[box style=”5″]
Le Conseil d’Etat a rendu un arrêt le 24 février 2017 sur le droit au déréférencement institué par la Cour de Justice de l’Union avec l’arrêt Google Spain du 13 mai 2014. Conformément aux recommandations du rapporteur au Conseil, celui-ci a décidé d’interroger la Cour de Justice sur certains aspects de ce droit des utilisateurs, notamment sur le traitement de données sensibles, qui fait l’objet d’une réglementation particulièrement stricte.
[/box]
Le droit au déréférencement
Dans son arrêt Google Spain du 13 mai 2014, la Cour de Justice de l’Union européenne a estimé qu’en vertu de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement de leurs données personnelles, les personnes pouvaient s’opposer au référencement de pages contenant des données les concernant.
Plus précisément, la Cour a qualifié le moteur de recherche (en l’occurrence, le moteur Google) de responsable de traitement au sens de la directive 95/46/CE, en tant que « personne déterminant les finalités et les moyens de cette activité ». Partant, la Cour a dégagé de la directive le droit pour toute personne de demander le retrait d’un lien résultant d’une recherche faite à partir de son nom, si ce lien renvoie à une page contenant des données personnelles de la personne. Le moteur de recherche doit alors déterminer si l’équilibre entre la protection des données de la personne et le droit du public à l’information penche en faveur du retrait du lien ou non. Cette décision reste susceptible de recours devant l’autorité de contrôle compétente.
La décision
En l’espèce, plusieurs personnes avaient formé des recours devant la CNIL contre le refus du moteur de recherche Google de supprimer des liens qu’ils avaient signalés. La CNIL ayant décidé de clore ces dossiers sans donner de suite favorable aux requêtes formulées, certains se sont pourvus devant le Conseil d’Etat, sollicitant l’annulation pour excès de pouvoir des décisions de la CNIL écartant leurs demandes.
Les recours concernaient des demandes de retrait de liens redirigeant vers des informations très diverses. La première demande concernait un lien renvoyant à un photomontage qui mettait en scène la requérante aux côtés du maire dont elle était directrice de cabinet, et insinuait qu’ils auraient eu une relation intime, laquelle aurait eu une influence sur son parcours politique. La deuxième demande concernait des liens vers des articles de presse relatif au suicide d’une adepte de l’Eglise de scientologie mentionnant le requérant, alors responsable des relations publiques de l’Eglise. La troisième visait des articles de presse relatant les détails d’une mise en examen du requérant pour des questions de financement de partis politiques, qui s’est achevée sur un non-lieu. Enfin, le quatrième avait trait à des articles relatant l’audience correctionnelle d’un prévenu condamné pour agression sexuelle de mineurs.
Dans ces quatre affaires, les pages internet visées par les liens contenaient des données permettant d’identifier la personne (donc des données personnelles) et dévoilant des informations sensibles à son égard. Hors, ce type de données, souvent désigné comme « données sensibles », fait l’objet d’une réglementation spécifique au titre de la directive 95/46/CE et de sa transposition (loi du 6 janvier 1978). La collecte et le traitement de celles-ci sont interdits ou doivent être encadrés par des autorités publiques (pour les données relatives aux infractions pénales).
Le Conseil d’Etat demande à la CJUE :
- si les restrictions de traitement desdites données, prévues par la directive, s’appliquent au « régime spécifique » des moteurs de recherche, telle que défini par la CJUE au travers de sa décision Google Spain.
- Si oui : i) le moteur de recherche doit-il systématiquement accepter les demandes de suppression de liens visant des sites qui traitent des données sensibles, ii) le moteur de recherche peut-il refuser le déréférencement lorsque les exceptions à l’interdiction de traiter ces données s’appliquent, notamment lorsque la personne a donné son consentement au traitement, qu’elle les a rendues elle-même publiques, qu’elles sont nécessaires pour la défense ou l’exercice en justice d’un droit ou qu’elles sont traitées à des seules fins de journalisme ou d’expression artistique ou littéraire ?
- Si non : i) à quelles exigences de la directive les moteurs de recherche doivent-ils se plier, ii) si la page à laquelle le lien renvoie est illicite, le moteur de recherche doit-il faire directement droit à la demande, en tenir compte dans son appréciation de la demande de déréférencement, ou ne pas en tenir compte ? iii) Si la licéité a une influence sur l’appréciation de la demande, comment apprécier la licéité de la publication de données sensibles sur des pages dont les traitements n’entrent pas dans le champ d’application de la directive ?
- quelle que soit la réponse à la première question, lorsque les données visées par le lien sont inexactes, incomplètes ou obsolètes, notamment dans le cas d’informations concernant une procédure et ne correspondant plus à la réalité actuelle, le moteur de recherche doit-il procéder au déréférencement demandé ?
- Une page internet faisant état de condamnations ou de procédures judiciaires concernant une personne physique entre-t-elle dans le champ d’application des restrictions de traitement posées par la directive pour les données sensibles ?
Notre analyse
La première question, avec la référence au « régime spécifique » (point 17) des moteurs de recherche, témoigne de la prudence du Conseil d’Etat. En effet, la Cour de Justice a bien qualifié le moteur de recherche de responsable de traitement, ce qui devrait lui rendre applicable l’intégralité de la directive. Mais cette qualification elle-même soulève des interrogations : la Cour n’est parvenue à cette qualification qu’en déterminant que le moteur de recherche définissait « les moyens et les finalités » de l’activité impliquant le traitement des données personnelles visées.
Or, cela s’accorde difficilement avec la position antérieure de la Cour (arrêt du 23 mars 2010). Elle avait alors considéré que ce même moteur de recherche, Google, avait un rôle « purement technique, automatique et passif ». Il est difficile de concilier ces deux solutions. On comprend donc la précaution du Conseil d’Etat, qui aborde le régime ainsi accordé à Google par la décision de 2014 comme un cas spécifique, faisant notamment référence aux « conséquences excessives » (point 22) d’une possible interdiction qui serait faite à Google de traiter des données sensibles.
Par ailleurs, le Conseil d’Etat pose la question délicate de la relation entre l’obligation de déréférencement et la licéité de la page pointée par le lien litigieux. La réponse à cette question, encore jamais soumise à la Cour, sera essentielle au regard de la place que pourraient être amenés à prendre les moteurs de recherche dans la lutte contre les contenus illicites. L’adhésion de moteurs de recherche à des codes de bonnes pratiques sur le déréférencement de contenus protégés et/ou illicites (à l’exemple de l’initiative prise au Royaume Uni) pourrait ne pas être regardée comme suffisante. C’est le débat entre les statuts d’éditeur et d’hébergeur que cette décision est susceptible de rouvrir.
