La Cour de justice de l'Union européenne a débouté le 13 mai 2014 Google dans une affaire de "droit à l'oubli" numérique, en estimant que l'exploitant d'un moteur de recherche sur internet est responsable du traitement des données personnelles qui apparaissent sur ses pages.
Ainsi, lorsque, à la suite d’une recherche effectuée à partir du nom d’une personne, la liste de résultats affiche un lien vers une page web qui contient des informations sur la personne en question, la personne concernée peut s’adresser directement à l’exploitant ou, lorsque celui-ci ne donne pas suite à sa demande, saisir les autorités compétentes pour obtenir, sous certaines conditions, la suppression de ce lien de la liste de résultats.
La CJUE a jugé que les particuliers peuvent obtenir, sous certaines conditions, la suppression des liens vers des pages internet comportant des données personnelles en s'adressant directement à l'exploitant, a tranché la CJUE.
Selon la directive européenne sur la protection des données personnelles, la personne a droit dans certains cas à ce que des informations la concernant ne soient plus liées à son nom dans une liste de résultats, lorsque la recherche a été effectuée à partir de son nom.
"Les liens vers des pages web contenant ces informations doivent être supprimés de cette liste de résultats, à moins qu'il existe des raisons particulières, telles que le rôle joué par cette personne dans la vie publique, justifiant un intérêt prépondérant du public à avoir, dans le cadre d'une telle recherche, accès à ces informations", a tranché la Cour.
"Une directive de l’Union vise à protéger les libertés et droits fondamentaux des personnes physiques (droit à la vie privée notamment) lors du traitement des données à caractère personnel tout en éliminant les obstacles à la libre circulation de ces données.
En 2010, M. Mario Costeja González, de nationalité espagnole, a introduit auprès de l’Agencia Española de Protección de Datos (Agence espagnole de protection des données, AEPD) une réclamation à l’encontre de La Vanguardia Ediciones SL (éditeur d’un quotidien largement diffusé en Espagne, notamment dans la région de Catalogne) ainsi qu’à l’encontre de Google Spain et de Google Inc. M. Costeja González faisait valoir que, lorsqu’un internaute introduisait son nom dans le moteur de recherche du groupe Google ("Google Search"), la liste de résultats affichait des liens vers deux pages du quotidien de La Vanguardia, datées de janvier et mars 1998. Ces pages annonçaient notamment une vente aux enchères immobilière organisée à la suite d’une saisie destinée à recouvrer les dettes de sécurité sociale dues par M. Costeja González.
Par cette réclamation, M. Costeja González demandait, d’une part, qu’il soit ordonné à La Vanguardia soit de supprimer ou de modifier les pages en cause (afin que ses données personnelles n’y apparaissent plus) soit de recourir à certains outils fournis par les moteurs de recherche pour protéger ces données. D’autre part, M. Costeja González demandait qu’il soit ordonné à Google Spain ou à Google Inc. de supprimer ou d’occulter ses données personnelles afin qu’elles disparaissent des résultats de recherche et des liens de La Vanguardia. Dans ce contexte, M. Costeja González affirmait que la saisie dont il avait fait l’objet avait été entièrement réglée depuis plusieurs années et que la mention de celle-ci était désormais dépourvue de toute pertinence.
L’AEPD a rejeté la réclamation dirigée contre La Vanguardia, estimant que l’éditeur avait légalement publié les informations en cause. En revanche, la réclamation a été accueillie en ce qui concerne Google Spain et Google Inc. L’AEPD a demandé à ces deux sociétés de prendre les mesures nécessaires pour retirer les données de leur index et pour en rendre l’accès impossible à l’avenir. Google Spain et Google Inc. ont introduit deux recours devant l’Audiencia Nacional (Audience nationale, Espagne), concluant à l’annulation de la décision de l’AEPD. C’est dans ce contexte que la juridiction espagnole a déféré une série de questions à la Cour de justice.
Dans son arrêt rendu ce jour, la Cour constate tout d’abord qu‘en recherchant de manière automatisée, constante et systématique des informations publiées sur Internet, l’exploitant d’un moteur de recherche procède à une "collecte" des données au sens de la directive. La Cour estime en outre que l’exploitant "extrait", "enregistre" et "organise" ces données dans le cadre de ses programmes d’indexation avant de les "conserver" sur ses serveurs et, le cas échéant, de les "communiquer" à ses utilisateurs et de les "mettre à la disposition" de ces derniers sous forme de listes de résultats. Ces opérations, visées de manière explicite et inconditionnelle dans la directive, doivent être qualifiées de "traitement", indépendamment du fait que l’exploitant du moteur de recherche les applique de manière indifférenciée à des informations autres que les données à caractère personnel. La Cour rappelle en outre que les opérations visées par la directive doivent être qualifiées de traitement même lorsqu’elles concernent exclusivement des informations déjà publiées en l’état dans les médias. Une dérogation générale à l’application de la directive dans une telle hypothèse aurait pour effet de vider largement cette dernière de son sens.
La Cour juge par ailleurs que l’exploitant du moteur de recherche est le "responsable" de ce traitement, au sens de la directive, étant donné que c’est lui qui en détermine les finalités et les moyens. La Cour relève à cet égard que, dans la mesure où l’activité d’un moteur de recherche s’ajoute à celle des éditeurs de sites web et est susceptible d’affecter significativement les droits fondamentaux de la vie privée et de la protection des données à caractère personnel, l’exploitant du moteur de recherche doit s’assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que son activité est conforme aux exigences de la directive. Ce n’est qu’ainsi que les garanties prévues par la directive pourront développer leur plein effet et qu’une protection efficace et complète des personnes concernées (et, notamment, de leur vie privée) pourra effectivement être réalisée.
