Déréférencement : portée territoriale

La Commission nationale de l’informatique et des libertés (CNIL) rappelle que le Conseil d’État a rendu le 6 décembre dernier d’importantes décisions relatives à des demandes de déréférencement de résultats faisant apparaitre des données sensibles.

Elle rappelle ainsi que le droit au déréférencement permet à toute personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite sur ses nom et prénom. Cette suppression ne signifie pas l’effacement de l’information sur le site internet source.

Elle rappelle également que la Cour de justice de l’Union européenne (CJUE) avait rendu, le 24 septembre dernier, un arrêt apportant des précisions sur les conditions dans lesquelles les personnes peuvent obtenir le déréférencement d’un lien apparaissant dans un résultat de recherche lorsque la page auquel le lien renvoie contient des informations relatives à des données sensibles (par exemple, leur religion, leur opinion politique) ou à une condamnation pénale.

Si les informations publiées sont des données dites « sensibles » (religion, orientation sexuelle, santé…), elles doivent faire l’objet d’une protection particulière et donc, dans la mise en balance, d’une pondération plus importante. Le déréférencement ne pourra être refusé que si ces informations sont « strictement nécessaires » à l’information du public. En revanche, si ces données ont été manifestement rendues publiques par la personne concernée, leur protection particulière disparaît.

Par ailleurs, s’agissant des données relatives à une procédure pénale, comme la CJUE, le Conseil d’État a précisé que l’exploitant d’un moteur de recherche peut être tenu d’aménager la liste des résultats en vue d’assurer que le premier de ces résultats au moins mène à des informations à jour pour tenir compte de l’évolution de la procédure (par exemple, dans l’hypothèse où, après avoir été condamnée en première instance, une personne bénéficie d’une relaxe en appel).

 

Sommaire

Les 13 décisions du 6 décembre 2019

13 particuliers ont saisi Google de demandes de déréférencement de liens vers des pages web contenant des données à caractère personnel les concernant. À la suite du refus de Google, ils ont saisi la Commission nationale de l’informatique et des libertés (Cnil) d’une plainte afin qu’elle mette Google en demeure de procéder à ces déréférencements. La Cnil ayant également rejeté leurs plaintes, ces personnes ont directement saisi le Conseil d’État afin qu’il annule ces décisions de refus.

Sur ces 13 recours, le Conseil d’État a été amené à statuer sur 18 cas de figure différents : il a constaté 8 non-lieu à statuer, rejeté 5 demandes et prononcé 5 annulations. Dans un certain nombre d’affaires, Google avait pris les devants, en procédant aux déréférencements demandés. Dans d’autres cas, le contenu des pages web avait été modifié depuis l’introduction des requêtes. Le Conseil d’État a alors constaté le non-lieu à statuer, les demandeurs ayant déjà obtenu satisfaction.

Parmi les 13 affaires soumises au Conseil d’État, on peut citer celle où un ex-représentant de l’Église de scientologie réclamait la suppression d’un lien renvoyant vers un article de presse dans lequel il était indiqué qu’il figurait dans une enquête judiciaire suite au suicide d’une adepte de la scientologie. Dans un autre dossier, il s’agissait d’une demande de suppression dans les résultats affichés par Google, de plusieurs liens hypertextes renvoyant à des articles de journaux, des billets de blogs ou d’autres médias faisant état d’une affaire judiciaire liée à un fonds d’investissement dans laquelle le requérant avait été mis en cause avant d’être relaxé.

Droit au déréférencement : la portée territoriale

A la suite de la décision « Google Spain », la CNIL a considéré que le déréférencement devait être étendu à l’ensemble de l’extension géographique des noms de domaine (« .fr », « .com », etc.).

Ainsi, la formation restreinte de la CNIL a, par délibération du 10 mars 2016, infligé une sanction pécuniaire à Google10 pour ne s’être pas conformé à une mise en demeure lui demandant de rendre effectif un déréférencement sur l’ensemble des extensions du nom de domaine de son moteur de recherche. L’autorité de protection des données française, estimant que seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche, sans distinction entre les extensions interrogées et l’origine géographique de l’internaute effectuant une recherche permettait d‘assurer aux résidents européens une protection conforme aux exigences de la CJUE, n’a pas retenu la solution technique de géoblocage proposée par la société Google.

Arguant que les mesures de redirection automatique et de blocage d’accès s’appliquant à tous les internautes localisés sur le territoire national suffisaient, la société a saisi le Conseil d’Etat, lequel a sursis à statuer en attendant la réponse de la CJUE.

Cette décision de la CJUE, intervenue le 24 septembre 2019, a limité ce droit au territoire européen, tout en précisant qu’une autorité de contrôle nationale ou une juridiction devait être compétente pour obliger, au cas par cas, les moteurs de recherche à effectuer un déréférencement sur l’ensemble des versions de son moteur, dès lors qu’une mise en balance entre protection de la vie privée et liberté de l’information avait été réalisée.

Dans son arrêt du 27 mars 2020, le Conseil d’Etat a pris la mesure de la décision de la CJUE et jugé que la CNIL « a commis une erreur de droit justifiant l’annulation de la sanction qu’elle avait infligée  à Google, au motif que seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche sans considération des extensions interrogées et de l’origine géographique de l’internaute effectuant une recherche est à même de répondre à l’exigence de protection telle qu’elle a été consacrée  par la Cour de justice de l’Union européenne ».

La CNIL avait invoqué en défense le point relevé pat la CJUE selon lequel « si le droit de L’Union n’impose pas, en l’état actuel, que le déréférencement auquel il serait fait droit porte sur l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus. Partant, une autorité de contrôle (…) demeure compétente pour effectuer (…) une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur ».

Le Conseil d’Etat a refusé la substitution de motifs en tant que « la formation restreinte de la CNIL n’a pas effectué une telle mise en balance », laquelle était nécessaire en l’absence de disposition légale permettant un déréférencement hors du champ européen. La haute juridiction administrative estime bien fondée la demande de Google de faire annuler la délibération portant sanction de la CNIL. et s’aligne sur la position de la CJUE.

S’en est suivie l’annonce par la CNIL de la prise en considération des précisions apportées11 par le Conseil d’Etat.

 

Dans quels cas il est possible de demander un déréférencement ?

La CNIL a publié une liste de 13 critères qui justifient d’un droit à l’oubli pour Google et ses équivalents. Ces critères ont été adoptés par le G29, le groupe européen des autorités de protection des données personnelles, faisant suite à l’arrêt de la CJUE.

Voici une sélection des critères les plus importants pour obtenir un déréférencement :

  • Être une personne physique ;
  • Être mineur (l’intérêt d’une personne mineure prime dans tous les cas) ;
  • Démontrer que les informations sont inexactes ou trompeuses ;
  • Démontrer que les données sont diffamatoires, injurieuses, calomnieuses, ou qu’elles reflètent une opinion personnelle et non un fait avéré ;
  • Démontrer que les informations sont sensibles, liées à l’origine raciale, à l’ethnie, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, à la santé ou à la vie sexuelle ;
  • Prouver que les données peuvent produire un impact négatif disproportionné sur la vie privée ou professionnelle du plaignant dès lors que la connaissance de ces données n’a pas d’intérêt pour le public (donc en dehors d’une personne publique) ;
  • Réclamer la suppression de données relatives à une infraction pénale, selon que celle-ci est grave ou non, qu’elle a été amnistiée ou non, etc.

 

Related Posts