunir le plus grand nombre d’enchérisseurs. En revanche, cette même réclamation a été accueillie pour autant qu’elle était dirigée contre Google Spain et Google Inc. L’AEPD a considéré à cet égard que les exploitants de moteurs de recherche sont soumis à la législation en matière de protection des données, étant donné qu’ils réalisent un traitement de données pour lequel ils sont responsables et qu’ils agissent en tant qu’intermédiaires de la société de l’information. L’AEPD a estimé qu’elle est habilitée à ordonner le retrait des données et l’interdiction d’accéder à certaines données par les exploitants de moteurs de recherche lorsqu’elle considère que leur localisation et leur diffusion sont susceptibles de porter atteinte au droit fondamental de protection des données et à la dignité des personnes au sens large, ce qui engloberait également la simple volonté de la personne intéressée que ces données ne soient pas connues par des tiers. L’AEPD a considéré que cette obligation peut incomber directement aux exploitants de moteurs de recherche, sans qu’il soit nécessaire d’effacer les données ou les informations du site web où elles figurent, notamment lorsque le maintien de ces informations sur ce site est justifié par une disposition légale. Google Spain et Google Inc. ont introduit deux recours séparés contre ladite décision devant l’Audiencia Nacional, lesquels ont été joints par celle-ci6. Les questions posées étaient les suivantes. La question de savoir quelles obligations incombent aux exploitants de moteurs de recherche pour la protection des données à caractère personnel des personnes intéressées ne souhaitant pas que certaines informations, publiées sur les sites web de tiers et contenant leurs données personnelles qui permettent de relier ces informations à ces personnes, soient localisées, indexées et mises à la disposition des internautes de manière indéfinie. La réponse à cette question dépendrait de la manière dont la directive 95/46 doit être interprétée dans le contexte de ces technologies qui sont apparues après sa publication.

Dans ces conditions, l’Audiencia Nacional a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes : en ce qui concerne l’application territoriale de la directive [95/46] et, par conséquent, de la législation espagnole en matière de protection des données à caractère personnel : Doit-on considérer qu’il existe un « établissement » au sens des dispositions de l’article 4, paragraphe 1, sous a), de la [directive 95/46] lorsque l’une ou plusieurs des conditions suivantes sont réunies : lorsque l’entreprise fournissant le moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par le moteur de recherche, et dont l’activité vise les habitants de cet État membre, ou lorsque la société mère désigne une filiale implantée dans cet État membre comme son représentant et comme étant responsable du traitement de deux fichiers spécifiques contenant les données des clients ayant conclu des services publicitaires avec cette entreprise, ou lorsque la succursale ou la filiale établie dans un État membre transmet à la société mère, basée en dehors de l’Union européenne, les réclamations et les injonctions que lui adressent aussi bien les intéressés que les autorités compétentes en vue d’obtenir le respect du droit à la protection des données, même lorsque cette collaboration a lieu de manière volontaire. Il fallait ensuite savoir si l’article 4, paragraphe 1, sous c), de la directive 95/46 doit-il s’interpréter en ce sens qu’il existe un recours à des moyens situés sur le territoire dudit État membre : lorsqu’un moteur de recherche utilise des « araignées du web » ou des robots d’indexation pour localiser et indexer les informations contenues dans des sites web hébergés sur des serveurs situés dans cet État membre, ou lorsqu’il utilise un nom de domaine propre d’un État membre et oriente ses recherches et ses résultats en fonction de la langue de cet État membre. Le stockage temporaire des informations indexées par les moteurs de recherche sur internet peut-il être considéré comme constituant un recours à des moyens, au sens de l’article 4, paragraphe 1, sous c), de la directive 95/46 ? En cas de réponse affirmative à cette dernière question, peut-on considérer que ce critère de rattachement est rempli lorsque l’entreprise refuse de révéler le lieu où elle stocke ces index, en invoquant des raisons de compétitivité ? Indépendamment de la réponse apportée aux questions précédentes, et en particulier dans le cas où la Cour serait d’avis que les critères de rattachement prévus à l’article 4 de la directive [95/46] ne sont pas remplis, la Cour se devait de répondre à la question suivante : à la lumière de l’article 8 de la [Charte], convient-il d’appliquer la [directive 95/46] dans l’État membre où se situe le centre de gravité du conflit, et dans lequel les droits reconnus aux citoyens de l’Union (…) peuvent bénéficier de la protection la plus efficace ?

