ARRET « GOOGLE SPAIN» (CJUE 13 MAI 2014, C131/12) : Les juges communautaires soumettent Google à la Directive " données personnelles " (95/46)
K.Pratique | Chroniques juridiques du cabinet KGA Avocats - Matthieu Bourgeois, 19/05/2014
La décision C131/12 était très attendue, mais son contenu crée la surprise. En faisant (nettement) prévaloir la protection de la vie privée et des données à caractère personnel sur l’intérêt du célèbre moteur de recherche, mais aussi de ses utilisateurs à accéder à l’information, les Magistrats communautaires sont allés bien au-delà des pronostics de certains praticiens, quelque peu habitués (blasés) à une jurisprudence communautaire ménageant bien souvent le géant américain (voir notamment les arrêts « Google AdWords » du 23 mars 2010 – C-236/08 à 238/08).
A. LES FAITS A L’ORIGINE DE CETTE DECISION
Une personne physique (de nationalité espagnole) avait constaté que, en renseignant son nom dans le formulaire de requête du moteur Google, apparaissaient des liens vers les pages d’un quotidien ancien (paru en 1998), faisant état d’une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de ses dettes de sécurité sociale.
S’étant alors adressée sans succès aux sociétés Google Spain et Google Inc. pour leur demander de supprimer ou d’occulter ses données, au motif que cette procédure ancienne avait été entièrement réglée et que son apparition répétée dans les pages de résultat du moteur de recherche était désormais dépourvue de toute pertinence, la personne concernée s’est ensuite adressée à l’agence espagnole de protection des données (l’« AEPD »).
Cette autorité a ordonné le retrait de ces données par les exploitants du moteur de recherche, en considérant que « leur localisation et leur diffusion sont susceptibles de porter atteinte au droit fondamental de protection des données et à la dignité des personnes » (point 17). Saisie d’un recours introduit par les sociétés Google Spain et Google Inc, la juridiction supérieure espagnole (l’« Audiencia National ») a interrogé la Cour de Justice de l’Union Européenne (« CJUE »), d’une série de questions préjudicielles.
B. LES QUESTIONS PREJUDICIELLES POSEES A LA CJUE
Les questions posées à la Cour étaient, en synthèse, les suivantes :
1. L’activité d’un moteur de recherche (consistant à trouver des informations – notamment à caractère personnel – publiées sur Internet, à les indexer de manière automatique et à les tenir à disposition des internautes de manière structurée) doit-elle être qualifiée de « traitement de données à caractère personnel » ?
2. (En cas de réponse affirmative à la question précédente) l’exploitant du moteur de recherche doit-il être considéré comme « responsable du traitement » ?
3. L’entité du moteur de recherche installée dans un Etat membre, ayant notamment en charge la commercialisation de services de publicité ciblée aux habitants de cet Etat, peut-elle être considérée comme un « établissement » local de nature à entraîner l’application territoriale du droit national applicable ?
4. (En cas de réponse affirmative à la question précédente), l’autorité nationale compétente en matière de données à caractère personnel, peut-elle ordonner au moteur de recherche qu’il procède au déréférencement sur les pages de résultats d’informations publiées par des tiers, sans s’adresser préalablement à ces tiers et ce, y compris lorsque de telles informations ont été publiées légalement ?
5. Le droit d’obtenir l’effacement, ainsi que le droit d’opposition reconnus par la Directive 95/46 Données Personnelles, doivent-ils permettre à une personne d’obtenir le déréférencement d’informations publiées sur Internet la concernant, en invoquant sa volonté que « ces informations soient oubliées », et ce, alors même qu’il s’agirait d’informations publiées légalement par des tiers ?
C. LES REPONSES DE LA CJUE
1. Sur la notion de « traitement de données à caractère personnel », la CJUE estime qu’un moteur de recherche, « en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées », réalise des opérations devant « être qualifiées de traitement » et ce, peu important que certaines des informations traitées ne contiennent pas de données personnelles et/ou aient été « déjà publiées telles quelles dans les médias » (points 28 à 30).
