Internet et le droit à l’oubli en devenir : dialogue entre le juge européen et le juge administratif

Publié le 27/07/2017

Depuis l’affaire Google Spain jugée par la Cour de justice de l’Union, la question du droit à l’oubli sur internet s’est largement développée. La notion d’e-reputation se développe à la vitesse de la diffusion, et surtout, de la conservation, des données en ligne. Les législateurs et juges européens ont la délicate tâche de concilier la nécessaire liberté d’expression et la diffusion d’informations non interdites avec la non moins nécessaire préservation de la dignité de chacun, qui implique la possibilité de faire retirer des contenus électroniques si ceux-ci devaient apparaître attentatoire à sa réputation. La mission est périlleuse car les contours de ce qui porte atteinte à la dignité et la réputation de chacun ne sont pas clairement définis. La jurisprudence européenne n’a pas épuisé les termes de cette conciliation, si bien que, saisi d’une délicate question sur ce thème, le Conseil d’État a décidé de faire un renvoi préjudiciel à la Cour de justice de l’Union européenne.

Le droit à l’oubli peut se définir comme le droit de supprimer des traces indésirables sur internet. Ainsi peut-on résumer les discussions en la matière. Cependant, indiquons-le d’emblée : il n’existe pas, en tant que tel, de droit à l’oubli. Il existe des éléments de textes et de jurisprudence qui permettent à autrui, dans des conditions encore en cours de définition, de demander la suppression de données sur des sites internet, ainsi que sur des moteurs de recherches qui y renvoient. Telle est la philosophie générale de l’étude qui suit et de la notion de droit à l’oubli qui y sera développée.

L’internet a ceci de particulier qu’il donne un accès à la fois immédiat, durable et transnational à l’information : l’information au sens le plus large du terme, dans ses dimensions les plus vertueuses mais les plus pernicieuses aussi. Il en résulte, pour que la vie privée, la réputation et in fine, la tranquillité de chacun, soient respectées, une nécessité de fixer des limites à la diffusion de données personnelles, tout en respectant la liberté d’information et l’intérêt pour chacun d’accéder à l’information.

La Cour de justice de l’Union européenne a apporté une série de précisions (I) sur la manière dont le droit à l’oubli doit se concilier avec la liberté de diffusion d’informations. La jurisprudence européenne, en l’état, ne suffit pas à couvrir toutes les hypothèses dans lesquelles le droit à l’oubli, ou au déréférencement, doit pouvoir s’exercer. Ce qui a conduit le Conseil d’État à poser une série de questions préjudicielles à la Cour de justice de l’Union (II).

I – Les précisions apportées par la Cour de justice de l’Union européenne sur le droit à l’oubli

L’affaire jugée en 2014 par la Cour de justice européenne lui a permis de tracer des premiers contours de l’équilibre à trouver entre liberté d’information et droit à l’oubli. Dans l’affaire du 13 mai 20141, la Cour était saisie d’une demande préjudicielle par une juridiction espagnole sur l’interprétation à donner de la directive du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données2. Ainsi que de l’article 83 de la Charte des droits fondamentaux de l’Union européenne.

Cette demande a été présentée dans le cadre d’un litige opposant Google Spain SL et Google Inc. à l’Agencia Española de Protección de Datos (AEPD) (agence de protection des données, ci-après l’« AEPD ») et à M. Costeja González au sujet d’une décision de cette agence faisant droit à la plainte déposée par ce dernier contre ces deux sociétés et ordonnant à Google Inc. d’adopter les mesures nécessaires pour retirer des données à caractère personnel concernant M. Costeja González de son index et d’empêcher l’accès à celles-ci à l’avenir4. Les questions juridiques portent sur l’interprétation des dispositions relatives à la protection des données personnelles dans le contexte de l’internet. À partir du cadre juridique fixé par la directive en la matière (A), la Cour a proposé une lecture constructive du droit à l’oubli (B).

A – Le cadre juridique européen pertinent en matière de droit à l’oubli

La directive 95/46 constituait alors le seul cadre juridique pertinent. Elle a depuis été complétée par la directive 2000/31 du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique »), transposée en droit français par la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique. La directive 95/46 reste cependant le cadre juridique pertinent de la réflexion sur le droit à l’oubli. Son article 1er a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données, énonce à ses considérants 2, 10, 18 à 20 et 25 : considérant que les systèmes de traitement de données sont au service de l’homme ; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au (…) bien-être des individus ; (…) considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales (…) et dans les principes généraux du droit communautaire ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la communauté ; considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres ; que, à cet égard, il est opportun de soumettre les traitements des données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État ; considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable ; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard ; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux ; considérant que l’établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive ; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l’État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés ; considérant que les principes de la protection doivent trouver leur expression, d’une part, dans les obligations mises à la charge des personnes (…) qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l’autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d’autre part, dans les droits donnés aux personnes dont les données font l’objet d’un traitement d’être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances ».

L’article 2 de la directive 95/46 apporte des éléments de définition et dispose que « on entend par : “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ; « traitement de données à caractère personnel » (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ; responsable du traitement : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire.

L’article 3 de la directive, intitulé : « Champ d’application », dispose, dans son premier paragraphe que : La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ».

L’article 4 de la même directive, intitulé : « Droit national applicable », prévoit : « 1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque : le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ; le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public ; le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même ».

Sous le chapitre II, section I, de la directive 95/46, intitulée : « Principes relatifs à la qualité des données », l’article 6 de cette directive est libellé ainsi : « 1. Les États membres prévoient que les données à caractère personnel doivent être : a) traitées loyalement et licitement ; b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement de manière incompatible avec ces finalités. Un traitement ultérieur à des fins historiques, statistiques ou scientifiques n’est pas réputé incompatible pour autant que les États membres prévoient des garanties appropriées ; c) adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ; d) exactes et, si nécessaire, mises à jour ; toutes les mesures raisonnables doivent être prises pour que les données inexactes ou incomplètes, au regard des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement, soient effacées ou rectifiées ; e) conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement. Les États membres prévoient des garanties appropriées pour les données à caractère personnel qui sont conservées au-delà de la période précitée, à des fins historiques, statistiques ou scientifiques. 2. Il incombe au responsable du traitement d’assurer le respect du paragraphe 1 ».

Sous le chapitre II, section II, de la directive 95/46, intitulée : «Principes relatifs à la légitimation des traitements de données», l’article 7 de cette directive dispose : « Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si : f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 ». L’article 9 de la directive, intitulé : « Traitements de données à caractère personnel et liberté d’expression », énonce : « Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression ».

L’article 12 de la même directive, intitulé : « Droit d’accès », prévoit que « Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement : b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données. L’article 14 de la directive 95/46, intitulé : « Droit d’opposition de la personne concernée », dispose que « Les États membres reconnaissent à la personne concernée le droit : au moins dans les cas visés à l’article 7 points e) et f), de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. En cas d’opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données.

L’article 28 de la directive, intitulé : « Autorité de contrôle », précise que « 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive. Chaque autorité de contrôle dispose notamment : de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle, de pouvoirs effectifs d’intervention, tels que, par exemple, celui (…) d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement (…). Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre. Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile. Ce sont ces dispositions5 spécifiquement que la cour devait analyser au regard du contentieux porté devant elle par la juridiction espagnole. Elle leur a donné une interprétation conforme à sa méthode de travail téléologique.

B – Une interprétation constructive des dispositions applicables

La Cour a adopté une interprétation protectrice des droits des individus face à la diffusion de données en ligne. L’affaire portait sur le cas d’espèce suivant. Le 5 mars 2010, M. Costeja González, de nationalité espagnole et domicilié en Espagne, a introduit auprès de l’AEPD une réclamation à l’encontre de La Vanguardia Ediciones SL, qui publie un quotidien de grande diffusion, notamment en Catalogne (Espagne) ainsi qu’à l’encontre de Google Spain et de Google Inc. Cette réclamation se fondait sur le fait que, lorsqu’un internaute introduisait le nom de M. Costeja González dans le moteur de recherche du groupe Google (ci-après « Google Search »), il obtenait des liens vers deux pages du quotidien de La Vanguardia respectivement du 19 janvier et du 9 mars 1998, sur lesquelles figurait une annonce, mentionnant le nom de M. Costeja González, pour une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de dettes de sécurité sociale.