En ce qui concerne l’activité des moteurs de recherche en tant que fournisseurs de contenus en relation avec la directive 95/46 : s’agissant de Google Search, qui agit comme fournisseur de contenus et dont l’activité consiste à trouver des informations publiées ou placées sur internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et enfin à les mettre à la disposition des internautes selon un ordre de préférence donné, et lorsque ces informations contiennent des données à caractère personnel de tierces personnes, faut-il considérer qu’une activité telle que celle décrite est comprise dans la notion de « traitement de données à caractère personnel » telle que définie à l’article 2, sous b), de la directive applicable ?

Dans le cas où la question précédente appellerait une réponse affirmative, et toujours en relation avec une activité telle que celle décrite au paragraphe précédent : Faut-il interpréter l’article 2, sous d), de la directive 95/46 en ce sens qu’il conviendrait de considérer que l’entreprise qui exploite Google Search est « responsable du traitement » des données à caractère personnel contenues dans les sites web qu’elle indexe ? Dans l’hypothèse où la question précédente appellerait une réponse affirmative : L’AEPD peut-elle, aux fins de faire respecter les droits contenus aux articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46, ordonner directement à Google Search qu’il procède au retrait de ses index d’informations publiées par des tiers, sans s’adresser préalablement ou simultanément au propriétaire du site web sur lequel figurent lesdites informations ? Dans l’hypothèse où la réponse à la question précédente serait affirmative : les moteurs de recherche sont-ils libérés de l’obligation qui leur incombe de respecter ces droits lorsque les informations contenues dans les données personnelles ont été publiées légalement par des tiers et demeurent sur le site web d’origine ?

En ce qui concerne la portée du droit d’obtenir l’effacement et/ou de s’opposer à ce que des données concernant l’intéressé fassent l’objet d’un traitement, en relation avec le droit à l’oubli, la Cour devait si le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement (droits régis par les articles 12, sous b), et 14, premier alinéa, sous a), de la [directive 95/46]) doivent être interprétés comme permettant à la personne concernée de s’adresser aux moteurs de recherche afin de faire obstacle à l’indexation des informations concernant sa personne, publiées sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers. La Cour va alors apporter des précisions sur les contours de la notion de traitement au sens de la directive (1), sur l’applicabilité des textes aux moteurs internationaux (2), ainsi que sur le droit à l’oubli ou droit au déréférencement tel qu’il résulte de la directive (3).

A – Les affaires soumises au Conseil d’État

La première affaire concerne une candidate aux élections cantonales de 2011, alors directrice de cabinet du maire, par ailleurs ancien ministre, d’une commune d’un département. À l’époque de sa campagne, a été publiée sur Youtube un photomontage satirique la représentant assise dans la voiture du maire et lui murmurant des mots doux laissant clairement entendre qu’elle devrait à des faveurs sexuelles son statut de candidate. Pour être bien sûre que l’allusion soit comprise, l’auteur la représente équipée d’un parachute, le slogan « Si tu couches, tu touches » tenant lieu d’immatriculation du véhicule. L’intéressée a demandé à Google que les résultats des recherches effectuées à partir de ses prénom et nom ne comportent plus le lien vers ce photomontage. Elle expliquait ne plus avoir de responsabilités locales et être gênée dans sa recherche d’emploi par ce lien, qui apparaît en quatrième position des résultats de recherche associés à son nom.

