En janvier 2019[1] (voir notre article sur le sujet), la société Google était condamnée à la plus grosse amende jamais prononcée par la CNIL (50 millions d’euros). Dans cette nouvelle affaire, elle échappera à toute sanction ! Pour mieux la comprendre, il faut remonter quelques années en arrière.
Le 10 mars 2016[2], par une délibération de la formation restreinte de la CNIL, la société Google Inc., exploitant le moteur de recherche Google, a été sanctionnée à hauteur de 100.000 euros, après une mise en demeure[3] demeurée infructueuse, de procéder au déréférencement du nom et prénom de plusieurs personnes physiques sur l’ensemble de ses extensions. Rappelons que le déréférencement est la technique qui permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête (pour faciliter cette démarche, Google Inc. met à disposition un formulaire spécifique en ligne).
Plus précisément, il était reproché à la société Google Inc. d’avoir violé le droit pour une personne de s’opposer à ce que ses données personnelles fassent l’objet d’un traitement en vertu des articles 38 et 40 de la loi informatique et libertés (dans leur ancienne rédaction[4]). En effet, Google Inc. refusait de déréférencer les liens renvoyant au contenu litigieux sur l’ensemble des extensions de son moteur de recherche et n’acceptait de le faire que pour celles des pays européens. Autrement dit, en reprenant le nom et prénom des personnes concernées, quiconque pouvait avoir accès aux pages web litigieuses à partir d’une extension non-européenne du moteur de recherche.
Au soutien de sa position, Google Inc. insistait notamment sur le fait que (i) la CNIL excédait ses pouvoirs en voulant imposer une mesure ayant une portée extraterritoriale et (ii) qu’un déréférencement mondial contrevenait de manière disproportionnée à la liberté d’expression de l’auteur du contenu et à la liberté d’information des internautes (puisqu’en supprimant les liens renvoyant vers le contenu litigieux, ce dernier ne serait plus accessible ni visible depuis Google, le plus gros moteur de recherche au monde).
Google Inc. a introduit un recours auprès du Conseil d’État dans le but obtenir l’annulation de la sanction dont elle faisait l’objet. Par un arrêt du 19 juillet 2017[5], le Conseil d’État a transmis à la Cour de Justice de l’Union Européenne (CJUE) trois questions préjudicielles à des fins de clarification de l’interprétation du droit européen. Le 24 septembre 2019[6], la CJUE a rendu un arrêt favorable à l’interprétation de Google Inc. L’affaire étant en état d’être jugée, le Conseil d’État a rendu son arrêt le 27 mars 2020 et a précisé la portée territoriale du droit au déréférencement.
1/ Principe : l’absence d’un droit au déréférencement mondial
Dans un premier temps, le Conseil d’État rappelle la portée géographique du droit au déréférencement, précisée par la CJUE dans son arrêt du 24 septembre 2019. À cet égard, la Cour disposait que « lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des Etats membres » (§73). La Cour ajoutait que cette mesure de déréférencement pouvait être accompagnée de mesures permettant d’empêcher ou de décourager les internautes effectuant une recherche, d’avoir accès aux liens litigieux.
Or, le Conseil d’État expose que la formation restreinte de la CNIL a sanctionné la société Google Inc. au motif qu’elle refusait de faire droit à une demande de déréférencement sur l’ensemble des noms de domaine de son moteur de recherche et se bornait à supprimer les liens en cause des seuls résultats affichés sur ses extensions européennes. Qui plus est, la CNIL estimait insuffisant le mécanisme de géo-blocage proposé par Google Inc. en complément de son déréférencement à l’échelle de l’Union européenne.
Ainsi, transposant le raisonnement de la CJUE, le Conseil d’État ne fait pas droit à l’interprétation de la CNIL. Il juge, en effet, qu’en sanctionnant la société Google Inc. au motif que seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche pourrait répondre à l’exigence de protection des données personnelles telle que consacrée par la CJUE, « la formation restreinte de la CNIL a entaché la délibération en cause, d’erreur de droit[7] » (§7).
2/ Exception : un droit au déréférencement mondial à l’issue d’une mise en balance des intérêts minutieuse
Si le principe tient à l’absence d’un droit au déréférencement mondial, le Conseil d’État y apporte, toutefois, quelques nuances :
- Reprenant les arguments invoqués en défense par la CNIL, le Conseil d’État rappelle que la CJUE précisait dans l’arrêt précité[8] que «si (…) le droit de l’Union n’impose pas, en l’état actuel, que le déréférencement auquel il serait fait droit porte sur l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus » (§72). Elle ajoute, néanmoins, que si les autorités de contrôle ou judiciaires d’un Etat membre demeurent compétentes pour enjoindre un déréférencement mondial, c’est à la condition qu’ « une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information » (§72), ait été réalisée au préalable. En d’autres termes, cette mise en balance implique de mesurer de manière casuistique l’ampleur de l’atteinte aux droits susmentionnés dans l’hypothèse où le déréférencement mondial serait prononcé et, à l’inverse, dans le cas où il ne le serait pas. À l’issue de cette analyse, il en résultera généralement que le droit le touché par la décision l’emportera sur l’autre.
