Par un arrêt du 19 juillet 2017[1], le Conseil d’Etat renvoie une nouvelle fois à la Cour de justice de l'Union européenne (CJUE) le soin de trancher les difficultés sérieuses d’interprétation du droit de l’Union[2] que pose le droit au déréférencement.

Ce droit, consacré par la CJUE par un arrêt du 13 mai 2014[3], se définit comme le droit d’obtenir de l’exploitant d’un moteur de recherche la suppression de la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

Ses contours ne sont toutefois pas nettement précisés.

Ainsi, le Conseil d’Etat, statuant en Assemblée, a soumis récemment à la CJUE une série de questions préjudicielles concernant l’application à l’exploitant d’un moteur de recherche, en sa qualité de responsable de traitement, de l’interdiction de traiter des données personnelles dites sensibles, soit celles :

o  qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou l’appartenance syndicale ou qui sont relatives à la santé et à la vie sexuelle ;

o  relatives aux infractions, aux condamnations pénales ou aux mesures de sûreté[4].

Ici, c’est la question de la portée territoriale de ce droit qui a été posée à la haute juridiction et que celle-ci renvoie à la CJUE : la demande de déréférencement implique-t-elle que ce déréférencement soit opéré sur l’ensemble des extensions nationales du moteur de recherche, de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel cette recherche est lancée, y compris hors du champ d’application territorial du droit de l’Union européenne.

En l’espèce, par une décision du 21 mai 2015, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure la société Google Inc., lorsqu’elle faisait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche. Par une délibération en date du 10 mars 2016, après avoir constaté que la société ne s’était pas, dans le délai imparti, conformée à cette mise en demeure, la formation de CNIL a prononcé à son encontre une sanction, rendue publique, de 100 000 euros. La société Google Inc. demande l’annulation de cette délibération.

Le Conseil d’Etat relève dans un premier temps que le moteur de recherche en cause constitue un traitement de données à caractère personnel unique dès lors que :

-         Le moteur de recherche exploité par la société Google Inc. est décliné en différents noms de domaine par des extensions géographiques, afin d’adapter les résultats affichés aux spécificités, notamment linguistiques, des différents pays dans lesquels elle exerce son activité ;

-         Lorsque la recherche est effectuée depuis « google.com », la société Google Inc. procède, en principe, à une redirection automatique de cette recherche vers le nom de domaine correspondant au pays à partir duquel cette recherche est, grâce à l’identification de l’adresse IP de l’internaute, réputée effectuée

-         Toutefois, indépendamment de sa localisation, il reste loisible à l’internaute d’effectuer ses recherches sur les autres noms de domaine du moteur de recherche.

-         Par ailleurs, si les résultats peuvent différer selon le nom de domaine à partir duquel la recherche est effectuée sur le moteur, il est constant que les liens affichés en réponse à une recherche proviennent de bases de données et d’un travail d’indexation communs.

Mais la Haute Juridiction s’abstient de répondre sur l’étendue du déréférencement. La conséquence de la qualification de traitement unique devrait a priori être l’obligation de déréférencer les liens litigieux quelles que soient les occurrences nationales du moteur de recherche puisque la base de données est commune.

Le droit au déréférencement prétendra-t-il ainsi à l’universalité ? On attendra la réponse avec impatience.

 

 

[1] CE 19 juillet 2017, 10e et 9e Ss réunies, n° 399922, Google Inc.

[2] La Directive n° 95/46 du 24 octobre 1995 telle qu’interprétée par la CJUE

[3] CJUE 13 mai 2014 Google Spain Sl, Google Inc. / Agencia Espagnola de Proteccion de Datos, Mario Costeja Gonzales (C-131/12)

[4] CE Ass., 24 février 2017, n° 391000, 393769, 399999, 401258, Mme C, M. F, M. H, M. D