Une avancée considérable en matière de protection des données personnelles a été consacrée par la Cour de justice de l’Union européenne (CJUE) en mai 2014[1] : le doit à l’oubli donne la possibilité aux personnes physiques de solliciter des moteurs de recherche, sous certaines conditions,  le déréférencement de liens apparaissant dans les résultats de recherche effectués à partir de leurs noms.

Depuis cet arrêt, environ 2.000 demandes de déréférencement ont été reçues, la plupart d’entre elles  concernant Google.

Face aux suppressions limitées par Google aux seules extensions européennes de son nom de domaine, la Commission Nationale de l’Informatique et des Libertés (CNIL) a mis en demeure Google, le 12 juin 2015, de procéder au déréférencement des demandes que le moteur de recherche a favorablement accueillies sur toutes les extensions de son nom de domaine, dans les 15 jours de la notification de cette mise en demeure.

Google a formé un recours gracieux à l’encontre  de cette mise en demeure, prétextant que la solution de l’arrêt de la CJUE ne pouvait s’appliquer aux versions non européennes de Google, sauf à vouloir faire une application extraterritoriale de la jurisprudence communautaire.

Le 21 septembre 2015, la CNIL a rejeté ce recours gracieux et la motivation de ce refus est sans appel : dès lors que Google a accueilli une demande de déréférencement, celui-ci doit s’opérer sur toutes les extensions du nom de domaine du moteur de recherche. Les extensions n’étant que des chemins d’accès différents à un seul traitement de données, le déréférencement ne peut pas se limiter aux seules extensions correspondant au lieu de résidence de la personne ayant sollicité le déréférencement ; une telle restriction géographique revenant à priver d’effet utile la solution dégagée par l’arrêt de la CJUE.

Comment imaginer, en effet, que le « droit à l’oubli » puisse être véritablement consacré si une personne bénéficie d’un déréférencement seulement sur le « .fr » alors qu’il est possible de retrouver toutes les  données la concernant (et dont la suppression a été, sur le principe, acceptée par le moteur de recherche) simplement en accédant au « .com » du même moteur de recherche ?

 Il ne s’agit pas pour la CNIL de faire preuve d’impérialisme en faisant application de la solution de l’arrêt du 13 mai 2014 en dehors des frontières françaises et européennes mais de  « demander le plein respect du droit européen par des acteurs non européens offrant leurs services en Europe ».

En cela, la CNIL s’inscrit d’ailleurs dans la droite ligne de la position commune adoptée, le 26 novembre 2014, par le G29[2], dans ses lignes directrices  consacrées aux suites de l’arrêt du 13 mai 2014[3] : «En vue d’assurer la pleine effectivité du droit à la protection de ses données personnelles par un sujet tel que défini par l’arrêt de la Cour, les décisions de déréférencement doivent être mises en œuvre d’une telle manière qu’elles offrent la garantie d’une protection effective et complète des données de la personne, sans permettre un contournement du droit européen. Dans ce sens, restreindre le déréférencement au noms de domaine « européens » au motif que les utilisateurs cherchent seulement à accéder à leurs moteurs de recherche via leurs noms de domaines « nationaux » ne peut être considéré comme de nature à garantir de manière satisfaisante  et conforme à la décision les droits des personnes à la protection de leurs données. En pratique, cela signifie que tout déréférencement doit être effectif sur tous les noms de domaine pertinents, y compris les “.com ».

Dans ces conditions, on ne voit pas ce que Google pourrait encore invoquer pour refuser de mettre en œuvre le « droit à l’oubli » consacré par la CJUE, dans sa conception absolue  - la seule compréhensible au regard de l’impératif de protection des données personnelles des ressortissants européens sur Internet.

Et ce d’autant que, par ailleurs, un certain nombre de garde-fous existent déjà pour veiller à ce que, dans la mise en œuvre du « droit à l’oubli », un équilibre soit trouvé entre la protection de la vie privée d’une part et l’intérêt du public à avoir accès à l’information, d’autre part.

Nul doute que Google, en persistant dans son refus de procéder au déréférencement sur toutes ses extensions, s’exposerait à une dérive contentieuse et à des sanctions potentielles.  En tout cas, les chantres de la protection de la vie privée aux Etats-Unis – dont les voix peinent à se faire entendre auprès des autorités américaines – suivent avec grande attention les derniers développements sur le « droit à l’oubli », dans l’espoir qu’il trouve un écho outre-atlantique.

                                                                                                          par Sarah Temple-Boyer, Avocat

 

[1] CJUE C-131/12 du 13 mai 2014 Google Spain SL et Google Inc. V. Agencia Espanola de Proteccion de Datos (AEPD) et Mario Costeja Gonzales

[2] Le groupe de travail “G29” réunit les représentants des différentes autorités nationales pour la protection des données personnelles en Europe

[3] Guidelines on the implementation of the Court of Justice of the European Union Judgment on  Google Spain SL et Google Inc. V. Agencia Espanola de Proteccion de Datos (AEPD) et Mario Costeja Gonzales, C 131/12  - dated November, 26, 2014