2. Concernant la notion de « responsable du traitement », les magistrats communautaires rejettent l’argument soulevé par Google consistant à exclure cette qualification au motif que ce dernier n’exercerait « pas de contrôle sur les données à caractère personnel publiées sur les pages web de tiers » car, pour les juges, le traitement effectué par un moteur de recherche « se distingue de et s’ajoute à celui effectué par les éditeurs de sites web » (points 34 et 35). L’exploitant du moteur de recherche revêt donc cette qualité, au motif que c’est bien lui « qui détermine les finalités et les moyens de cette activité et, ainsi, du traitement (…) qu’il effectue » (point 33). Les juges communautaires en concluent que l’exploitant de ce moteur doit assurer que son activité « satisfait aux exigences de la Directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur pleine effet » (point 38).
La Cour rejette également l’argument de Google ayant invoqué l’existence de protocoles d’exclusion (comme « robot.txt » ou « noindex » ), par lesquels les éditeurs de sites web peuvent exclure le référencement de leurs contenus sur le moteur de recherche, libéreraient l’exploitant de celui-ci de sa responsabilité : les magistrats estimant que l’absence d’utilisation de ces protocoles, par les éditeurs de sites web, est dénué de toute portée juridique sur la responsabilité du moteur de recherche (point 39).
3. Concernant le champ d’application territoriale du droit national en matière de protection de données à caractère personnel, les juges communautaires reprennent les conclusions de l’avocat général Nillo Jääskinen, rendues le 25 juin 2013 dans cette affaire, en retenant une appréciation économique de la notion d’« établissement ».
Ils considèrent que relève de cette qualification la filiale ou succursale installée dans un pays membre (ici l’Espagne) et ayant notamment en charge la commercialisation de services de publicité ciblée aux habitants de cet Etat, au motif que « les activités relatives aux espaces publicitaires constituent le moyen pour rendre le moteur de recherche en cause économiquement rentable et que ce moteur est, en même temps, le moyen permettant l’accomplissement de ces activités » (point 56). Ainsi, les juges caractérisent le critère de rattachement prévu par l’article 4 a) de la Directive Données Personnelles prévoyant l’application du droit national à un responsable du traitement disposant d’un « établissement » dans l’Etat concerné, en l’espèce la société Google Spain.
4. Concernant l’existence d’un principe de subsidiarité qui obligerait toute personne à s’adresser préalablement ou simultanément au propriétaire du site web sur lequel figurent les informations la concernant, avant de s’adresser au moteur de recherche pour en demander le déréférencement, les magistrats communautaires expriment une position tranchée de refus.
Ils considèrent ainsi que, pour autant que les conditions prévues sont satisfaites, l’exploitant du moteur de recherche doit supprimer de la liste de résultats, les liens renvoyant vers des informations publiées par des tiers et contenant des informations relatives à une personne, même si le tiers n’a pas procédé à leur effacement et que leur publication est licite (point 88).
La haute juridiction relève qu’un tel traitement « est susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » dès lors qu’il « permet à tout internaute d’obtenir, par la liste de résultats, un aperçu structuré des informations relatives à cette personne, trouvables sur Internet, qui touchent potentiellement à une multitude d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas ou seulement que très difficilement pu être interconnectées et ainsi d’établir un profil plus ou moins détaillé de celle-ci » faisant naître un risque d’ingérence qui « se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne » (point 80).
5. S’agissant, enfin, de la reconnaissance d’un « droit à l’oubli », les magistrats communautaires en reconnaissent l’existence, en exigeant néanmoins que la personne démontre l’existence d’un « droit à ce que l’information en question (…) ne soit plus (…) liée à son nom par une liste de résultats » (point 99). Ce droit doit être apprécié à la lumière des principes d’adéquation, de pertinence et de proportionnalité, en particulier au regard de l’ancienneté des faits : les magistrats considèrent que ce droit est ici fondé « eu égard au fait que leur publication initiale avait été effectuée 16 ans auparavant » (point 98).
La Cour conclue enfin avec force que les droits de la personne « prévalent en principe non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information », avec pour seul tempérament le cas dans lequel il apparaîtrait « pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir (…) accès à l’information en question » (point 99).
Certains praticiens verront là un régime semblable à celui qui s’est dégagé en matière de droit à l’image : chacun peut interdire la reproduction, sans son accord, de son image, sauf … si cette image illustre un événement relevant de la sphère publique, du fait des circonstances ou des fonctions de la personne concernée. Cette analogie serait logique : le droit à l’image et la protection des données à caractère personnel tirent tous deux leur origine d’une source commune : le droit au respect de la vie privée.