Par cette réclamation, M. Costeja González demandait, d’une part, qu’il soit ordonné à La Vanguardia soit de supprimer ou de modifier lesdites pages afin que ses données personnelles n’y apparaissent plus, soit de recourir à certains outils fournis par les moteurs de recherche pour protéger ces données. D’autre part, il demandait qu’il soit ordonné à Google Spain ou à Google Inc. de supprimer ou d’occulter ses données personnelles afin qu’elles cessent d’apparaître dans les résultats de recherche et ne figurent plus dans des liens de La Vanguardia. M. Costeja González affirmait dans ce contexte que la saisie, dont il avait fait l’objet, avait été entièrement réglée depuis plusieurs années et que la mention de celle-ci était désormais dépourvue de toute pertinence. Par décision du 30 juillet 2010, l’AEPD a rejeté ladite réclamation pour autant qu’elle visait la Vanguardia, estimant que la publication par cette dernière des informations en cause était légalement justifiée étant donné qu’elle avait eu lieu sur ordre du ministère du Travail et des Affaires sociales et avait eu pour but de conférer une publicité maximale à la vente publique afin de réunir le plus grand nombre d’enchérisseurs. En revanche, cette même réclamation a été accueillie pour autant qu’elle était dirigée contre Google Spain et Google Inc. L’AEPD a considéré à cet égard que les exploitants de moteurs de recherche sont soumis à la législation en matière de protection des données, étant donné qu’ils réalisent un traitement de données pour lequel ils sont responsables et qu’ils agissent en tant qu’intermédiaires de la société de l’information. L’AEPD a estimé qu’elle est habilitée à ordonner le retrait des données et l’interdiction d’accéder à certaines données par les exploitants de moteurs de recherche lorsqu’elle considère que leur localisation et leur diffusion sont susceptibles de porter atteinte au droit fondamental de protection des données et à la dignité des personnes au sens large, ce qui engloberait également la simple volonté de la personne intéressée que ces données ne soient pas connues par des tiers. L’AEPD a considéré que cette obligation peut incomber directement aux exploitants de moteurs de recherche, sans qu’il soit nécessaire d’effacer les données ou les informations du site web où elles figurent, notamment lorsque le maintien de ces informations sur ce site est justifié par une disposition légale. Google Spain et Google Inc. ont introduit deux recours séparés contre ladite décision devant l’Audiencia Nacional, lesquels ont été joints par celle-ci6. Les questions posées étaient les suivantes. La question de savoir quelles obligations incombent aux exploitants de moteurs de recherche pour la protection des données à caractère personnel des personnes intéressées ne souhaitant pas que certaines informations, publiées sur les sites web de tiers et contenant leurs données personnelles qui permettent de relier ces informations à ces personnes, soient localisées, indexées et mises à la disposition des internautes de manière indéfinie. La réponse à cette question dépendrait de la manière dont la directive 95/46 doit être interprétée dans le contexte de ces technologies qui sont apparues après sa publication.

Dans ces conditions, l’Audiencia Nacional a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes : en ce qui concerne l’application territoriale de la directive [95/46] et, par conséquent, de la législation espagnole en matière de protection des données à caractère personnel : Doit-on considérer qu’il existe un « établissement » au sens des dispositions de l’article 4, paragraphe 1, sous a), de la [directive 95/46] lorsque l’une ou plusieurs des conditions suivantes sont réunies : lorsque l’entreprise fournissant le moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par le moteur de recherche, et dont l’activité vise les habitants de cet État membre, ou lorsque la société mère désigne une filiale implantée dans cet État membre comme son représentant et comme étant responsable du traitement de deux fichiers spécifiques contenant les données des clients ayant conclu des services publicitaires avec cette entreprise, ou lorsque la succursale ou la filiale établie dans un État membre transmet à la société mère, basée en dehors de l’Union européenne, les réclamations et les injonctions que lui adressent aussi bien les intéressés que les autorités compétentes en vue d’obtenir le respect du droit à la protection des données, même lorsque cette collaboration a lieu de manière volontaire. Il fallait ensuite savoir si l’article 4, paragraphe 1, sous c), de la directive 95/46 doit-il s’interpréter en ce sens qu’il existe un recours à des moyens situés sur le territoire dudit État membre : lorsqu’un moteur de recherche utilise des « araignées du web » ou des robots d’indexation pour localiser et indexer les informations contenues dans des sites web hébergés sur des serveurs situés dans cet État membre, ou lorsqu’il utilise un nom de domaine propre d’un État membre et oriente ses recherches et ses résultats en fonction de la langue de cet État membre. Le stockage temporaire des informations indexées par les moteurs de recherche sur internet peut-il être considéré comme constituant un recours à des moyens, au sens de l’article 4, paragraphe 1, sous c), de la directive 95/46 ? En cas de réponse affirmative à cette dernière question, peut-on considérer que ce critère de rattachement est rempli lorsque l’entreprise refuse de révéler le lieu où elle stocke ces index, en invoquant des raisons de compétitivité ? Indépendamment de la réponse apportée aux questions précédentes, et en particulier dans le cas où la Cour serait d’avis que les critères de rattachement prévus à l’article 4 de la directive [95/46] ne sont pas remplis, la Cour se devait de répondre à la question suivante : à la lumière de l’article 8 de la [Charte], convient-il d’appliquer la [directive 95/46] dans l’État membre où se situe le centre de gravité du conflit, et dans lequel les droits reconnus aux citoyens de l’Union (…) peuvent bénéficier de la protection la plus efficace ?

En ce qui concerne l’activité des moteurs de recherche en tant que fournisseurs de contenus en relation avec la directive 95/46 : s’agissant de Google Search, qui agit comme fournisseur de contenus et dont l’activité consiste à trouver des informations publiées ou placées sur internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et enfin à les mettre à la disposition des internautes selon un ordre de préférence donné, et lorsque ces informations contiennent des données à caractère personnel de tierces personnes, faut-il considérer qu’une activité telle que celle décrite est comprise dans la notion de « traitement de données à caractère personnel » telle que définie à l’article 2, sous b), de la directive applicable ?

Dans le cas où la question précédente appellerait une réponse affirmative, et toujours en relation avec une activité telle que celle décrite au paragraphe précédent : Faut-il interpréter l’article 2, sous d), de la directive 95/46 en ce sens qu’il conviendrait de considérer que l’entreprise qui exploite Google Search est « responsable du traitement » des données à caractère personnel contenues dans les sites web qu’elle indexe ? Dans l’hypothèse où la question précédente appellerait une réponse affirmative : L’AEPD peut-elle, aux fins de faire respecter les droits contenus aux articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46, ordonner directement à Google Search qu’il procède au retrait de ses index d’informations publiées par des tiers, sans s’adresser préalablement ou simultanément au propriétaire du site web sur lequel figurent lesdites informations ? Dans l’hypothèse où la réponse à la question précédente serait affirmative : les moteurs de recherche sont-ils libérés de l’obligation qui leur incombe de respecter ces droits lorsque les informations contenues dans les données personnelles ont été publiées légalement par des tiers et demeurent sur le site web d’origine ?

En ce qui concerne la portée du droit d’obtenir l’effacement et/ou de s’opposer à ce que des données concernant l’intéressé fassent l’objet d’un traitement, en relation avec le droit à l’oubli, la Cour devait si le droit d’obtenir l’effacement et le verrouillage des données à caractère personnel et celui de s’opposer à ce qu’elles fassent l’objet d’un traitement (droits régis par les articles 12, sous b), et 14, premier alinéa, sous a), de la [directive 95/46]) doivent être interprétés comme permettant à la personne concernée de s’adresser aux moteurs de recherche afin de faire obstacle à l’indexation des informations concernant sa personne, publiées sur des sites web de tiers, en invoquant sa volonté que ces informations ne soient pas connues des internautes lorsqu’elle considère que ces informations sont susceptibles de lui porter préjudice ou lorsqu’elle désire que ces informations soient oubliées, alors même qu’il s’agirait d’informations publiées légalement par des tiers. La Cour va alors apporter des précisions sur les contours de la notion de traitement au sens de la directive (1), sur l’applicabilité des textes aux moteurs internationaux (2), ainsi que sur le droit à l’oubli ou droit au déréférencement tel qu’il résulte de la directive (3).

1 – La notion de traitement et de responsable de traitement précisée

En premier lieu, la Cour souligne que l’article 2, sous b), de la directive 95/46 définit le « traitement de données à caractère personnel » comme « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ». S’agissant en particulier d’internet, la Cour rappelle qu’elle a déjà eu l’occasion de constater que l’opération consistant à faire figurer, sur une page internet, des données à caractère personnel est à considérer comme un tel « traitement » au sens de l’article 2, sous b), de la directive 95/467. En ce qui concerne l’activité en cause au principal, il n’est pas contesté que parmi les données trouvées, indexées, stockées par les moteurs de recherche et mises à la disposition de leurs utilisateurs figurent également des informations concernant des personnes physiques identifiées ou identifiables et donc des « données à caractère personnel » au sens de l’article 2, sous a), de cette directive.

La Cour souligne qu’il faut constater que, en explorant de manière automatisée, constante et systématique internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche « collecte » de telles données qu’il « extrait », « enregistre » et « organise » par la suite dans le cadre de ses programmes d’indexation, « conserve » sur ses serveurs et, le cas échéant, « communique à » et « met à disposition de » ses utilisateurs sous forme de listes des résultats de leurs recherches. Ces opérations étant visées de manière explicite et inconditionnelle à l’article 2, sous b), de la directive 95/46, elles doivent être qualifiées de « traitement » au sens de cette disposition, sans qu’il importe que l’exploitant du moteur de recherche applique les mêmes opérations également à d’autres types d’information et ne distingue pas entre celles-ci et les données à caractère personnel.

