C’est à la lumière de l’interprétation de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, qui garantissent le respect de la vie privée et le droit à la protection des données à caractère personnel, que la Cour de justice de l’union européenne (CJUE), dans son arrêt du 13 mai 2014, a qualifié un moteur de recherche comme responsable de traitement de données à caractère personnel et condamné Google à supprimer de son index des liens renvoyant à des contenus litigieux, consacrant alors le droit au déréférencement.
Ce droit permet aux citoyens et résidents européens de demander la suppression des résultats de recherches basées sur leur nom qui seraient « insuffisants, non pertinents, obsolètes ou excessifs au regard des finalités pour lesquelles elles sont collectées » par le biais d’un formulaire, sous réserve que cette demande procède d’un motif légitime et d’un équilibre entre la protection des données personnelles, le droit à l’information du public et la liberté d’expression.
Un droit en construction et a fortiori limité
Si cette décision a marqué une réelle avancée vers un droit « à l’oubli » numérique encore à l’étude au sein du projet de règlement européen portant sur la réforme du régime de protection des données, le droit au déréférencement n’est pas absolu. En effet, son exercice ne consiste pas en la suppression totale de l’information, c’est à dire du site internet source où elle est publiée, mais de certains résultats indexés sur un moteur de recherche lorsque la recherche est basée sur le nom de la personne demanderesse. Par conséquent, le contenu reste accessible sur le site source ou en effectuant une recherche basée sur d’autres mots clés.
D’autre part, l’opportunité de la suppression du contenu litigieux relève de l’appréciation du responsable de traitement des données personnelles. Google peut donc refuser le déréférencement du lien ayant fait l’objet de la demande.
En l’espèce, la position adoptée de manière récurrente par Google pour justifier ses refus s’appuie sur la notion de publication. Puisque toute information mise sur l’internet constitue une publication, sa suppression s’oppose au droit du public à pouvoir y accéder, d’autant plus que la demande de déréférencement n’implique pas d’avoir subit un préjudice préalable. En cas de refus du moteur de recherche de procéder au déréférencement, les internautes ont la possibilité de se rendre sur le site de la Commission nationale de l’informatique et des libertés (CNIL), l’autorité de contrôle de protection des données en France, afin d’y déposer une plainte. Le refus peut également être contesté devant les juridictions nationales et communautaires.
Devant ces applications parcellaires de l’arrêt de la CJUE, les autorités européennes de protection des données ont formé un groupe de travail, le G29, conformément à l’article 29 de la directive 95/46/CE, afin d’encadrer et contrôler sa mise en œuvre. Ce dernier a, en ce sens, publié un avis le 26 novembre 2014 dans lequel il a adopté les lignes directrices pour assurer son application harmonisée.
Le Groupe considère notamment qu’afin d’assurer l’entière protection des droits fondamentaux des citoyens et résidents européens, les décisions de déréférencement ne doivent pas être partielles, et par là même, ne doivent pas donner lieu à des possibilités de contournement. S’intéressant aux effets territoriaux des décisions de déréférencement, le G29 insiste sur le fait que « limiter le déréférencement aux extensions européennes des moteurs de recherche en considérant que les utilisateurs effectuent généralement des requêtes à partir des extensions nationales du moteur ne garantit pas l’application de ce droit de manière satisfaisante ». Cela implique « qu’en pratique, le déréférencement devra être effectif sur tous les noms de domaines pertinents, y compris le nom de domaine.com ». Loin de prôner une application extraterritoriale de l’arrêt de la CJUE, le G29 recommande de conférer au droit au déréférencement un caractère universel.
La CNIL contre Google : deux approches du déréférencement diamétralement opposées
La CNIL, après avoir été saisie de plaintes de personnes s’étant vu refuser l’application de leur droit au déréférencement par Google, a enjoint la société de faire droit à leurs demandes en demandant expressément « que le déréférencement soit réalisé sur l’ensemble du moteur de recherches, quelles que soit l’extension de celui-ci ».
Devant la persistance de Google de ne pas appliquer le déréférencement à toutes les extensions géographiques, la CNIL, par la voix de sa présidente Isabelle Falque-Pierrotin, a procédé à la mise en demeure de la société Google Inc. le 21 mai 2015, aux motifs que « le service proposé via le moteur de recherche « Google search » correspond à un traitement unique » et que « les différents noms de domaine que la société a choisi d’utiliser afin de féliciter localement l’utilisation de son service ne représentent que des chemins d’accès techniques ».
La société, qui disposait de quinze jours suivant la mise en demeure pour se mettre en conformité avec les exigences de la loi du 6 janvier 1978, avait déjà été condamnée par la CNIL en 2014 à une sanction dérisoire de 150 000 euros pour plusieurs manquements à la loi de 1978.
Le 30 juin 2015, Google a formulé un recours gracieux auprès de la CNIL, dans lequel la société qualifiait l’évolution de la situation comme « troublante », évoquant des « risques particulièrement effrayants pour le web ». La société mettait en avant le fait que la CNIL ne pouvait formuler des décisions produisant des effets dans les pays tiers à l’Union européenne, réitérant sa position à propos de la régulation de l’internet, où aucune règle de portée internationale ne s’impose en matière de droit au déréférencement.
Sans surprise, la CNIL a décidé, le 21 septembre dernier, de rejeter le recours gracieux formé par Google à l’encontre de sa mise en demeure, en reprenant les motivations. L’autorité de régulation s’est également prononcée, en réponse au recours gracieux de Google, sur sa volonté d’imposer le déréférencement aux autres extensions géographiques. Elle précise à ce sujet, que « cette décision ne traduit pas une volonté d’application extraterritoriale du droit français par la CNIL. Elle se borne à demander le plein respect du droit européen par des acteurs non européens offrant leurs services en Europe ». Il est vrai que l’on peut se demander quel intérêt peut revêtir l’exercice du droit au déréférencement s’il reste possible d’en contourner ses effets.
