La Cour de justice retient que lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement, il est tenu de le réaliser non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.

Faits et procédure

La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Cette demande découle d’un litige opposant la société Google LLC à la Commission nationale de l’informatique et des libertés (ci-après « CNIL »). Par une délibération rendue le 10 mars 2016, la CNIL a prononcé une sanction de 100 000 euros à l’encontre de la société Google en raison du refus de cette société, lorsqu’elle fait droit à une demande de déréférencement, d’appliquer celui-ci à l’ensemble des extensions de nom de domaine de son moteur de recherche. La société Google a introduit une requête devant le Conseil d’état en demande d’annulation de la délibération de la CNIL litigieuse.

La société Google a soutenu devant le Conseil d’Etat que la sanction litigieuse reposait sur une interprétation erronée des dispositions de la loi du 6 janvier 1978, qui transposent l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46, sur la base desquels la Cour, dans son arrêt du 13 mai 2014, Google Spain et Google (C 131/12, EU:C:2014:317), a reconnu un « droit au déréférencement ». Pour la société Google, le droit au déréférencement n’implique pas que les liens litigieux soient supprimés sans limitation géographique, sur l’ensemble des noms de domaine de son moteur. En retenant une telle interprétation, la société Google estime que la CNIL a méconnu les principes de courtoisie et de non-ingérence reconnus par le droit international public et porté une atteinte disproportionnée aux libertés d’expression, d’information, de communication et de la presse garanties, notamment, par l’article 11 de la Charte des droits fondamentaux de l’Union européenne.

Au regard des difficultés sérieuses d’interprétation de la directive 95/46, le Conseil d’État a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Le “droit au déréférencement”, tel qu’il a été consacré par la [Cour] dans son arrêt du 13 mai 2014, [Google Spain et Google (C131/12, EU:C:2014:317),] sur le fondement des dispositions de l’article 12, sous b), et de l’article 14, [premier alinéa,] sous a), de la directive [95/46], doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ d’application territorial de la directive [95/46] ?

2) En cas de réponse négative à cette première question, le “droit au déréférencement”, tel que consacré par la [Cour] dans son arrêt précité, doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche est seulement tenu, lorsqu’il fait droit à une demande de déréférencement, de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur sur le nom de domaine correspondant à l’État où la demande est réputée avoir été effectuée ou, plus généralement, sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des États membres […] ?

3) En outre, en complément de l’obligation évoquée [à la deuxième question], le “droit au déréférencement”, tel que consacré par la [Cour] dans son arrêt précité, doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche faisant droit à une demande de déréférencement est tenu de supprimer, par la technique dite du “géoblocage”, depuis une adresse IP réputée localisée dans l’État de résidence du bénéficiaire du “droit au déréférencement”, les résultats litigieux des recherches effectuées à partir de son nom, ou même, plus généralement, depuis une adresse IP réputée localisée dans l’un des États membres soumis à la directive [95/46], ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche ? »

Solution

D’abord, la Cour rappelle que l’obligation faite à l’exploitant d’un moteur de recherche, au titre de l’article 12, sous b), et de l’article 14, premier alinéa, sous a), de la directive 95/46, de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite (arrêt du 13 mai 2014, Google Spain et Google, C131/12, EU:C:2014:317, point 88).

Pour la Cour, l’appréciation des conditions d’application de ces dispositions importe d’examiner, si la personne concernée dispose d’un droit au déréférencement régi par l’article 17 du règlement 2016/679. Ce droit permet à la personne concernée d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais, lorsque l’un des motifs énumérés par cette disposition s’applique.

La Cour constate ensuite que l’exploitation du moteur de recherche par une entreprise située sur un Etat tiers ne saurait soustraire cette dernière aux obligations et garanties prévues par la directive 95/46 et par le règlement 2016/679, dès lors que le traitement de données à caractère personnel est effectué pour les besoins du fonctionnement dudit moteur de recherche dans le cadre de l’activité publicitaire et commerciale d’un établissement du responsable de ce traitement sur le territoire d’un État membre (voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google, C 131/12, EU:C:2014:317, point 58).

Selon la Cour, Internet est un réseau mondial sans frontières et les moteurs de recherche confèrent un caractère ubiquitaire aux informations et aux liens contenus dans une liste de résultats affichée à la suite d’une recherche effectuée à partir du nom d’une personne physique (voir, en ce sens, arrêts du 13 mai 2014, Google Spain et Google, C 131/12, EU:C:2014:317, point 80, ainsi que du 17 octobre 2017, Bolagsupplysningen et Ilsjan, C 194/16, EU:C:2017:766, point 48).

Ainsi, des internautes se trouvant en dehors de l’Union peuvent avoir accès à des informations sur une personne dont le centre d’intérêts se situe dans l’Union européenne. Cela justifie donc la compétence du législateur de l’Union européenne en matière de déréférencement sur l’ensemble des versions du moteur de recherche d’un exploitant. Toutefois, la Cour précise que certains Etats tiers ne connaissent pas le droit au déréférencement ou bien l’interprètent différemment.

De plus, le droit à la protection des données à caractère personnel n’est pas absolu, et doit être mis en balance avec d’autres droits fondamentaux conformément au principe de proportionnalité [voir, en ce sens, arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert, C 92/09 et C 93/09, EU:C:2010:662, point 48, ainsi que avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017, EU:C:2017:592, point 136], telle que la liberté d’information. Cette mise en balance a été consacré par l’article 17, paragraphe 3, sous a), du règlement 2016/679 pour le droit à la protection des données à caractère personnel et la liberté d’information, mais non concernant la portée d’un déréférencement en dehors de l’Union.

A ce titre, la Cour constate que le droit de l’Union ne prévoit aucun mécanisme de coopération concernant la portée d’un déréférencement en dehors de l’Union. Il s’ensuit que, en l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, le cas échéant, à la suite d’une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un État membre, pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur. Ainsi, l’exploitant d’un moteur de recherche ne saurait être tenu, en vertu de l’article 12, sous b), et de l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que de l’article 17, paragraphe 1, du règlement 2016/679, d’opérer un déréférencement sur l’ensemble des versions de son moteur.

Toutefois, la Cour conclue en indiquant que bien que le droit de l’Union n’impose pas, en l’état actuel, que le référencement auquel il serait fait droit porte sur l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus. L’exploitant d’un moteur de recherche situé sur le territoire d’un Etat tiers doit ainsi procéder au déréférencement à l’identique, sur les versions correspondant à l’ensemble des Etats membres, en combinaison avec des mesures permettent d’empêcher ou de décourager les internautes d’effectuer une recherche sur la base du nom de la personne concernée.

Les autorités de contrôle ou les autorités judiciaire d’un Etat membre demeurent ainsi compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux (voir, en ce sens, arrêts du 26 février 2013, Åkerberg Fransson, C617/10, EU:C:2013:105, point 29, et du 26 février 2013, Melloni, C399/11, EU:C:2013:107, point 60), une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

Cour de justice (Grande chambre), Google LLC/Commission nationale de l’informatique et des libertés (CNIL), 24 septembre 2019, affaire C-507/17