La constatation qui précède n’est pas non plus infirmée par le fait que ces données ont déjà fait l’objet d’une publication sur internet et ne sont pas modifiées par ce moteur de recherche. Ainsi, la Cour rappelle qu’elle a déjà constaté que les opérations visées à l’article 2, sous b), de la directive 95/46 doivent être qualifiées comme un tel traitement également dans l’hypothèse où elles concernent exclusivement des informations déjà publiées telles quelles dans les médias. Elle a, en effet, relevé à cet égard qu’une dérogation générale à l’application de la directive 95/46 dans une telle hypothèse viderait cette dernière largement de son sens8. De plus, selon la Cour, il découle de la définition contenue à l’article 2, sous b), de la directive 95/46 que, si la modification de données à caractère personnel constitue, certes, un traitement au sens de celle-ci, les autres opérations qui y sont mentionnées ne nécessitent, en revanche, nullement que ces données soient modifiées. S’agissant du point de savoir si l’exploitant d’un moteur de recherche doit ou non être considéré comme le « responsable du traitement » des données à caractère personnel effectué par ce moteur dans le cadre d’une activité telle que celle en cause au principal, la Cour souligne que l’article 2, sous d), de la directive 95/46 définit celui-ci comme « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ». Or, la Cour souligne que c’est l’exploitant du moteur de recherche qui détermine les finalités et les moyens de cette activité et ainsi du traitement de données à caractère personnel qu’il effectue, lui-même, dans le cadre de celle-ci et qui doit, par conséquent, être considéré comme le « responsable » de ce traitement en vertu dudit article 2, sous d). De plus, la Cour estime qu’il serait contraire non seulement au libellé clair mais également à l’objectif de cette disposition, consistant à assurer, par une définition large de la notion de « responsable », une protection efficace et complète des personnes concernées, d’exclure de celle-ci l’exploitant d’un moteur de recherche au motif qu’il n’exerce pas de contrôle sur les données à caractère personnel publiées sur les pages web de tiers. À cet égard, la Cour souligne que le traitement de données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche se distingue et s’ajoute à celui effectué par les éditeurs de sites web, consistant à faire figurer ces données sur une page internet. La Cour souligne en outre que cette activité des moteurs de recherche joue un rôle décisif dans la diffusion globale desdites données en ce qu’elle rend celles-ci accessibles à tout internaute effectuant une recherche à partir du nom de la personne concernée, y compris aux internautes qui, autrement, n’auraient pas trouvé la page web sur laquelle ces mêmes données sont publiées. De plus, l’organisation et l’agrégation des informations publiées sur internet effectuées par les moteurs de recherche dans le but de faciliter à leurs utilisateurs l’accès à celles-ci peut conduire, lorsque la recherche de ces derniers est effectuée à partir du nom d’une personne physique, à ce que ceux-ci obtiennent par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur internet leur permettant d’établir un profil plus ou moins détaillé de la personne concernée9.

Dans la mesure où l’activité d’un moteur de recherche est donc susceptible d’affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l’exploitant de ce moteur en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée.

Enfin, la circonstance que les éditeurs de sites web ont la faculté d’indiquer aux exploitants de moteurs de recherche, à l’aide notamment de protocoles d’exclusion comme « robot.txt » ou de codes comme « noindex » ou « noarchive », qu’ils souhaitent qu’une information déterminée, publiée sur leur site, soit exclue en totalité ou partiellement des index automatiques de ces moteurs ne signifie pas que l’absence d’une telle indication de la part de ces éditeurs libérerait l’exploitant d’un moteur de recherche de sa responsabilité pour le traitement des données à caractère personnel qu’il effectue dans le cadre de l’activité de ce moteur. En effet, la Cour souligne que cette circonstance ne change pas le fait que les finalités et les moyens de ce traitement sont déterminés par cet exploitant. En outre, à supposer même que ladite faculté des éditeurs de sites web signifie que ceux-ci déterminent conjointement avec ledit exploitant les moyens dudit traitement, cette constatation n’enlèverait rien à la responsabilité de ce dernier, l’article 2, sous d), de la directive 95/46 prévoyant expressément que cette détermination peut être effectuée « seul ou conjointement avec d’autres ».

Au regard de cet ensemble d’éléments, la Cour décide de répondre à la deuxième question, que la directive 95/4610 doit être interprétée en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel », au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le « responsable » dudit traitement, au sens dudit article 2, sous d). La Cour a alors apporté des précisions sur l’application de la législation nationale au moteur google.com.

2 – L’applicabilité des textes aux moteurs internationaux

La Cour devait aussi se prononcer sur le point de savoir s’il est possible d’appliquer la législation nationale transposant la directive 95/46 dans des circonstances telles que celles en cause dans l’affaire soumise à la Cour. Dans ce contexte, la juridiction de renvoi a établi les faits suivants Google Search est proposé au niveau mondial par l’intermédiaire du site web « www.google.com ». Dans de nombreux États, il existe des versions locales adaptées à la langue nationale. La version en langue espagnole de Google Search est proposée par l’intermédiaire du site web « www.google.es », enregistré depuis le 16 septembre 2003. Google Search est l’un des moteurs de recherche les plus utilisés en Espagne. Google Search est exploité par Google Inc., qui est la société mère du groupe Google et dont le siège social est établi aux États-Unis. Google Search indexe les sites web du monde entier, parmi lesquels se trouvent les sites situés en Espagne. Les informations indexées par ses « araignées du web » ou ses robots d’indexation, c’est-à-dire des programmes informatiques utilisés pour repérer et balayer le contenu de pages web de façon méthodique et automatisée, sont stockées temporairement dans des serveurs dont l’État d’emplacement n’est pas connu, cette information étant maintenue secrète pour des raisons concurrentielles. La Cour souligne que Google Search ne se borne pas à donner accès aux contenus hébergés sur les sites web indexés, mais met à profit cette activité pour inclure, contre paiement, des publicités associées aux termes de recherche introduits par les internautes, pour des entreprises qui désirent utiliser cet outil en vue d’offrir leurs biens ou services à ces derniers. Le groupe Google a recours à sa filiale Google Spain pour la promotion des ventes d’espaces publicitaires générés sur le site web « www.google.com ». Google Spain, qui a été constituée le 3 septembre 2003 et qui jouit d’une personnalité juridique propre, a son siège social à Madrid. Elle développe ses activités essentiellement à destination des entreprises basées en Espagne, agissant en tant qu’agent commercial dudit groupe dans cet État membre. Son objet social est de promouvoir, de faciliter et d’effectuer la vente de produits et de services de publicité en ligne à des tiers ainsi que le marketing de cette publicité. Google Inc. a désigné Google Spain comme responsable du traitement, en Espagne, de deux fichiers enregistrés par Google Inc. auprès de l’AEPD, ces fichiers ayant pour objet de contenir les données personnelles des clients ayant conclu des contrats de services publicitaires avec Google Inc.

Concrètement, en l’espèce, la juridiction espagnole s’interroge sur la notion d’« établissement », au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46, et sur celle de « recours à des moyens situés sur le territoire dudit État membre », au sens de cet article 4, paragraphe 1, sous c). Sur la première question, sous a). Par sa première question, sous a), la juridiction de renvoi demande, en substance, si l’article 4, paragraphe 1, sous a)s, de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’une ou plusieurs des trois conditions suivantes sont réunies : l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre, ou la société mère désigne une filiale implantée dans ledit État membre comme son représentant et comme étant responsable du traitement de deux fichiers spécifiques contenant les données des clients ayant conclu des services publicitaires avec cette entreprise, ou la succursale ou la filiale établie dans un État membre transmet à la société mère, basée en dehors de l’Union, les réclamations et les injonctions que lui adressent aussi bien les intéressés que les autorités compétentes en vue d’obtenir le respect du droit à la protection des données à caractère personnel, même lorsque cette collaboration a lieu de manière volontaire11.

En ce qui concerne la première de ces trois conditions, la juridiction de renvoi relève que Google Search est exploité et géré par Google Inc. et qu’il n’est pas établi que Google Spain réalise en Espagne une activité directement liée à l’indexation ou au stockage d’informations ou de données contenues dans les sites web de tiers. Cependant, l’activité de promotion et de vente des espaces publicitaires, dont s’occupe Google Spain pour l’Espagne, constituerait la partie essentielle de l’activité commerciale du groupe Google et pourrait être considérée comme étant étroitement liée à Google Search. M. Costeja González, les gouvernements espagnol, italien, autrichien et polonais ainsi que la Commission estiment que, compte tenu du lien indissociable entre l’activité du moteur de recherche exploité par Google Inc. et celle de Google Spain, cette dernière doit être considérée comme un établissement de la première, dans le cadre des activités duquel le traitement de données à caractère personnel est effectué. En revanche, selon Google Spain, Google Inc. et le gouvernement hellénique, l’article 4, paragraphe 1, sous a), de la directive 95/46 ne trouve pas à s’appliquer dans l’hypothèse de la première des trois conditions énumérées par la juridiction de renvoi.

La Cour souligne que le considérant 19 de la directive 95/46 précise que « l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable » et « que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante ». Or il n’est pas contesté que Google Spain se livre à l’exercice effectif et réel d’une activité au moyen d’une installation stable en Espagne. Étant en outre dotée d’une personnalité juridique propre, elle constitue ainsi une filiale de Google Inc. sur le territoire espagnol et, partant, un « établissement » au sens de l’article 4, paragraphe 1, sous a), de la directive 95/46. Afin de satisfaire au critère établi à cette disposition, encore faut-il que le traitement de données à caractère personnel par le responsable de celui-ci soit « effectué dans le cadre des activités » d’un établissement de ce responsable sur le territoire d’un État membre12. Sur ce point, la Cour souligne qu’au regard de l’objectif de la directive 95/46 d’assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, cette dernière expression ne saurait recevoir une interprétation restrictive13.