Ce contentieux s’explique en partie par les différentes conceptions du domaine de la protection des données à caractère personnel au niveau mondial. L’approche européenne tend à une reconnaissance et une consécration forte du droit au référencement. Cela est due notamment au fait qu’un niveau de protection élevé des données personnelles assure de concert la protection des valeurs qui sont le fondement de l’Union Européenne, telle que la vie privée.
Outre-Atlantique, et plus particulièrement aux Etats-Unis, la notion de vie privée ne revêt clairement pas les mêmes attributs. Le « right to privacy » constitue pour les américains une extension du droit de propriété, contrairement à l’Europe où la vie privée se rattache aux droits de la personnalité. Par conséquent, les données à caractère personnel apparaissent pour Google comme des biens à valeur marchande, tandis qu’à l’inverse, la CNIL les perçoit comme consubstantiels à la personne.
Loin de vouloir conférer à ses décisions une portée extraterritoriale, la CNIL ne fait que mettre en lumière les difficultés liées à l’application du droit au déréférencement et par là même, à son effectivité.
La nécessité d’imposer un cadre juridique universel et contraignant pour rendre le droit au déréférencement effectif
Le caractère normatif des décisions de jurisprudence communautaire est largement établi. Néanmoins, l’application des obligations qu’elles entrainent soulève bien des écueils, comme l’illustre parfaitement le contentieux entre la CNIL et Google.
Tout d’abord, la question de son effectivité se pose du point de vue de sa mise en œuvre. Les intérêts en jeux paraissent difficilement conciliables, puisqu’en l’espèce, Google examine s’il est opportun de retirer les résultats qu’il indexe lui même. De plus, la CJUE n’a pas suffisamment précisé la portée du droit au référencement. Comme le fait valoir la CNIL, l’exercice de ce droit ne doit pas s’analyser au regard du mode d’interrogation du moteur de recherche mais de l’activité du responsable de traitement des données.
De surcroit, l’efficacité d’une norme passe nécessairement par la sanction et son effet dissuasif. Or, en l’espèce, la CNIL n’a qu’un poids très relatif. Dans le cas présent, elle peut prononcer des amendes d’un montant maximal de 150 000 euros, voir 300 000 euros en cas de récidive. Une goutte d’eau comparé au chiffre d’affaire annuel de Google pour l’année 2014 : 66 milliards de dollars. Le très attendu projet de réforme européen devrait élargir les pouvoirs de sanction de la CNIL, qui pourrait alors prononcer des sanctions allant de 2% à 5% du chiffre d’affaire annuel.
Enfin, la question de son interprétation est à la fois centrale et apparaît aujourd’hui comme la plus importante. Du point de vue de la légitimité de la demande notamment, étant donné que Google contrôle lui même ce critère, la possibilité est donnée aux justiciables de saisir les juridictions nationales afin de contester, le cas échant, une décision de refus de la part de la société. A cette occasion, le Tribunal de grande instance de Paris a pu rendre une ordonnance en référé condamnant Google à faire droit à la demande formulée par une internaute, en décembre dernier. La CJUE, en prévoyant cela dans son arrêt, a bien eu conscience des lacunes de la procédure de demande de déréférencement, qui peut parfois être également dangereuse pour la liberté d’expression.
Il semble désormais plus que nécessaire qu’intervienne, si ce n’est l’adoption d’un cadre normatif précis pour encadrer le droit au déréférencement, un nouveau renvoi préjudiciel en interprétation portant principalement sur la conciliation des intérêts en balance durant cette procédure. Il serait également opportun, à propos de la portée du droit au déréférencement et son caractère universel, de faire de ces règles en devenir des règles dites « d’ordre public international », nécessaire préalable à leur application effective.
SOURCES :
ANONYME, « Isabelle Falque-Pierrotin (Cnil) : la protection des données personnelles est un droit fondamental », magazine-decideurs.com, publié le 30 septembre 2015, consulté le 3 octobre 2015,<http://www.magazine-decideurs.com/news/isabelle-falque-pierrotin-cnil-la-protection-des-donnees-personnelles-est-un-droit-fondamental>
ANONYME, « Droit au déréférencement : rejet du recours gracieux formé par Google à l’encontre de la mise en demeure », cnil.fr, publié le le 21 septembre 2015, consulté le 5 octobre 2015, < http://www.cnil.fr/linstitution/actualite/article/article/droit-au-dereferencement-rejet-du-recours-gracieux-forme-par-google-a-lencontre-de-la-mis/ >
BLOCHE (P.) et VERCHÈRE (P.), Rapport d’information déposé à l’Assemblée Nationale en application de l’article 145 du règlement en conclusion des travaux de la mission d’information commune sur les droits de l’individu dans la révolution numérique n° 3560, 22 juin 2011, mis en ligne le 24 juin 2011, consulté le 8 octobre 2015,< http://www.assemblee-nationale.fr/13/pdf/rap-info/i3560.pdf>
REES (M.), « Droit à l’oubli mondialisé : la CNIL rejette le recours gracieux de Google », nextinpact.com, publié le 22 septembre 2015, consulté le 10 octobre 2015, <http://www.nextinpact.com/news/96578-droit-a-l-oubli-mondialise-cnil-rejette-recours-gracieux-google.htm>