- Par ailleurs, le Conseil d’État rappelle que lorsqu’il est saisi d’une requête dirigée contre une sanction prononcée par la CNIL et que celle-ci aurait pu être prise sur un autre fondement que celui retenu par l’autorité de sanction, le juge administratif peut substituer la base légale de la décision attaquée « sous réserve que la personne sanctionnée [ici la société Google Inc.] ait disposé des garanties dont est assortie l’application du texte sur le fondement duquel la décision aurait dû être prononcée »[9] afin que celle-ci ne soit plus entachée d’erreur de droit.
Appliqué à l’espèce, le Conseil d’État rejette la demande de la CNIL tenant à la substitution du fondement initialement choisi pour sanctionner la société Google Inc. par le raisonnement de la CJUE reconnaissant aux autorités de contrôle nationales le pouvoir d’ordonner un déréférencement sur l’ensemble des versions du moteur de recherche. Pourquoi ? Parce que le Conseil d’État observe qu’en l’état actuel du droit, le législateur français n’a pas adopté de dispositions législatives permettant d’ordonner un déréférencement hors de l’Union européenne. Il estime, ainsi, qu’un fondement jurisprudentiel n’est pas valable pour réaliser cette substitution. En outre, quand bien même ce fondement le serait, le Conseil d’État souligne que la faculté d’exiger un déréférencement mondial ne peut être ouverte qu’au terme d’une balance des intérêts, chose que la formation restreinte de la CNIL n’a pas effectué.
Eu égard à ce qui précède, le Conseil d’État juge qu’un déférencement mondial ne peut être ordonné par la CNIL et que, par voie de conséquence, la société Google Inc. est fondée à demander l’annulation de la délibération attaquée.
3/ Le résultat incertain d’une future mise en balance des intérêts
Si le raisonnement entrepris par le Conseil d’État semble tout à fait cohérent au regard du droit européen et eu égard à l’absence de mise en balance des intérêts, on peut, toutefois, regretter qu’il ne se soit pas prononcé sur les mesures de géo-blocages mises en œuvre par Google Inc. à l’issue de sa mise en demeure. En effet, ces dernières semblaient permettre de bloquer l’accès aux liens litigieux pour les adresses IP réputées localisées dans l’Etat de résidence du bénéficiaire du droit au déréférencement à la suite d’une recherche effectuée à partir de son nom et ce, indépendamment de la déclinaison du moteur de recherche utilisée par l’internaute. Dès lors, il aurait été intéressant de voir si, à l’issue de la mise en balance des intérêts, ces mesures de géo-blocages auraient été considérées comme suffisantes pour faire droit aux arguments de Google Inc. et pour refuser de prononcer le déréférencement mondial.
En tout état de cause, il reste désormais à savoir comment cette mise en balance sera mise en œuvre par les différentes autorités nationales de protection des données personnelles. De son côté, dans sa délibération de 2016[10], la CNIL avait d’ores et déjà relevé que ces mesures n’étaient pas satisfaisantes en ce sens que l’information déréférencée demeurait consultable par tout internaute situé en dehors du territoire concerné par la mesure de filtrage et, d’autre part, qu’un contournement de cette mesure par les utilisateurs concernés restait possible (par exemple, en utilisant un VPN).
Droit du Partage continuera naturellement de suivre ces sujets pour vous.
_________________________________
[1] Délibération n°SAN-2019-001 du 21 janvier 2019 Délibération de la formation restreinte n° SAN – 2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société GOOGLE LLC.
[2] Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l’encontre de la société X.
[3] Décision n° 2015-047 du 21 mai 2015 mettant en demeure la société X.
[4] Aujourd’hui, « le droit à l’effacement » ou aussi dit « droit à l’oubli » est consigné à l’article 17 du Règlement sur la protection des données à caractère personnel (RGPD) et 40 de la loi informatique et libertés.
[5] CE, Section du contentieux, 10ème et 9ème chambres réunies ,19 juillet 2017, Google Inc., décision N°399922.
[6] CJUE (grande chambre), 24 septembre 2019, Google LLC contre Commission nationale de l’informatique et des libertés (CNIL), affaire C-507/17.
[7] L’erreur de droit peut résulter d’un détournement de procédure ou d’un défaut de base légale (par exemple, lorsque, comme en l’espèce, l’administration n’a pas fondé sa décision sur la bonne norme).
[8] CJUE (grande chambre), 24 septembre 2019, Google LLC contre Commission nationale de l’informatique et des libertés (CNIL), affaire C-507/17.
[9] Cette substitution se fait soit à la demande des parties soit de la propre initiative du juge (et dans cette seconde hypothèse, uniquement si les parties ont eu la possibilité de présenter des observations sur ce point).
[10] Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l’encontre de la société X.
Droit du partage 