La Cour souligne encore qu’il ressort notamment des considérants 18 à 20 et de l’article 4 de la directive 95/46 que le législateur de l’Union a entendu éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée, en prévoyant un champ d’application territorial particulièrement large. Compte tenu de cet objectif de la directive 95/46 et du libellé de son article 4, paragraphe 1, sous a), la Cour estime que le traitement de données à caractère personnel qui est fait pour les besoins du service d’un moteur de recherche tel que Google Search, lequel est exploité par une entreprise ayant son siège dans un État tiers mais disposant d’un établissement dans un État membre, est effectué « dans le cadre des activités » de cet établissement si celui-ci est destiné à assurer, dans cet État membre, la promotion et la vente des espaces publicitaires proposés par ce moteur de recherche, qui servent à rentabiliser le service offert par ce moteur. La Cour estime que dans de telles circonstances, les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’État membre concerné sont indissociablement liées dès lors que les activités relatives aux espaces publicitaires constituent le moyen pour rendre le moteur de recherche en cause économiquement rentable et que ce moteur est, en même temps, le moyen permettant l’accomplissement de ces activités. La Cour souligne que l’affichage même de données à caractère personnel sur une page de résultats d’une recherche constitue un traitement de telles données. Or, ledit affichage de résultats étant accompagné, sur la même page, de celui de publicités liées aux termes de recherche, force est de constater que le traitement de données à caractère personnel en question est effectué dans le cadre de l’activité publicitaire et commerciale de l’établissement du responsable du traitement sur le territoire d’un État membre, en l’occurrence le territoire espagnol.

Dans ces conditions, la Cour estime qu’il ne saurait être accepté que le traitement de données à caractère personnel effectué pour les besoins du fonctionnement dudit moteur de recherche soit soustrait aux obligations et aux garanties prévues par la directive 95/46, ce qui porterait atteinte à l’effet utile de celle-ci et à la protection efficace et complète des libertés et des droits fondamentaux des personnes physiques qu’elle vise à assurer, notamment celui au respect de leur vie privée, à l’égard du traitement des données à caractère personnel, auquel cette directive accorde une importance particulière ainsi que le confirment notamment son article 1er, paragraphe 1, et ses considérants 2 et 10 14. Dans la mesure où la première des trois conditions énumérées par la juridiction de renvoi suffit à elle seule pour conclure qu’un établissement tel que Google Spain satisfait au critère prévu à l’article 4, paragraphe 1, sous a), de la directive 95/46, il n’est pas nécessaire d’examiner les deux autres conditions.

La Cour décide donc de répondre à la première question, sous a), que l’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre. Il en résulte qu’il n’y a pas lieu de répondre à la première question, sous b) à d). La Cour apporte ensuite des précisions sur les obligations de suppressions inhérentes au droit à l’oubli prévu par la directive.

3 – L’interprétation du droit au déréférencement selon la directive

La Cour devait ensuite se prononcer sur le point de savoir si les dispositions de la directive devaient être interprétées en ce sens que afin de respecter les droits prévus à ces dispositions, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite. La Cour rappelle que, ainsi qu’il résulte de son article 1er et de son considérant 10, la directive 95/46 vise à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel. Selon le considérant 25 de la directive 95/46, les principes de la protection prévus par celle-ci trouvent leur expression, d’une part, dans les obligations mises à la charge des personnes qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l’autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d’autre part, dans les droits donnés aux personnes dont les données font l’objet d’un traitement d’être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances.

La Cour a déjà jugé que les dispositions de la directive 95/46, en ce qu’elles régissent le traitement de données à caractère personnel susceptibles de porter atteinte aux libertés fondamentales et, en particulier, au droit à la vie privée, doivent nécessairement être interprétées à la lumière des droits fondamentaux qui, selon une jurisprudence constante, font partie intégrante des principes généraux du droit dont la Cour assure le respect et qui sont désormais inscrits dans la Charte15. Ainsi, l’article 7 de la Charte garantit le droit au respect de la vie privée, tandis que l’article 8 de la Charte proclame expressément le droit à la protection des données à caractère personnel. Les paragraphes 2 et 3 de ce dernier article précisent que ces données doivent être traitées loyalement, à des fins déterminées et sur la base du consentement de la personne concernée ou en vertu d’un autre fondement légitime prévu par la loi, que toute personne a le droit d’accéder aux données collectées la concernant et d’en obtenir la rectification et que le respect de ces règles est soumis au contrôle d’une autorité indépendante. Ces exigences sont mises en œuvre notamment par les articles 6, 7, 12, 14 et 28 de la directive 95/46.

S’agissant de l’article 12, sous b), de la directive 95/46, celui-ci dispose que les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement, selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la directive 95/46, notamment en raison du caractère incomplet ou inexact des données. Cette dernière précision relative au cas du non-respect de certaines exigences visées à l’article 6, paragraphe 1, sous d), de la directive 95/46 révélant un caractère exemplatif et non exhaustif, il s’ensuit que la non-conformité du traitement, susceptible d’ouvrir à la personne concernée le droit garanti à l’article 12, sous b), de ladite directive, peut également découler du non-respect des autres conditions de licéité imposées par celle-ci au traitement de données à caractère personnel. La Cour rappelle que, sous réserve des dérogations admises au titre de l’article 13 de la directive 95/46, tout traitement de données à caractère personnel doit, d’une part, être conforme aux principes relatifs à la qualité des données énoncés à l’article 6 de cette directive et, d’autre part, répondre à l’un des principes relatifs à la légitimation des traitements de données énumérés à l’article 7 de ladite directive16.

Aux termes de cet article 6 et sous réserve des dispositions spécifiques que les États membres peuvent prévoir pour des traitements à des fins historiques, statistiques ou scientifiques, il incombe au responsable du traitement d’assurer que les données à caractère personnel sont « traitées loyalement et licitement », qu’elles sont « collectées pour des finalités déterminées, explicites et légitimes, et ne [sont pas] traitées ultérieurement de manière incompatible avec ces finalités », qu’elles sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement », qu’elles sont « exactes et, si nécessaire, mises à jour » et, enfin, qu’elles sont « conservées sous une forme permettant l’identification des personnes concernées pendant une durée n’excédant pas celle nécessaire à la réalisation des finalités pour lesquelles elles sont collectées ou pour lesquelles elles sont traitées ultérieurement ». Dans ce contexte, ce responsable doit prendre toutes les mesures raisonnables pour que les données qui ne répondent pas aux exigences de cette disposition soient effacées ou rectifiées. Quant à la légitimation, au titre de l’article 7 de la directive 95/46, d’un traitement comme celui en cause au principal effectué par l’exploitant d’un moteur de recherche, la Cour estime que celui-ci est susceptible de relever du motif visé à cet article 7, sous f). Cette disposition permet le traitement de données à caractère personnel lorsqu’il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les libertés et les droits fondamentaux de la personne concernée, notamment son droit au respect de sa vie privée à l’égard du traitement des données à caractère personnel, qui appellent une protection au titre de l’article 1er, paragraphe 1, de cette directive. L’application dudit article 7, sous f), nécessite ainsi une pondération des droits et des intérêts opposés en cause dans le cadre de laquelle il doit être tenu compte de l’importance des droits de la personne concernée résultant des articles 7 et 8 de la Charte.

Si la conformité du traitement aux articles 6 et 7, sous f), de la directive 95/46 peut être vérifié dans le cadre d’une demande au sens de l’article 12, sous b), de cette directive, la personne concernée peut, en plus, se prévaloir sous certaines conditions du droit d’opposition prévu à l’article 14, premier alinéa, sous a), de celle-ci. Selon cet article 14, premier alinéa, sous a), les États membres reconnaissent à la personne concernée le droit, au moins dans les cas visés à l’article 7, sous e) et f), de la directive 95/46, de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. La pondération à effectuer dans le cadre dudit article 14, premier alinéa, sous a), permet ainsi de tenir compte de manière plus spécifique de toutes les circonstances entourant la situation concrète de la personne concernée. En cas d’opposition justifiée, le traitement mis en œuvre par le responsable de celui-ci ne peut plus porter sur ces données. Les demandes au titre des articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 peuvent être directement adressées par la personne concernée au responsable du traitement qui doit alors dûment examiner le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause. Lorsque le responsable du traitement ne donne pas suite à ces demandes, la personne concernée peut saisir l’autorité de contrôle ou l’autorité judiciaire pour que celles-ci effectuent les vérifications nécessaires et ordonnent à ce responsable des mesures précises en conséquence. La Cour relève enfin qu’il résulte de l’article 28, paragraphes 3 et 4, de la directive 95/46, que chaque autorité de contrôle peut être saisie par toute personne d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel et qu’elle dispose de pouvoirs d’investigation et de pouvoirs effectifs d’intervention lui permettant d’ordonner notamment le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un tel traitement.

C’est à la lumière de ces considérations que la Cour estime devoir interpréter et appliquer les dispositions de la directive 95/46 régissant les droits de la personne concernée lorsque l’autorité de contrôle ou l’autorité judiciaire sont saisies par celle-ci d’une demande telle que celle en cause au principal. La Cour souligne sur ce point qu’un traitement de données à caractère personnel, tel que celui en cause au principal, réalisé par l’exploitant d’un moteur de recherche, est susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l’aide de ce moteur est effectuée à partir du nom d’une personne physique, dès lors que ledit traitement permet à tout internaute d’obtenir par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur internet, qui touchent potentiellement à une multitude d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas ou seulement que très difficilement pu être interconnectées, et ainsi d’établir un profil plus ou moins détaillé de celle-ci. En outre, l’effet de l’ingérence dans lesdits droits de la personne concernée se trouve démultiplié en raison du rôle important que jouent internet et les moteurs de recherche dans la société moderne, lesquels confèrent aux informations contenues dans une telle liste de résultats un caractère ubiquitaire17. Au vu de la gravité potentielle de cette ingérence, la Cour constate que celle-ci ne saurait être justifiée par le seul intérêt économique de l’exploitant d’un tel moteur dans ce traitement. Cependant, dans la mesure où la suppression de liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir des répercussions sur l’intérêt légitime des internautes potentiellement intéressés à avoir accès à celle-ci, il y a lieu de rechercher, dans des situations telles que celles en cause au principal, un juste équilibre notamment entre cet intérêt et les droits fondamentaux de cette personne au titre des articles 7 et 8 de la Charte. Si, certes, les droits de la personne concernée protégés par ces articles prévalent également, en règle générale, sur ledit intérêt des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à disposer de cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique.