Cette décision tombe à point nommé à l’heure où un consensus européen semble se dessiner au sujet du futur règlement communautaire visant à refondre la règlementation applicable en matière de protection des données à caractère personnel.
Une personne physique (de nationalité espagnole) avait constaté que, en renseignant son nom dans le formulaire de requête du moteur Google, apparaissaient des liens vers les pages d’un quotidien ancien (paru en 1998), faisant état d’une vente aux enchères immobilière liée à une saisie pratiquée en recouvrement de ses dettes de sécurité sociale.
S’étant alors adressée sans succès aux sociétés Google Spain et Google Inc. pour leur demander de supprimer ou d’occulter ses données, au motif que cette procédure ancienne avait été entièrement réglée et que son apparition répétée dans les pages de résultat du moteur de recherche était désormais dépourvue de toute pertinence, la personne concernée s’est ensuite adressée à l’agence espagnole de protection des données (l’« AEPD »).
Cette autorité a ordonné le retrait de ces données par les exploitants du moteur de recherche, en considérant que « leur localisation et leur diffusion sont susceptibles de porter atteinte au droit fondamental de protection des données et à la dignité des personnes » (point 17). Saisie d’un recours introduit par les sociétés Google Spain et Google Inc, la juridiction supérieure espagnole (l’« Audiencia National ») a interrogé la Cour de Justice de l’Union Européenne (« CJUE »), d’une série de questions préjudicielles.
B. LES QUESTIONS PREJUDICIELLES POSEES A LA CJUE
Les questions posées à la Cour étaient, en synthèse, les suivantes :
1. L’activité d’un moteur de recherche (consistant à trouver des informations – notamment à caractère personnel – publiées sur Internet, à les indexer de manière automatique et à les tenir à disposition des internautes de manière structurée) doit-elle être qualifiée de « traitement de données à caractère personnel » ?
2. (En cas de réponse affirmative à la question précédente) l’exploitant du moteur de recherche doit-il être considéré comme « responsable du traitement » ?
3. L’entité du moteur de recherche installée dans un Etat membre, ayant notamment en charge la commercialisation de services de publicité ciblée aux habitants de cet Etat, peut-elle être considérée comme un « établissement » local de nature à entraîner l’application territoriale du droit national applicable ?
4. (En cas de réponse affirmative à la question précédente), l’autorité nationale compétente en matière de données à caractère personnel, peut-elle ordonner au moteur de recherche qu’il procède au déréférencement sur les pages de résultats d’informations publiées par des tiers, sans s’adresser préalablement à ces tiers et ce, y compris lorsque de telles informations ont été publiées légalement ?
5. Le droit d’obtenir l’effacement, ainsi que le droit d’opposition reconnus par la Directive 95/46 Données Personnelles, doivent-ils permettre à une personne d’obtenir le déréférencement d’informations publiées sur Internet la concernant, en invoquant sa volonté que « ces informations soient oubliées », et ce, alors même qu’il s’agirait d’informations publiées légalement par des tiers ?
C. LES REPONSES DE LA CJUE
1. Sur la notion de « traitement de données à caractère personnel », la CJUE estime qu’un moteur de recherche, « en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées », réalise des opérations devant « être qualifiées de traitement » et ce, peu important que certaines des informations traitées ne contiennent pas de données personnelles et/ou aient été « déjà publiées telles quelles dans les médias » (points 28 à 30).
2. Concernant la notion de « responsable du traitement », les magistrats communautaires rejettent l’argument soulevé par Google consistant à exclure cette qualification au motif que ce dernier n’exercerait « pas de contrôle sur les données à caractère personnel publiées sur les pages web de tiers » car, pour les juges, le traitement effectué par un moteur de recherche « se distingue de et s’ajoute à celui effectué par les éditeurs de sites web » (points 34 et 35). L’exploitant du moteur de recherche revêt donc cette qualité, au motif que c’est bien lui « qui détermine les finalités et les moyens de cette activité et, ainsi, du traitement (…) qu’il effectue » (point 33). Les juges communautaires en concluent que l’exploitant de ce moteur doit assurer que son activité « satisfait aux exigences de la Directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur pleine effet » (point 38).