La deuxième affaire concerne un ancien responsable des relations publiques de l’Église de scientologie. Ce qu’il souhaite voir disparaître des résultats de recherche associés à son nom, c’est le lien pointant vers un article de presse, publié en 2008 sur le site du quotidien Libération. L’article fait état d’une note des renseignements généraux selon laquelle il aurait, à la suite du suicide d’une adepte de la scientologie, proposé de l’argent aux enfants de la défunte en échange de leur renoncement à intenter une action judiciaire. L’article relate également ses propos démentant ce point. Dans sa demande de déréférencement adressée à Google, l’intéressé invoquait la rupture de ses liens avec la Scientologie : il en déduisait que le référencement de l’article, qui continue de sortir en cinquième position des résultats de recherche à partir de son nom, était devenu inadéquat. La troisième affaire concerne un ancien conseiller auprès de Gérard Longuet. Les liens dont il a demandé le déréférencement à Google mènent vers plusieurs articles de presse qui ont en commun de faire état de sa mise en examen dans le cadre de l’affaire du financement occulte du parti Républicain. Ces articles sont contemporains de sa mise en examen et ne signalent donc pas que la procédure a, depuis, été clôturée par une ordonnance de non-lieu du 26 février 2010. Pour autant, ils sortent en bonne place dans les résultats de recherche associés à son nom et, pour beaucoup, avant les liens vers les articles, il est vrai plus rares, qui font état du non-lieu. La quatrième affaire concerne un ex-animateur municipal condamné en 2010 à sept ans de prison et dix ans de suivi socio-judiciaire pour attouchement sexuel sur quarante-cinq fillettes. Il a souhaité obtenir le déréférencement des deux premiers résultats de recherche associés à son nom, à savoir des liens vers deux chroniques judiciaires, l’une du Figaro et l’autre de Nice Matin, faisant état des faits, de sa condamnation et, pour l’un d’entre eux, de détails très intimes, relatifs à une malformation génitale de l’intéressé, à sa forte pilosité et au fait qu’il n’aurait pas eu de relation sexuelle avant l’âge de vingt-huit ans27.

Les requérants concernés par chacune de ces affaires ont, après s’être vus refuser le déréférencement par Google, saisi la Commission nationale informatique et libertés, compétente en la matière. Cette dernière, a, pour chaque requérant, estimé que la proportionnalité entre les intérêts défendus par les requérants et l’intérêt porté par la diffusion de l’information, avait été respectée. C’est ainsi devant le Conseil d’État, compétent pour juger ces affaires28, que les questions se sont nouées.

B – Les questions posées par le Conseil d’État à la Cour de justice de l’Union européenne

Le Conseil d’État, pour juger ces affaires, a décidé de soumettre une série de questions à la Cour de justice de l’Union européenne, sachant qu’elle a déjà eu l’approche audacieuse présentée plus haut. Elle a certes jugé que le caractère excessif de l’atteinte à la vie privée s’apprécie au cas par cas, au regard de l’information référencée, de la finalité légitime du traitement et des droits des tiers susceptibles d’être affectés par le déréférencement. Mais elle n’en a pas moins posé que les droits au respect de la vie privée et à la protection des données personnelles, respectivement protégés par les articles 7 et 8 de la Charte, « prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt du public à trouver ladite information ». Il en résulte un caractère assez systématique du droit au déréférencement, d’autant que la Cour a encore précisé qu’il n’était requis, pour l’obtenir, ni « que l’inclusion de l’information dans la liste de résultats cause un préjudice à la personne concernée », ni que sa publication sur le site source soit en elle-même illicite. Tout au plus le droit au déréférencement cède-t-il s’il apparaît, « pour des raisons particulières, telles que le rôle joué par la personne [concernée] dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant du public à avoir (…) accès à l’information en question » via une requête par nom et prénom dans le moteur de recherche29.