Au terme de l’appréciation des conditions d’application des articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 à opérer lorsqu’elles sont saisies d’une demande telle que celle en cause au principal, l’autorité de contrôle ou l’autorité judiciaire peuvent ordonner audit exploitant de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, sans qu’une ordonnance en ce sens présuppose que ce nom et ces informations soient, du plein gré de l’éditeur ou sur ordonnance de l’une de ces autorités, supprimés au préalable ou simultanément de la page web sur laquelle ils ont été publiés.

En effet, dans la mesure où le traitement des données effectué dans le cadre de l’activité d’un moteur de recherche se distingue de et s’ajoute à celui effectué par les éditeurs de sites web et affecte de manière additionnelle les droits fondamentaux de la personne concernée, l’exploitant de ce moteur en tant que responsable de ce traitement doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celui-ci satisfait aux exigences de la directive 95/46, pour que les garanties prévues par celle-ci puissent développer leur plein effet. La Cour souligne que, compte tenu de la facilité avec laquelle des informations publiées sur un site web peuvent être répliquées sur d’autres sites et du fait que les responsables de leur publication ne sont pas toujours soumis à la législation de l’Union, une protection efficace et complète des personnes concernées ne pourrait être réalisée si celles-ci devaient d’abord ou en parallèle obtenir l’effacement des informations les concernant auprès des éditeurs de sites web.

En outre, le traitement par l’éditeur d’une page web, consistant dans la publication d’informations relatives à une personne physique, peut, le cas échéant, être effectué « aux seules fins de journalisme » et ainsi bénéficier, en vertu de l’article 9 de la directive 95/46, de dérogations aux exigences établies par celle-ci, tandis que tel n’apparaît pas être le cas s’agissant du traitement effectué par l’exploitant d’un moteur de recherche. Il ne peut ainsi être exclu que la personne concernée soit dans certaines circonstances susceptible d’exercer les droits visés aux articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 contre ledit exploitant, mais non pas contre l’éditeur de ladite page web.

Enfin, il importe de constater que non seulement le motif justifiant, en vertu de l’article 7 de la directive 95/46, la publication d’une donnée à caractère personnel sur un site web ne coïncide pas forcément avec celui qui s’applique à l’activité des moteurs de recherche, mais que, même lorsque tel est le cas, le résultat de la mise en balance des intérêts en cause à effectuer en vertu des articles 7, sous f), et 14, premier alinéa, sous a), de cette directive peut diverger selon qu’il s’agit du traitement effectué par l’exploitant d’un moteur de recherche ou de celui effectué par l’éditeur de cette page web, étant donné que, d’une part, les intérêts légitimes justifiant ces traitements peuvent être différents et, d’autre part, les conséquences qu’ont lesdits traitements pour la personne concernée, et notamment pour sa vie privée, ne sont pas nécessairement les mêmes.

En effet, dans la mesure où l’inclusion dans la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, d’une page web et des informations qui y sont contenues relatives à cette personne facilite sensiblement l’accessibilité de ces informations à tout internaute effectuant une recherche sur la personne concernée et peut jouer un rôle décisif pour la diffusion desdites informations, elle est susceptible de constituer une ingérence plus importante dans le droit fondamental au respect de la vie privée de la personne concernée que la publication par l’éditeur de cette page web.

Au regard de l’ensemble des éléments qui précèdent, la Cour décide de répondre à la deuxième question, sous c) et d), que les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

Il restait à savoir si les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens qu’ils permettent à la personne concernée d’exiger de l’exploitant d’un moteur de recherche de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom de cette personne, des liens vers des pages web, publiées légalement par des tiers et contenant des informations véridiques relatives à cette dernière, au motif que ces informations sont susceptibles de lui porter préjudice ou qu’elle désire que celles-ci soient « oubliées » après un certain temps.

Selon la Cour, S’agissant de l’article 12, sous b), de la directive 95/46, dont l’application est soumise à la condition que le traitement de données à caractère personnel est incompatible avec cette directive, il convient de rappeler que, ainsi qu’il a été relevé au point 72 du présent arrêt, une telle incompatibilité peut résulter non seulement du fait que ces données sont inexactes, mais, en particulier, aussi du fait qu’elles sont inadéquates, non pertinentes ou excessives au regard des finalités du traitement, qu’elles ne sont pas mises à jour ou qu’elles sont conservées pendant une durée excédant celle nécessaire, à moins que leur conservation s’impose à des fins historiques, statistiques ou scientifiques.

Il découle de ces exigences, prévues à l’article 6, paragraphe 1, sous c) à e), de la directive 95/46, que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées. Tel est notamment le cas lorsqu’elles apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes ou sont excessives au regard de ces finalités et du temps qui s’est écoulé.

Partant, dans l’hypothèse où il est constaté, à la suite d’une demande de la personne concernée en vertu de l’article 12, sous b), de la directive 95/46, que l’inclusion dans la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, des liens vers des pages web, publiées légalement par des tiers et contenant des informations véridiques relatives à sa personne, est, au stade actuel, incompatible avec ledit article 6, paragraphe 1, sous c) à e), en raison du fait que ces informations apparaissent, eu égard à l’ensemble des circonstances caractérisant le cas d’espèce, inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause réalisé par l’exploitant du moteur de recherche, les informations et les liens concernés de ladite liste de résultats doivent être effacés.

En ce qui concerne les demandes au sens de cet article 12, sous b), fondées sur le prétendu non-respect des conditions prévues à l’article 7, sous f), de la directive 95/46 ainsi que celles au titre de l’article 14, premier alinéa, sous a), de cette directive, il convient de relever que chaque traitement de données à caractère personnel doit être légitimé en vertu de cet article 7 pour toute la durée pendant laquelle il est effectué.

Au vu de ce qui précède, dans le cadre de l’appréciation de telles demandes introduites à l’encontre d’un traitement tel que celui en cause dans cette affaire – Google Spain –, la Cour décide d’examiner si la personne concernée a un droit à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom. À cet égard, il convient de souligner que la constatation d’un tel droit ne présuppose pas que l’inclusion de l’information en question dans la liste de résultats cause un préjudice à la personne concernée.

La personne concernée pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander à ce que l’information en question ne soit plus mise à la disposition du grand public par son inclusion dans une telle liste de résultats, il y a lieu de considérer, ainsi qu’il ressort notamment du point 81 du présent arrêt, que ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à trouver ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

S’agissant d’une situation comme celle en cause, qui concerne l’affichage, dans la liste de résultats que l’internaute obtient en effectuant une recherche à partir du nom de la personne concernée à l’aide de Google Search, de liens vers des pages des archives en ligne d’un quotidien contenant des annonces mentionnant le nom de cette personne et se rapportant à une vente aux enchères immobilière liée à une saisie pratiquée aux fins du recouvrement de dettes en matière de sécurité sociale, il convient de considérer que, eu égard à la sensibilité des informations contenues dans ces annonces pour la vie privée de ladite personne et au fait que leur publication initiale avait été effectuée 16 ans auparavant, la personne concernée justifie d’un droit à ce que ces informations ne soient plus liées à son nom au moyen d’une telle liste. Dès lors, dans la mesure où il ne semble pas exister, en l’occurrence, de raisons particulières justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une telle recherche, accès à ces informations, ce qu’il appartient toutefois à la juridiction de renvoi de vérifier, la personne concernée peut, en vertu des articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46, exiger la suppression desdits liens de cette liste de résultats.

Il résulte des éléments qui précèdent que la Cour décide de répondre à la troisième question que les articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, dans le cadre de l’appréciation des conditions d’application de ces dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question.

Cette décision a fait grand bruit, par l’audace que la plupart des commentateurs ont cru pouvoir relever dans le raisonnement de la Cour et dans la protection apportée à la vie privée au regard des moteurs de recherche. Cette décision a eu non seulement une notoriété de commentaires mais aussi des conséquences pratiques.

Ainsi Google, qui a réagi à l’arrêt en éditant un formulaire de demande de déréférencement, a dû faire face à pas moins de 12 000 demandes dès la première journée de sa mise en ligne18. Depuis, Google a traité plus de 659 000 demandes, et déréférencé 43 % des liens litigieux, soit plus de 660 000 – dont un quart à la suite de demandes françaises. Il ressort d’une étude de droit comparé réalisée par le centre de recherches et de diffusion juridiques que les autorités de régulation ont pris leur part à l’exercice, plus ou moins selon leur position légale dans la chaîne de traitement des plaintes des particuliers : plus de 600 demandes traitées en Allemagne19, contre près de 400 en Espagne20, une centaine aux Pays-Bas21, une cinquantaine en Italie22 et une seule au Royaume-Uni23. Le G29 a publié des lignes directrices le 26 novembre 2014. Sont également intervenues plusieurs décisions juridictionnelles – environ 200 en Espagne, une poignée seulement aux Pays-Bas, en Italie, et une douzaine en France devant les juridictions judiciaires24.

