Par une décision du 27 mars 2020[1], le Conseil d’État a apporté des précisions sur la portée territoriale du droit au déréférencement. Il a annulé une délibération[2] de la Commission nationale de l’informatique et des libertés (CNIL) prononçant une sanction, rendue publique, d’un montant de 100.000 euros à l’encontre de la société Google Inc. Après avoir reçu environ 80.000 demandes en France, cette société refusait d’effectuer un déréférencement sur l’ensemble des noms de domaine de son moteur de recherche, autrement dit, d’opérer un déréférencement à l’échelle mondiale. Le Conseil d’État a jugé à l’appui des réponses apportées par la CJUE[3] à ses trois questions préjudicielles, d’une part, qu’aucune disposition issue du droit positif n’autorise un déréférencement mondial ; et d’autre part, qu’une telle faculté serait nécessairement subordonnée à une mise en balance entre le droit à l’oubli de la personne concernée et le droit à l’information.
Rappel des faits
A la suite d’une mise en demeure restée infructueuse, la société Google Inc. s’est vue infliger une amende de 100.000 euros par la formation restreinte de la CNIL. La société Google Inc. a demandé l’annulation de la délibération litigieuse n° 2016-054 du 10 mars 2016 auprès du Conseil d’État.
Par une décision du 19 juillet 2017, le Conseil d’État a sursis à statuer et a posé trois questions préjudicielles à la CJUE dans le cadre de l’article 267 du TFUE[4]. Ces questions tendaient à préciser les conditions d’application du droit au déréférencement et notamment sur l’interprétation du droit de l’Union relatif à la protection des données à caractère personnel.
Les juges du Palais Royal ont ainsi interrogé la CJUE sur l’action à mener par l’exploitant d’un moteur de recherche en cas de demande de déréférencement. Cet exploitant doit-il opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de recherche, ou bien le déréférencement se limite-t-il à l’ensemble des États membres, ou encore s’il est circonscrit uniquement au niveau de l’État membre du ressortissant à l’origine de la demande.
Cette série de questions offre l’occasion de clarifier l’étendue du champ d’application du droit au déréférencement, dans une société mondiale animée (assujettie ?) par le développement de la dématérialisation qui contribue à l’accroissement des flux de Big data dans de nombreux secteurs tant juridiques qu’extra-juridiques.
Une réponse apportée à double échelle : mondiale et européenne
Par un arrêt C-507/17 du 24 septembre 2019, la CJUE s’est prononcée sur cette question de l’étendue territoriale du droit au déréférencement, droit consacré par la CJUE dans son célèbre arrêt « Google Spain »[5].
La Cour rappelle que le droit au déréférencement est fondé sur l’article 17 du Règlement du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD).
Cet article permet à la personne concernée, d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs légitimes listés à cet article s’applique.
1/ A l’échelle mondiale, l’exploitant d’un moteur de recherche n’est pas dans l’obligation de procéder à un déréférencement d’une telle ampleur.
La Cour relève en effet que le législateur de l’Union n’a pas fait le choix de conférer au droit au déréférencement « une portée qui dépasserait le territoire des États membres » (pt. 62). La Cour conclut ainsi que « en l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, (…) pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur » (pt. 64).
La Cour de Luxembourg nuance ce constat et souligne qu’aucune disposition issue du droit de l’Union interdit aux autorités nationales d’instaurer un déréférencement mondial (pt. 72). Dès lors, libre à chaque État membre d’ajuster son échelle de contrôle en faisant jouer sa marge de manœuvre étatique.
2/ A l’échelle européenne, en revanche, dans cet objectif d’uniformisation du droit des États membres et afin d’assurer un niveau élevé de protection, la Cour indique que le droit au déréférencement doit s’opérer sur l’ensemble du territoire des États membres (pt.66).
Enfin, la Cour précise que peu importe l’échelle de contrôle choisie, les autorités compétentes de chaque État membre devront opérer « une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur » (pt. 66 à 72).
La délibération de la CNIL censurée par le Conseil d’État
Fort des éclaircissements apportés par la CJUE, le Conseil d’État a annulé la délibération de la CNIL pour erreur de droit au motif d’une part, que la demande de déréférencement mondial n’était fondée sur aucun texte (pt. 7) ; et d’autre part, à considérer le déréférencement envisageable, la CNIL n’avait procédé à aucune mise en balance des intérêts en présence faisant échec à une éventuelle substitution de base légale de la part du juge administratif (pt. 9 et 10).
Il ressort de cette décision, que le Conseil d’État ne ferme pas entièrement la porte à l’obtention d’un déréférencement mondial, si la mise en balance entre le respect au droit à la vie privée et le droit à l’information est régulièrement effectuée par la CNIL, autorité compétente en France, et si l’Etat membre dont relève le requérant a pris une position législative plus sévère, imposant un déréférencement à l’échelle mondiale.
En l’espèce, le Conseil d’État se trouve dans l’obligation de faire droit à la demande d’annulation de la société Google, société déjà épinglée par la CNIL à plusieurs reprises.
Pour rappel, la CNIL avait prononcé une sanction record de 50 millions d’euros à l’encontre de la société Google LLC en application du RGPD pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité[6].
A l’heure où la mise en place d’une application de GeoTracking pour endiguer l’épidémie du COVID 19, fait débat quant au respect de la vie privée des individus, la société Google « peine » (ou rechigne) à se mettre en conformité avec les dispositions du RGPD. En effet, elle poursuit le stockage et le traitement de données personnelles (géolocalisation, recherches Internet, historique youtube etc.), de milliards d’utilisateurs à travers le monde, dont le contrôle s’avère difficile.
L’on mesure ici les effets délétères d’un Etat de droit hypertrophié, profitant à souhait non pas aux personnes, mais aux multinationales déterritorialisées.
[1] Conseil d’État, sect., 27 mars 2020, Google Inc., n° 399922
[2] Délibération de la CNIL n° 2016-054 du 10 mars 2016
[3] CJUE, 24 septembre 2019, Google LLC c/ CNIL n° C-507/17
[4] Traité sur le Fonctionnement de l’Union Européenne
[5] CJUE, 13 mai 2014, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos, n° C‑131/12
[6] Délibération n°SAN-2019-001 du 21 janvier 2019