De ce fait, les questions ont été formulées dans le cadre factuel présenté plus haut, et à partir des bases juridiques existantes et rappelées par le Conseil d’État. Celui-ci rappelle qu’aux termes de l’article 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « (…) Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction (…) ». L’article 3 de cette loi précise que : « I. – Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens (…) ». Ces dispositions assurent la mise en œuvre en droit national de l’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or, par son arrêt du 13 mai 2014 Google Spain30 la Cour de justice de l’Union européenne a dit pour droit que : « L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel », au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le « responsable » dudit traitement, au sens dudit article 2, sous d) ». Il en résulte nécessairement que l’exploitant d’un moteur de recherche doit être regardé comme un responsable de traitement au sens des articles 2 et 3 de la loi du 6 janvier 1978.

Le Conseil d’État rappelle qu’aux termes de l’article 5 de la loi du 6 janvier 1978 : « I. – Sont soumis à la présente loi les traitements de données à caractère personnel : / 1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ». Ces dispositions assurent la mise en œuvre en droit national de l’article 4, paragraphe 1, sous a), de la directive du 24 octobre 1995. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or, la Cour de justice de l’Union européenne a, par l’arrêt précité, dit pour droit que : « L’article 4, paragraphe 1, sous a), de la directive 95/46/CE doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre ». Il en résulte nécessairement que le traitement de données à caractère personnel que constitue le moteur de recherche exploité par la société Google Inc., compte tenu des activités de promotion et de vente des espaces publicitaires exercées, en France, par sa filiale Google France, relève du champ d’application de la loi du 6 janvier 1978, défini par son article 531.

Le Conseil d’État rappelle les éléments en présence sur l’existence d’un « droit au déréférencement ». Aux termes de l’article 38 de la loi du 6 janvier 1978 : « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. / Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. / Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement ». Aux termes de l’article 40 de cette même loi : « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant (…) ». Ces dispositions assurent respectivement la mise en œuvre en droit national des dispositions de l’article 14, sous a), et de l’article 12, sous b), de la directive du 24 octobre 1995. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or la Cour de justice de l’Union européenne, dans son arrêt précité du 13 mai 2014, a interprété ces dispositions au regard de l’article 1, paragraphe 1, de la directive du 24 octobre 199532. Il en résulte pour le Conseil que, sur le fondement des articles 38 et 40 de la loi du 6 janvier 1978, lorsque les conditions fixées par ces articles sont satisfaites, l’exploitant d’un moteur de recherche mettant en œuvre son traitement en France doit faire droit aux demandes qui lui sont présentées tendant au déréférencement de liens, c’est-à-dire à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant.

Le Conseil d’État apporte en premier lieu des précisions sur la compétence de la Commission nationale de l’informatique et des libertés pour connaître des plaintes contre les refus de déréférencement opposés par un exploitant de moteur de recherche33, pour ensuite poser les questions posées par les affaires présentées à lui.

Au regard des quatre demandes de déréférencement présentées devant lui, le Conseil d’État rappelle en premier lieu qu’il résulte clairement des dispositions de l’article 8 paragraphe 1 de la directive du 24 octobre 1995 que les données mentionnées aux points 10 à 13 relèvent des catégories de données à caractère personnel énumérées par ces dispositions, c’est-à-dire de celles « qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou qui sont relatives « à la santé et à la vie sexuelle ». À ce titre, leur collecte ou leur traitement est, en principe, interdit en vertu de cet article, lequel est transposé en droit national par les dispositions du I de l’article 8 de la loi du 6 janvier 1978.

Le Conseil d’État rappelle que la Cour de justice de l’Union européenne a dit pour droit que l’exploitant d’un moteur de recherche « en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive du 24 octobre 1995 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée. Sur la base des textes et de l’interprétation jurisprudentielle, le Conseil d’État détermine une série de questions.