Selon cette jurisprudence, le déréférencement n’entraîne pas la suppression du contenu, les données personnelles dont le demandeur déplore la présence sur internet ayant vocation à demeurer sur le site source qui continuera d’être entièrement accessible par saisie de son adresse URL : c’est uniquement l’accès à ce contenu par mots-clés qui sera supprimé. D’autre part, l’un des accès par mots-clés seulement est concerné : c’est uniquement la corrélation entre les prénom et nom de la personne d’un côté et les informations personnelles de l’autre qui sera effacée, parce que c’est de cette corrélation, permise par le moteur, que naît le surcroît d’atteinte à la vie privée imputable à ce dernier. À cela s’ajoute que le chemin n’est effacé que dans les moteurs de recherche que l’intéressé a sollicités, la même requête pouvant continuer, malgré le déréférencement sur l’un des moteurs, à renvoyer via d’autres vers les contenus personnels25.

Le législateur européen s’est partiellement emparé du sujet en créant, à l’article 17 du nouveau règlement 2016/679 du Parlement européen et du Conseil du 27 avril 2016 un droit à l’effacement baptisé « droit à l’oubli » qui n’est pas propre aux moteurs de recherche et que la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a partiellement transposé pour les seules données en ligne relatives aux mineurs26. Le Conseil d’État a été saisi de questions nouvelles qu’il a été amené à soumettre à la Cour de justice.

II – Les questions soumises par le Conseil d’État à la Cour de justice de l’Union européenne

L’arrêt Google Spain n’a pas épuisé toutes les questions que peuvent poser des apparitions de noms et de sujets sur des moteurs de recherche. Le Conseil d’État vient d’en faire l’expérience autour de quatre affaires (A). Ces affaires ne pouvant s’inscrire dans la grille de lecture définie par la Cour, le Conseil d’État a décidé de soumettre de nouvelles interrogations à la Cour de justice de l’Union européenne (B).

A – Les affaires soumises au Conseil d’État

La première affaire concerne une candidate aux élections cantonales de 2011, alors directrice de cabinet du maire, par ailleurs ancien ministre, d’une commune d’un département. À l’époque de sa campagne, a été publiée sur Youtube un photomontage satirique la représentant assise dans la voiture du maire et lui murmurant des mots doux laissant clairement entendre qu’elle devrait à des faveurs sexuelles son statut de candidate. Pour être bien sûre que l’allusion soit comprise, l’auteur la représente équipée d’un parachute, le slogan « Si tu couches, tu touches » tenant lieu d’immatriculation du véhicule. L’intéressée a demandé à Google que les résultats des recherches effectuées à partir de ses prénom et nom ne comportent plus le lien vers ce photomontage. Elle expliquait ne plus avoir de responsabilités locales et être gênée dans sa recherche d’emploi par ce lien, qui apparaît en quatrième position des résultats de recherche associés à son nom.

La deuxième affaire concerne un ancien responsable des relations publiques de l’Église de scientologie. Ce qu’il souhaite voir disparaître des résultats de recherche associés à son nom, c’est le lien pointant vers un article de presse, publié en 2008 sur le site du quotidien Libération. L’article fait état d’une note des renseignements généraux selon laquelle il aurait, à la suite du suicide d’une adepte de la scientologie, proposé de l’argent aux enfants de la défunte en échange de leur renoncement à intenter une action judiciaire. L’article relate également ses propos démentant ce point. Dans sa demande de déréférencement adressée à Google, l’intéressé invoquait la rupture de ses liens avec la Scientologie : il en déduisait que le référencement de l’article, qui continue de sortir en cinquième position des résultats de recherche à partir de son nom, était devenu inadéquat. La troisième affaire concerne un ancien conseiller auprès de Gérard Longuet. Les liens dont il a demandé le déréférencement à Google mènent vers plusieurs articles de presse qui ont en commun de faire état de sa mise en examen dans le cadre de l’affaire du financement occulte du parti Républicain. Ces articles sont contemporains de sa mise en examen et ne signalent donc pas que la procédure a, depuis, été clôturée par une ordonnance de non-lieu du 26 février 2010. Pour autant, ils sortent en bonne place dans les résultats de recherche associés à son nom et, pour beaucoup, avant les liens vers les articles, il est vrai plus rares, qui font état du non-lieu. La quatrième affaire concerne un ex-animateur municipal condamné en 2010 à sept ans de prison et dix ans de suivi socio-judiciaire pour attouchement sexuel sur quarante-cinq fillettes. Il a souhaité obtenir le déréférencement des deux premiers résultats de recherche associés à son nom, à savoir des liens vers deux chroniques judiciaires, l’une du Figaro et l’autre de Nice Matin, faisant état des faits, de sa condamnation et, pour l’un d’entre eux, de détails très intimes, relatifs à une malformation génitale de l’intéressé, à sa forte pilosité et au fait qu’il n’aurait pas eu de relation sexuelle avant l’âge de vingt-huit ans27.

Les requérants concernés par chacune de ces affaires ont, après s’être vus refuser le déréférencement par Google, saisi la Commission nationale informatique et libertés, compétente en la matière. Cette dernière, a, pour chaque requérant, estimé que la proportionnalité entre les intérêts défendus par les requérants et l’intérêt porté par la diffusion de l’information, avait été respectée. C’est ainsi devant le Conseil d’État, compétent pour juger ces affaires28, que les questions se sont nouées.

B – Les questions posées par le Conseil d’État à la Cour de justice de l’Union européenne

Le Conseil d’État, pour juger ces affaires, a décidé de soumettre une série de questions à la Cour de justice de l’Union européenne, sachant qu’elle a déjà eu l’approche audacieuse présentée plus haut. Elle a certes jugé que le caractère excessif de l’atteinte à la vie privée s’apprécie au cas par cas, au regard de l’information référencée, de la finalité légitime du traitement et des droits des tiers susceptibles d’être affectés par le déréférencement. Mais elle n’en a pas moins posé que les droits au respect de la vie privée et à la protection des données personnelles, respectivement protégés par les articles 7 et 8 de la Charte, « prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt du public à trouver ladite information ». Il en résulte un caractère assez systématique du droit au déréférencement, d’autant que la Cour a encore précisé qu’il n’était requis, pour l’obtenir, ni « que l’inclusion de l’information dans la liste de résultats cause un préjudice à la personne concernée », ni que sa publication sur le site source soit en elle-même illicite. Tout au plus le droit au déréférencement cède-t-il s’il apparaît, « pour des raisons particulières, telles que le rôle joué par la personne [concernée] dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant du public à avoir (…) accès à l’information en question » via une requête par nom et prénom dans le moteur de recherche29.

De ce fait, les questions ont été formulées dans le cadre factuel présenté plus haut, et à partir des bases juridiques existantes et rappelées par le Conseil d’État. Celui-ci rappelle qu’aux termes de l’article 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « (…) Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction (…) ». L’article 3 de cette loi précise que : « I. – Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens (…) ». Ces dispositions assurent la mise en œuvre en droit national de l’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or, par son arrêt du 13 mai 2014 Google Spain30 la Cour de justice de l’Union européenne a dit pour droit que : « L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel », au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le « responsable » dudit traitement, au sens dudit article 2, sous d) ». Il en résulte nécessairement que l’exploitant d’un moteur de recherche doit être regardé comme un responsable de traitement au sens des articles 2 et 3 de la loi du 6 janvier 1978.

Le Conseil d’État rappelle qu’aux termes de l’article 5 de la loi du 6 janvier 1978 : « I. – Sont soumis à la présente loi les traitements de données à caractère personnel : / 1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ». Ces dispositions assurent la mise en œuvre en droit national de l’article 4, paragraphe 1, sous a), de la directive du 24 octobre 1995. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or, la Cour de justice de l’Union européenne a, par l’arrêt précité, dit pour droit que : « L’article 4, paragraphe 1, sous a), de la directive 95/46/CE doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre ». Il en résulte nécessairement que le traitement de données à caractère personnel que constitue le moteur de recherche exploité par la société Google Inc., compte tenu des activités de promotion et de vente des espaces publicitaires exercées, en France, par sa filiale Google France, relève du champ d’application de la loi du 6 janvier 1978, défini par son article 531.

Le Conseil d’État rappelle les éléments en présence sur l’existence d’un « droit au déréférencement ». Aux termes de l’article 38 de la loi du 6 janvier 1978 : « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. / Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. / Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement ». Aux termes de l’article 40 de cette même loi : « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant (…) ». Ces dispositions assurent respectivement la mise en œuvre en droit national des dispositions de l’article 14, sous a), et de l’article 12, sous b), de la directive du 24 octobre 1995. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or la Cour de justice de l’Union européenne, dans son arrêt précité du 13 mai 2014, a interprété ces dispositions au regard de l’article 1, paragraphe 1, de la directive du 24 octobre 199532. Il en résulte pour le Conseil que, sur le fondement des articles 38 et 40 de la loi du 6 janvier 1978, lorsque les conditions fixées par ces articles sont satisfaites, l’exploitant d’un moteur de recherche mettant en œuvre son traitement en France doit faire droit aux demandes qui lui sont présentées tendant au déréférencement de liens, c’est-à-dire à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant.

Le Conseil d’État apporte en premier lieu des précisions sur la compétence de la Commission nationale de l’informatique et des libertés pour connaître des plaintes contre les refus de déréférencement opposés par un exploitant de moteur de recherche33, pour ensuite poser les questions posées par les affaires présentées à lui.

