[Communiqué G29] Droit au déréférencement : le G29 adopte des lignes directrices
RSS CNIL - , 28/11/2014
L’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 13 mai 2014 Google Spain SL et Google Inc. v Agencia Española de Protección de Datos (AEPD) et Mario Costeja González (C-131/12) constitue une étape importante de la protection des données personnelles au regard des traitements de données opérés par les moteurs de recherche en Europe et, plus généralement, dans le monde numérique. Il accorde en effet la possibilité aux personnes de demander aux moteurs de recherche, sous certaines...
Le mercredi 26 novembre, les autorités européennes de protection des données réunies au sein du Groupe de l’article 29 (G29) ont adopté des lignes directrices pour assurer une application harmonisée de l’arrêt de la CJUE. Celles-ci contiennent une interprétation commune de l’arrêt ainsi que des critères que les autorités utiliseront dans le cadre de l’instruction des plaintes leur parvenant suite à des refus de déréférencement par les moteurs.
Dans son arrêt, la Cour confirme l’applicabilité de la Directive 95/46/CE aux moteurs de recherche, ceux-ci étant qualifiés de « responsables des traitements » de données personnelles qu’ils opèrent dans le contexte des activités de leurs filiales établies sur le territoire de l’Union, visant à promouvoir et vendre des espaces publicitaires sur la page des moteurs afin qu’ils soient économiquement rentables.
L’arrêt prévoit expressément que l’exercice du droit au déréférencement n’affecte que les résultats obtenus après une recherche effectuée sur la base du nom d’une personne et ne se traduit pas par la suppression du lien dans les index du moteur de recherche. Autrement dit, l’information originale sera toujours accessible en ligne en effectuant une recherche sur d’autres termes ou en consultant directement le site source.
Le G29 considère que pour donner plein effet à l’arrêt de la Cour, les décisions de déréférencement doivent être mises en œuvre de manière à garantir effectivement la protection des droits fondamentaux des personnes et à ne pas permettre leur contournement. A cet égard, limiter le déréférencement aux extensions européennes des moteurs de recherche en considérant que les utilisateurs effectuent généralement des requêtes à partir des extensions nationales du moteur ne garantit pas l’application de ce droit de manière satisfaisante. Cela signifie donc, en pratique, le déréférencement devra être effectif sur tous les noms de domaines pertinents, y compris le nom de domaine .com.
Toute personne a droit à la protection de ses données. En pratique, les autorités seront amenées à instruire les demandes des personnes ayant clairement un lien avec l’Union européenne, c'est-à-dire des personnes citoyennes ou résidentes d’un pays membre de l’Union.
D’une manière générale, les moteurs de recherche ne doivent pas informer de manière systématique les sites sources de ce que certaines de leurs pages ne sont plus accessibles sur la base d’une requête faite sur le nom d’une personne en raison d’un déréférencement. En effet, une telle communication systématique n’a pas de base légale dans la législation européenne de protection des données.
Les lignes directrices contiennent également une liste des critères communs que les autorités de protection des données appliqueront pour traiter les plaintes qu’elles reçoivent suite à des refus de déréférencement par les moteurs de recherche. La liste contient 13 critères qui doivent être considérés comme des outils de travail flexibles qui aideront les autorités dans la prise de décision. Les critères seront appliqués au cas par cas et en accord avec les dispositions nationales applicables.
Aucun de ces critères n’est déterminant à lui seul. Chacun d’entre eux doit être appliqué à la lumière des principes établis par la Cour et en particulier de celui de « l’intérêt général du public à avoir accès à l’information ».