En premier lieu, selon le juge du Palais-Royal, la question de déterminer si, dans le cadre du régime spécifique défini pour l’exploitant d’un moteur de recherche au point précédent, l’interdiction faite aux autres responsables de traitement de traiter des données relevant des paragraphes 1 et 5 de l’article 8 de la directive du 24 octobre 1995, sous réserve des exceptions prévues par ce texte, est également applicable à l’exploitant d’un moteur de recherche en tant que responsable du traitement que constitue ce moteur soulève selon le Conseil d’État une première difficulté sérieuse d’interprétation du droit de l’Union européenne. S’ensuivent une série d’interrogations. En cas de réponse positive à cette première, en premier lieu, le point de savoir si cette interdiction l’obligerait, sous réserve des exceptions prévues par la directive du 24 octobre 1995, à faire droit aux demandes de déréférencement relatives à des liens qui mènent vers des pages web traitant de telles données soulève une deuxième difficulté sérieuse d’interprétation du droit de l’Union européenne.

En deuxième lieu, le Conseil d’État souligne que la directive du 24 octobre 1995 prévoit que l’interdiction prévue à l’article 8 paragraphe 1 ne s’applique pas dans plusieurs cas, énumérés au paragraphe 2 de ce même article. En particulier, cette interdiction ne s’applique pas, d’une part, lorsque « a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée » et, d’autre part, lorsque « e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ». La réponse à apporter aux litiges en présence est déterminée par l’interprétation, qui soulève, selon le Conseil d’État, une troisième difficulté sérieuse au regard du droit de l’Union européenne, de ces dispositions lorsqu’elles s’appliquent aux responsabilités, aux compétences et aux possibilités de l’exploitant d’un moteur de recherche.

En particulier, le juge administratif estime que les litiges qui lui sont soumis impliquent de déterminer si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles permettent à l’exploitant d’un moteur de recherche de refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus qui, s’ils comportent des données relevant des catégories énumérées à l’article 8 paragraphe 1, entrent également dans le champ des exceptions prévues par le paragraphe 2 de ce même article, notamment le a) et le e). Cette question est liée au champ des exceptions à admettre.

En troisième lieu, le Conseil d’État rappelle que l’article 9 de la directive du 24 octobre 1995 dispose que : « Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression ». En vertu de ces dispositions, les traitements de données à caractère personnel effectuées aux seules fins de journalisme ou d’expression artistique ou littéraire ne sont pas soumis aux exigences prévues par les paragraphes 1 et 5 de l’article 8 de cette directive.

Rappelant que dans son arrêt de 2004 étudié plus haut, la Cour de justice de l’Union européenne a dit pour droit que les dérogations établies par cet article ne bénéficiaient pas au traitement effectué par l’exploitant d’un moteur de recherche, le Conseil d’État souligne que toutefois, lorsque les liens dont le déréférencement est demandé mènent vers des traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire qui, à ce titre, peuvent, ainsi que le prévoient en droit national les dispositions de l’article 67 de la loi du 6 janvier 1978, collecter et traiter des données relevant des catégories mentionnées aux paragraphes 1 et 5 de l’article 8 de la directive du 24 octobre 1995, la question de savoir si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles autorisent l’exploitant d’un moteur de recherche à se prévaloir de cette circonstance pour refuser de faire droit à une demande de déréférencement soulève une quatrième difficulté sérieuse d’interprétation du droit de l’Union européenne.

En cas de réponse négative à cette dernière question, eu égard notamment aux conséquences excessives qui s’attacheraient au fait de faire peser une telle interdiction sur l’exploitant d’un moteur de recherche compte tenu de ses responsabilités, compétences et possibilités, en premier lieu, la question de savoir auxquelles des exigences spécifiques de la directive du 24 octobre 1995 cet exploitant doit satisfaire, soulève selon le juge une cinquième question sérieuse d’interprétation du droit de l’Union européenne.