Au regard des quatre demandes de déréférencement présentées devant lui, le Conseil d’État rappelle en premier lieu qu’il résulte clairement des dispositions de l’article 8 paragraphe 1 de la directive du 24 octobre 1995 que les données mentionnées aux points 10 à 13 relèvent des catégories de données à caractère personnel énumérées par ces dispositions, c’est-à-dire de celles « qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale » ou qui sont relatives « à la santé et à la vie sexuelle ». À ce titre, leur collecte ou leur traitement est, en principe, interdit en vertu de cet article, lequel est transposé en droit national par les dispositions du I de l’article 8 de la loi du 6 janvier 1978.

Le Conseil d’État rappelle que la Cour de justice de l’Union européenne a dit pour droit que l’exploitant d’un moteur de recherche « en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive du 24 octobre 1995 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée. Sur la base des textes et de l’interprétation jurisprudentielle, le Conseil d’État détermine une série de questions.

En premier lieu, selon le juge du Palais-Royal, la question de déterminer si, dans le cadre du régime spécifique défini pour l’exploitant d’un moteur de recherche au point précédent, l’interdiction faite aux autres responsables de traitement de traiter des données relevant des paragraphes 1 et 5 de l’article 8 de la directive du 24 octobre 1995, sous réserve des exceptions prévues par ce texte, est également applicable à l’exploitant d’un moteur de recherche en tant que responsable du traitement que constitue ce moteur soulève selon le Conseil d’État une première difficulté sérieuse d’interprétation du droit de l’Union européenne. S’ensuivent une série d’interrogations. En cas de réponse positive à cette première, en premier lieu, le point de savoir si cette interdiction l’obligerait, sous réserve des exceptions prévues par la directive du 24 octobre 1995, à faire droit aux demandes de déréférencement relatives à des liens qui mènent vers des pages web traitant de telles données soulève une deuxième difficulté sérieuse d’interprétation du droit de l’Union européenne.

En deuxième lieu, le Conseil d’État souligne que la directive du 24 octobre 1995 prévoit que l’interdiction prévue à l’article 8 paragraphe 1 ne s’applique pas dans plusieurs cas, énumérés au paragraphe 2 de ce même article. En particulier, cette interdiction ne s’applique pas, d’une part, lorsque « a) la personne concernée a donné son consentement explicite à un tel traitement, sauf dans le cas où la législation de l’État membre prévoit que l’interdiction visée au paragraphe 1 ne peut être levée par le consentement de la personne concernée » et, d’autre part, lorsque « e) le traitement porte sur des données manifestement rendues publiques par la personne concernée ou est nécessaire à la constatation, à l’exercice ou à la défense d’un droit en justice ». La réponse à apporter aux litiges en présence est déterminée par l’interprétation, qui soulève, selon le Conseil d’État, une troisième difficulté sérieuse au regard du droit de l’Union européenne, de ces dispositions lorsqu’elles s’appliquent aux responsabilités, aux compétences et aux possibilités de l’exploitant d’un moteur de recherche.

En particulier, le juge administratif estime que les litiges qui lui sont soumis impliquent de déterminer si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles permettent à l’exploitant d’un moteur de recherche de refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus qui, s’ils comportent des données relevant des catégories énumérées à l’article 8 paragraphe 1, entrent également dans le champ des exceptions prévues par le paragraphe 2 de ce même article, notamment le a) et le e). Cette question est liée au champ des exceptions à admettre.

En troisième lieu, le Conseil d’État rappelle que l’article 9 de la directive du 24 octobre 1995 dispose que : « Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression ». En vertu de ces dispositions, les traitements de données à caractère personnel effectuées aux seules fins de journalisme ou d’expression artistique ou littéraire ne sont pas soumis aux exigences prévues par les paragraphes 1 et 5 de l’article 8 de cette directive.

Rappelant que dans son arrêt de 2004 étudié plus haut, la Cour de justice de l’Union européenne a dit pour droit que les dérogations établies par cet article ne bénéficiaient pas au traitement effectué par l’exploitant d’un moteur de recherche, le Conseil d’État souligne que toutefois, lorsque les liens dont le déréférencement est demandé mènent vers des traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire qui, à ce titre, peuvent, ainsi que le prévoient en droit national les dispositions de l’article 67 de la loi du 6 janvier 1978, collecter et traiter des données relevant des catégories mentionnées aux paragraphes 1 et 5 de l’article 8 de la directive du 24 octobre 1995, la question de savoir si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles autorisent l’exploitant d’un moteur de recherche à se prévaloir de cette circonstance pour refuser de faire droit à une demande de déréférencement soulève une quatrième difficulté sérieuse d’interprétation du droit de l’Union européenne.

En cas de réponse négative à cette dernière question, eu égard notamment aux conséquences excessives qui s’attacheraient au fait de faire peser une telle interdiction sur l’exploitant d’un moteur de recherche compte tenu de ses responsabilités, compétences et possibilités, en premier lieu, la question de savoir auxquelles des exigences spécifiques de la directive du 24 octobre 1995 cet exploitant doit satisfaire, soulève selon le juge une cinquième question sérieuse d’interprétation du droit de l’Union européenne.

Dans son arrêt précité, la Cour de justice de l’Union européenne a jugé que la licéité de la publication, sur une page web, d’informations relatives à une personne ne faisait pas obstacle à ce que l’exploitant d’un moteur de recherche soit obligé de supprimer de la liste des résultats les liens renvoyant vers cette page, lorsque ces liens sont affichés à la suite d’une recherche effectuée à partir du nom de l’intéressé. En revanche, le Conseil d’État souligne que la Cour de justice de l’Union européenne ne s’est pas prononcée sur le point de savoir si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles imposent à l’exploitant d’un moteur de recherche, lorsqu’il constate que les pages web vers lesquelles mènent les liens dont le déréférencement est demandé comportent des données dont la publication, sur lesdites pages, est illicite, de supprimer ces liens de la liste des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur, ou s’il doit seulement prendre en compte cette circonstance pour apprécier le bien-fondé de la demande qui lui est présentée, ou encore si cette circonstance est sans incidence sur l’appréciation qu’il doit porter. En outre, si cette circonstance doit être prise en compte, la question de savoir comment apprécier la licéité de la publication des données litigieuses sur des pages web qui proviennent de traitements n’entrant pas dans le champ d’application territorial de la directive et, par suite, des législations nationales la mettant en œuvre, soulève selon le Conseil d’État, une sixième difficulté sérieuse d’interprétation du droit de l’Union européenne.

Enfin, le juge administratif indique que quelle que soit la réponse apportée à la question posée, en premier lieu, indépendamment de la licéité de la publication des données à caractère personnel sur la page web vers laquelle mène le lien litigieux, la question de savoir si les dispositions de la directive du 24 octobre 1995 doivent être interprétées en ce sens qu’elles imposent à l’exploitant d’un moteur de recherche, lorsque le demandeur établit que ces données sont incomplètes, inexactes, ou qu’elles ne sont pas à jour, de faire droit à la demande de déréférencement correspondante soulève une septième difficulté sérieuse d’interprétation du droit de l’Union européenne. En particulier, cette question porte sur l’éventuelle obligation de déréférencement pesant sur l’exploitant d’un moteur de recherche lorsque le demandeur démontre que, compte tenu du déroulement de la procédure judiciaire, les informations relatives à une étape antérieure de cette procédure ne correspondent plus à la réalité actuelle de sa situation.

Il faut ajouter que deux des quatre affaires soumises au Conseil d’État sont relatives à des demandes tendant au déréférencement de liens vers divers articles faisant état, d’une part, de la mise en examen de M. H. et, d’autre part, de la condamnation de M. D. pour des faits d’agressions sexuelles sur mineurs de quinze ans. Ces données portent ainsi, soit sur des procédures judiciaires qui étaient alors pendantes, soit sur la teneur d’une audience publique et sur le jugement rendu par un tribunal correctionnel, dont les dispositions du quatrième alinéa de l’article 400 du Code de procédure pénale prévoient qu’il est prononcé en audience publique. L’interprétation des dispositions de l’article 9 de la loi du 6 janvier 1978 citées au point 15 dépend au préalable du point de savoir si les dispositions de l’article 8 paragraphe 5 de la directive du 24 octobre 1995 doivent être interprétées en ce sens que de telles informations constituent des données relatives aux infractions et aux condamnations pénales et, de manière générale, de savoir si, lorsqu’une page web comporte des données faisant état des condamnations ou des procédures judiciaires dont une personne physique a été l’objet, elle entre dans le champ de ces dispositions. Elle soulève une nouvelle difficulté sérieuse d’interprétation du droit de l’Union européenne. Jugeant que les questions posées sont déterminantes pour la solution des litiges que doit trancher le Conseil d’État. Et qu’elles soulèvent plusieurs difficultés sérieuses d’interprétation du droit de l’Union européenne. Le juge administratif français décide d’en saisir la Cour de justice de l’Union européenne en application de l’article 267 du traité sur le fonctionnement de l’Union européenne.

Comme on le voit, l’affaire Google de 2004, pour audacieuse et protectrice qu’elle soit, n’en épuise pas pour autant les nombreuses questions posées par le droit à l’oubli34. À l’instar d’autres sujets par le passé, c’est à la faveur d’un dialogue des juges, plus que jamais pertinent, que la jurisprudence du droit au déréférencement se construit, pas à pas.