S’agissant du champ d’application territorial de la directive, la Cour observe que Google Spain constitue une filiale de Google Inc. sur le territoire espagnol et, partant, un "établissement" au sens de la directive. La Cour rejette l’argument selon lequel le traitement de données à caractère personnel par Google Search n’est pas effectué dans le cadre des activités de cet établissement en Espagne. La Cour considère à cet égard que, lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers, dispose d’un établissement dans un État membre, le traitement est effectué "dans le cadre des activités" de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier.
En ce qui concerne, ensuite, l’étendue de la responsabilité de l’exploitant du moteur de recherche, la Cour constate que celui-ci est, dans certaines conditions, obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne. La Cour précise qu’une telle obligation peut exister également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.
La Cour souligne dans ce contexte qu’un traitement de données à caractère personnel réalisé par un tel exploitant permet à tout internaute, lorsqu’il effectue une recherche à partir du nom d’une personne physique, d’obtenir, par la liste de résultats, un aperçu structuré des informations relatives à cette personne sur Internet. La Cour relève en outre que ces informations touchent potentiellement à une multitude d’aspects de la vie privée et qu’en l’absence du moteur de recherche, elles n’auraient pas pu être interconnectées ou n’auraient pu l’être que très difficilement. Les internautes peuvent ainsi établir un profil plus ou moins détaillé des personnes recherchées. Par ailleurs, l’effet de l’ingérence dans les droits de la personne se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne, ces derniers conférant un caractère ubiquitaire aux informations contenues dans les listes de résultats. Compte tenu de sa gravité potentielle, une telle ingérence ne saurait, selon la Cour, être justifiée par le seul intérêt économique de l’exploitant du moteur dans le traitement des données.
Cependant, dans la mesure où la suppression de liens de la liste de résultats pourrait, en fonction de l’information en cause, avoir des répercussions sur l’intérêt légitime des internautes potentiellement intéressés à avoir accès à l’information en question, la Cour constate qu’il y a lieu de rechercher un juste équilibre notamment entre cet intérêt et les droits fondamentaux de la personne concernée, en particulier le droit au respect de la vie privée et le droit à la protection de données à caractère personnel. La Cour relève à cet égard que, si, certes, les droits de la personne concernée prévalent également, en règle générale, sur ledit intérêt des internautes, cet équilibre peut toutefois dépendre, dans des cas particuliers, de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que de l’intérêt du public à recevoir cette information, lequel peut varier, notamment, en fonction du rôle joué par cette personne dans la vie publique.
Enfin, interrogée sur la question de savoir si la directive permet à la personne concernée de demander que des liens vers des pages web soient supprimés d’une telle liste de résultats au motif qu’elle souhaiterait que les informations y figurant relatives à sa personne soient "oubliées" après un certain temps, la Cour relève que, s’il est constaté, suite à une demande de la personne concernée, que l’inclusion de ces liens dans la liste est, au stade actuel, incompatible avec la directive, les informations et liens figurant dans cette liste doivent être effacés.
La Cour observe à cet égard que même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec cette directive lorsque, eu égard à l’ensemble des circonstances caractérisant le cas d’espèce, ces données apparaissent inadéquates, pas ou plus pertinentes ou excessives au regard des finalités pour lesquelles elles ont été traitées et du temps qui s’est écoulé.
La Cour ajoute que, dans le cadre de l’appréciation d’une telle demande introduite par la personne concernée à l’encontre du traitement réalisé par l’exploitant d’un moteur de recherche, il convient notamment d’examiner si cette personne a un droit à ce que les informations en question relatives à sa personne ne soient plus, au stade actuel, liées à son nom par une liste de résultats qui est affichée à la suite d’une recherche effectuée à partir de son nom. Si tel est le cas, les liens vers des pages web contenant ces informations doivent être supprimés de cette liste de résultats, à moins qu’il existe des raisons particulières, telles que le rôle joué par cette personne dans la vie publique, justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une telle recherche, accès à ces informations.
La Cour précise que la personne concernée peut adresser de telles demandes directement à l’exploitant du moteur de recherche qui doit alors dûment examiner le bien-fondé de celles-ci. Lorsque le responsable du traitement ne donne pas suite à ces demandes, la personne concernée peut saisir l’autorité de contrôle ou l’autorité judiciaire pour que celles-ci effectuent les vérifications nécessaires et ordonnent à ce responsable des mesures précises en conséquence."
L'arrêt de la CJUE du 13 mai 2014 est un désaveu pour l’avocat général, M. Jääskinen, qui avait estimé le 25 juin 2013 dans ses conclusions "que les fournisseurs de services de moteur de recherche sur Internet ne sont pas responsables, en vertu de la directive sur la protection des données à caractère personnel, des données personnelles apparaissant sur les pages web qu’ils traitent". Il avait par ailleurs estimé que c'était "la législation nationale en matière de protection des données" qui "leur est applicable lorsqu’ils créent dans un État membre une succursale ou une filiale dont l’activité vise les habitants de cet État membre, en vue d’assurer la promotion et la vente d’espaces publicitaires, même si le traitement technique des données est effectué en un autre lieu."