Dans son arrêt précité, la Cour de justice de l’Union européenne a jugé que la licéité de la publication, sur une page web, d’informations relatives à une personne ne faisait pas obstacle à ce que l’exploitant d’un moteur de recherche soit obligé de supprimer de la liste des résultats les liens renvoyant vers cette page, lorsque ces liens sont affichés à la suite d’une recherche effectuée à partir du nom de l’intéressé. En revanche, le Conseil d’État souligne que la Cour de justice de l’Union européenne ne s’est pas prononcée sur le point de savoir si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles imposent à l’exploitant d’un moteur de recherche, lorsqu’il constate que les pages web vers lesquelles mènent les liens dont le déréférencement est demandé comportent des données dont la publication, sur lesdites pages, est illicite, de supprimer ces liens de la liste des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur, ou s’il doit seulement prendre en compte cette circonstance pour apprécier le bien-fondé de la demande qui lui est présentée, ou encore si cette circonstance est sans incidence sur l’appréciation qu’il doit porter. En outre, si cette circonstance doit être prise en compte, la question de savoir comment apprécier la licéité de la publication des données litigieuses sur des pages web qui proviennent de traitements n’entrant pas dans le champ d’application territorial de la directive et, par suite, des législations nationales la mettant en œuvre, soulève selon le Conseil d’État, une sixième difficulté sérieuse d’interprétation du droit de l’Union européenne.

Enfin, le juge administratif indique que quelle que soit la réponse apportée à la question posée, en premier lieu, indépendamment de la licéité de la publication des données à caractère personnel sur la page web vers laquelle mène le lien litigieux, la question de savoir si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles imposent à l’exploitant d’un moteur de recherche, lorsque le demandeur établit que ces données sont incomplètes, inexactes, ou qu’elles ne sont pas à jour, de faire droit à la demande de déréférencement correspondante soulève une septième difficulté sérieuse d’interprétation du droit de l’Union européenne. En particulier, cette question porte sur l’éventuelle obligation de déréférencement pesant sur l’exploitant d’un moteur de recherche lorsque le demandeur démontre que, compte tenu du déroulement de la procédure judiciaire, les informations relatives à une étape antérieure de cette procédure ne correspondent plus à la réalité actuelle de sa situation.

Il faut ajouter que deux des quatre affaires soumises au Conseil d’État sont relatives à des demandes tendant au déréférencement de liens vers divers articles faisant état, d’une part, de la mise en examen de M. H. et, d’autre part, de la condamnation de M. D. pour des faits d’agressions sexuelles sur mineurs de quinze ans. Ces données portent ainsi, soit sur des procédures judiciaires qui étaient alors pendantes, soit sur la teneur d’une audience publique et sur le jugement rendu par un tribunal correctionnel, dont les dispositions du quatrième alinéa de l’article 400 du Code de procédure pénale prévoient qu’il est prononcé en audience publique. L’interprétation des dispositions de l’article 9 de la loi du 6 janvier 1978 citées au point 15 dépend au préalable du point de savoir si les dispositions de l’article 8 paragraphe 5 de la directive du 24 octobre 1995 doivent être interprétées en ce sens que de telles informations constituent des données relatives aux infractions et aux condamnations pénales et, de manière générale, de savoir si, lorsqu’une page web comporte des données faisant état des condamnations ou des procédures judiciaires dont une personne physique a été l’objet, elle entre dans le champ de ces dispositions. Elle soulève une nouvelle difficulté sérieuse d’interprétation du droit de l’Union européenne. Jugeant que les questions posées sont déterminantes pour la solution des litiges que doit trancher le Conseil d’État. Et qu’elles soulèvent plusieurs difficultés sérieuses d’interprétation du droit de l’Union européenne. Le juge administratif français décide d’en saisir la Cour de justice de l’Union européenne en application de l’article 267 du traité sur le fonctionnement de l’Union européenne.

Comme on le voit, l’affaire Google de 2004, pour audacieuse et protectrice qu’elle soit, n’en épuise pas pour autant les nombreuses questions posées par le droit à l’oubli34. À l’instar d’autres sujets par le passé, c’est à la faveur d’un dialogue des juges, plus que jamais pertinent, que la jurisprudence du droit au déréférencement se construit, pas à pas.