Notes de bas de pages

  • 1.
    CJCE, 13 mai 2014, n° C 131-12.
  • 2.
    Dir. PE et Cons. UE n° 95/46/CE, 24 oct. 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31).
  • 3.
    CJCE, n° C 131-12, préc.
  • 4.
    Idem.
  • 5.
    Rappelées par la Cour de justice de l’Union dans l’affaire Google Spain de 2004, préc.
  • 6.
    Pts 15 à 18 de l’arrêt Google Spain ici analysé.
  • 7.
    V. arrêt Lindqvist, n° C-101/01, EU:C:2003:596, pt 25.
  • 8.
    V. not. arrêt Satakunnan Markkinapörssi et Satamedia, n° C-73/07, EU:C:2008:727, pts 48 et 49.
  • 9.
    Arrêt Google Spain de 2004, préc.
  • 10.
    Sous a) et b), de l’article 2, sous b) et d), de la directive.
  • 11.
    Arrêt Google Spain de 2004, préc.
  • 12.
    Google Spain et Google Inc. contestent que ce soit le cas dès lors que le traitement de données à caractère personnel en cause au principal est effectué exclusivement par Google Inc., qui exploite Google Search sans aucune intervention de la part de Google Spain, dont l’activité se limite à la fourniture d’un soutien à l’activité publicitaire du groupe Google qui est distincte de son service de moteur de recherche. Cependant, ainsi que l’ont souligné notamment le gouvernement espagnol et la Commission, l’article 4, paragraphe 1, sous a), de la directive n° 95/46 exige non pas que le traitement de données à caractère personnel en question soit effectué « par » l’établissement concerné lui-même, mais uniquement qu’il le soit « dans le cadre des activités » de celui-ci. Pts 51 et 52 de l’affaire Google Spain ici analysée.
  • 13.
    La Cour renvoie, par analogie, à l’arrêt L’Oréal et a., n° C-324/09, EU:C:2011:474, pts 62 et 63.
  • 14.
    V. en ce sens, arrêts Österreichischer Rundfunk et a., nos C-465/00, C-138/01 et C-139/01, EU:C:2003:294, pt 70 ; Rijkeboer, n° C-553/07, EU:C:2009:293, pt 47, ainsi que IPI, n° C-473/12, EU:C:2013:715, pt 28.
  • 15.
    V. not. arrêts Connolly/Commission, n° C-274/99 P, EU:C:2001:127, pt 37, ainsi que Österreichischer Rundfunk et a., EU:C:2003:294, pt 68.
  • 16.
    V. arrêts Österreichischer Rundfunk et a., EU:C:2003:294, point 65 ; ASNEF et FECEMD, nos C-468/10 et C-469/10, EU:C:2011:777, pt 26, ainsi que Worten, n° C-342/12, EU:C:2013:355, pt 33.
  • 17.
    V. arrêt eDate Advertising et a., nos C-509/09 et C-161/10, EU:C:2011:685, point 45.
  • 18.
    « Les moteurs de recherche, maîtres ou esclaves du droit à l’oubli numérique ? Acte I : Le moteur, facilitateur d’accès, agrégateur d’informations et responsable de traitement autonome », D. 2014, p. 1476, obs. Bénabou V.-L. et Rochfeld J.
  • 19.
    Par le délégué hambourgeois à la protection des données, territorialement compétent pour connaître des données propres à Google dont l’établissement stable est implanté à Hambourg. L’autorité de contrôle bavaroise, compétente pour les moteurs Bing de Microsoft et Yahoo !, est peu fréquemment saisie (v. Tätigkeitsbericht des Bayerischen Landesamtes für Datenschutzaufsicht für die Jahre 2013 und 2014, p. 50).
  • 20.
    371 à la date du rapport annuel de Agencia Española de Protección de Datos pour 2015.
  • 21.
    Statistiques de la Dutch Data Protection Authority publiées le 25 mai 2016 : Mediation by Dutch DPA concerning delisting of search results by Google, 25 mai 2016, https://autoriteitpersoonsgegevens.nl/en/news/mediation-dutch-dpa-concerning-delisting-search-results-google.
  • 22.
    Rapport d’activité pour 2015 de la Garante per la protezzione dei dati personali.
  • 23.
    ICO, Enforcement Notice dated 18 August 2015, Google Inc., https://ico.org.uk/media/action-weve-taken/enforcement-notices/1560072/google-inc-enforcement-notice-102015.pdf.
  • 24.
    Conclusions Bretonneau A. sur CE, ass., 24 févr. 2017, nos 391000, 393769, 399999 et 401258.
  • 25.
    Conclusions Bretonneau A., préc.
  • 26.
    Idem.
  • 27.
    Faits relatés dans les conclusions de Bretonneau A., rapporteure publique sur ces affaires.
  • 28.
    Les conclusions du rapporteur public dans ces affaires apportent les précisions suivantes sur la compétence du juge administratif : « De la compétence de la Cnil pour connaître des quatre plaintes découle la compétence de la juridiction administrative pour connaître des quatre refus d’y faire droit, quand bien même elle entraîne un certain recoupement des offices entre juge administratif et juge judiciaire. Le législateur n’est pas intervenu, en matière de fichiers, pour déroger aux règles de partage entre ordres juridictionnels qui découlent de la conception française de la séparation des pouvoirs et fait ressortir de la compétence naturelle du juge administratif le contrôle des décisions prises par les autorités administratives. Il en résulte que, tandis que les personnes qui s’estiment lésées dans leurs droits par un responsable de traitement personne privée peuvent l’assigner directement devant le juge judiciaire, notamment des référés, pour qu’il enjoigne de faire cesser ce manquement, vous êtes toujours compétents pour connaître des décisions de la Cnil statuant sur une plainte, quand bien même elle a pour origine un litige entre personnes privées (v., pour la décision de ne pas donner suite à une plainte formée par un particulier et relative au fichier géré par une association, CE, 28 juill. 2000, n° 210311, Mme Troyon,). Cette combinaison des compétences, que l’on retrouve en Espagne, produit un effet curieux en matière de déréférencement : celui-ci étant de droit dès lors que la balance des intérêts n’y fait pas obstacle, et la CJUE ayant chargé l’autorité de contrôle de faire usage de ses pouvoirs en cas de refus d’y procéder, il y a dans cet aspect de la mission du régulateur une forme d’automaticité, et en contrôlant son refus de faire droit à une demande, vous vous prononcez presque directement, malgré le filtre que constitue la prise de position de la Cnil, sur le droit au déréférencement – le même dont pourrait connaître le juge judiciaire si le demandeur s’avisait de le saisir, ce que l’intervention préalable de la Cnil, vous pourrez le préciser, ne lui interdit pas. » Bretonneau A., préc.
  • 29.
    Conclusions Bretonneau A., préc.
  • 30.
    SL, Google Inc. contre Agencia Espanola de Proteccion de Datos, Mario Costeja Gonzalez (C-131/12), analysé en première partie.
  • 31.
    Pts 1 à 5 de l’arrêt du Conseil d’État ici analysé.
  • 32.
    Aux termes duquel : « Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel », et de l’article 7 de cette même directive, aux termes duquel : « Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si : / (…) f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 ». Elle a ainsi dit pour droit qu’« afin de respecter les droits prévus par ces dispositions, et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite ».
  • 33.
    Comme la Cour de justice, le Conseil d’État rappelle que selon l’article 28 de la directive du 24 octobre 1995 : « 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive. / Ces autorités exercent en toute indépendance les missions dont elles sont investies. (…) 4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande. / Chaque autorité de contrôle peut, en particulier, être saisie par toute personne d’une demande de vérification de la licéité d’un traitement lorsque les dispositions nationales prises en vertu de l’article 13 de la présente directive sont d’application. La personne est à tout le moins informée de ce qu’une vérification a eu lieu ». Dans son arrêt de 2004 étudié plus haut, la Cour de justice de l’Union européenne a dit pour droit que : « Les demandes au titre des articles 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46 peuvent être directement adressées par la personne concernée au responsable du traitement qui doit alors dûment examiner le bien-fondé de celles-ci et, le cas échéant, mettre fin au traitement des données en cause. Lorsque le responsable du traitement ne donne pas suite à ces demandes, la personne concernée peut saisir l’autorité de contrôle ou l’autorité judiciaire pour que celles-ci effectuent les vérifications nécessaires et ordonnent à ce responsable des mesures précises en conséquence ».
  • 34.
    Aux termes de l’article 11 de la loi du 6 janvier 1978 : « La Commission nationale de l’informatique et des libertés (…) exerce les missions suivantes : / (…) 2° Elle veille à ce que les traitements de données à caractère personnel soient mis en œuvre conformément aux dispositions de la présente loi. / À ce titre : / (…) c) Elle reçoit les réclamations, pétitions et plaintes relatives à la mise en œuvre des traitements de données à caractère personnel et informe leurs auteurs des suites données à celles-ci. (…) ». Le Conseil en déduit que, sans préjudice des voies de recours ouvertes devant le juge judiciaire s’agissant des litiges opposant des particuliers aux exploitants d’un moteur de recherche, la Cnil est compétente pour connaître des plaintes formées à la suite d’une décision de refus de déréférencement opposée par l’exploitant d’un moteur de recherche et, le cas échéant, pour mettre en demeure celui-ci de faire droit à la demande de déréférencement. Ce pouvoir s’exerce, eu égard à la nature des droits individuels en cause, sous l’entier contrôle du juge de l’excès de pouvoir.
  • 35.
    V. l’étude annuelle du Conseil d’État en 2004 sur ces sujets, La Documentation française 2015.