La Cour rejette également l’argument de Google ayant invoqué l’existence de protocoles d’exclusion (comme « robot.txt » ou « noindex » ), par lesquels les éditeurs de sites web peuvent exclure le référencement de leurs contenus sur le moteur de recherche, libéreraient l’exploitant de celui-ci de sa responsabilité : les magistrats estimant que l’absence d’utilisation de ces protocoles, par les éditeurs de sites web, est dénué de toute portée juridique sur la responsabilité du moteur de recherche (point 39).
3. Concernant le champ d’application territoriale du droit national en matière de protection de données à caractère personnel, les juges communautaires reprennent les conclusions de l’avocat général Nillo Jääskinen, rendues le 25 juin 2013 dans cette affaire, en retenant une appréciation économique de la notion d’« établissement ».
Ils considèrent que relève de cette qualification la filiale ou succursale installée dans un pays membre (ici l’Espagne) et ayant notamment en charge la commercialisation de services de publicité ciblée aux habitants de cet Etat, au motif que « les activités relatives aux espaces publicitaires constituent le moyen pour rendre le moteur de recherche en cause économiquement rentable et que ce moteur est, en même temps, le moyen permettant l’accomplissement de ces activités » (point 56). Ainsi, les juges caractérisent le critère de rattachement prévu par l’article 4 a) de la Directive Données Personnelles prévoyant l’application du droit national à un responsable du traitement disposant d’un « établissement » dans l’Etat concerné, en l’espèce la société Google Spain.
4. Concernant l’existence d’un principe de subsidiarité qui obligerait toute personne à s’adresser préalablement ou simultanément au propriétaire du site web sur lequel figurent les informations la concernant, avant de s’adresser au moteur de recherche pour en demander le déréférencement, les magistrats communautaires expriment une position tranchée de refus.
Ils considèrent ainsi que, pour autant que les conditions prévues sont satisfaites, l’exploitant du moteur de recherche doit supprimer de la liste de résultats, les liens renvoyant vers des informations publiées par des tiers et contenant des informations relatives à une personne, même si le tiers n’a pas procédé à leur effacement et que leur publication est licite (point 88).
La haute juridiction relève qu’un tel traitement « est susceptible d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » dès lors qu’il « permet à tout internaute d’obtenir, par la liste de résultats, un aperçu structuré des informations relatives à cette personne, trouvables sur Internet, qui touchent potentiellement à une multitude d’aspects de sa vie privée et qui, sans ledit moteur de recherche, n’auraient pas ou seulement que très difficilement pu être interconnectées et ainsi d’établir un profil plus ou moins détaillé de celle-ci » faisant naître un risque d’ingérence qui « se trouve démultiplié en raison du rôle important que jouent Internet et les moteurs de recherche dans la société moderne » (point 80).
5. S’agissant, enfin, de la reconnaissance d’un « droit à l’oubli », les magistrats communautaires en reconnaissent l’existence, en exigeant néanmoins que la personne démontre l’existence d’un « droit à ce que l’information en question (…) ne soit plus (…) liée à son nom par une liste de résultats » (point 99). Ce droit doit être apprécié à la lumière des principes d’adéquation, de pertinence et de proportionnalité, en particulier au regard de l’ancienneté des faits : les magistrats considèrent que ce droit est ici fondé « eu égard au fait que leur publication initiale avait été effectuée 16 ans auparavant » (point 98).
La Cour conclue enfin avec force que les droits de la personne « prévalent en principe non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information », avec pour seul tempérament le cas dans lequel il apparaîtrait « pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir (…) accès à l’information en question » (point 99).
Certains praticiens verront là un régime semblable à celui qui s’est dégagé en matière de droit à l’image : chacun peut interdire la reproduction, sans son accord, de son image, sauf … si cette image illustre un événement relevant de la sphère publique, du fait des circonstances ou des fonctions de la personne concernée. Cette analogie serait logique : le droit à l’image et la protection des données à caractère personnel tirent tous deux leur origine d’une source commune : le droit au respect de la vie privée.
Cette décision tombe à point nommé à l’heure où un consensus européen semble se dessiner au sujet du futur règlement communautaire visant à refondre la règlementation applicable en matière de protection des données à caractère personnel.