Menu

Par une décision n°399922 en date du 27 mars 2020, le Conseil d’État s’est prononcé sur l’étendue du champ d’application du droit au déférencement dans l’espace.

Dans cette affaire, le 21 mai 2015, la CNIL a fait droit à la demande d’un particulier tendant à la suppression de la liste des résultats affichés sur Google lorsque son nom était entré dans la barre de recherche.

Elle a mis en demeure la société Google Inc. de supprimer en conséquence l’ensemble des liens menant vers des pages web résultant de ladite recherche.

En se contentant de procéder au déférencement du demandeur par la technique du « Géo-blocage », consistant à supprimer l’ensemble des liens dans une zone géographique déterminée, la CNIL a estimé que les mesures de Google étaient insuffisantes, et l’a condamnée en conséquence à une sanction de 100 000 €, rendue publique par une délibération du 10 mars 2016.

La société Google Inc. a alors formé un recours tendant à l’annulation de cette délibération.

Par une première décision en date du 19 juillet 2017, le Conseil d’État a sursis à statuer jusqu’à ce que la Cour de Justice de l’Union Européenne tranche sur la question de savoir si, lorsqu’il est fait droit à une demande de déférencement, la procédure de ce déférencement doit s’appliquer sur l’ensemble des noms de domaine, sans limite d’application dans l’espace, ou si cela concerne uniquement ceux compris dans le champ d’application territorial des États membres.

En premier lieu, le Conseil d’État rappelle qu’en application de l’article 38 de la loi du 6 janvier 1978, toute personne a le droit de s’opposer à ce que ses données personnelles soient utilisées à des fins commerciales.

La Haute juridiction rappelle que ces dispositions doivent être mises à la lumière de la directive 95/46/CE du 24 octobre 1995 qui consacre un « droit à l’effacement » ou « droit à l’oubli ».

Dans sa décision du 27 mars 2020, le Conseil d’État a rejoint l’avis de la CJUE qui a retenu que « lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres ».

Le Conseil d’État a ainsi jugé dans ses considérants 7 et 8 que :

« 7. Il résulte des motifs énoncés au point 4 qu’en sanctionnant la société requérante au motif que seule une mesure s’appliquant à l’intégralité du traitement liée au moteur de recherche, sans considération des extensions interrogées et de l’origine géographique de l’internaute effectuant une recherche, est à même de répondre à l’exigence de protection telle qu’elle a été consacrée par la Cour de justice de l’Union européenne, la formation restreinte de la CNIL a entaché la délibération attaquée d’erreur de droit

8[…] une autorité de contrôle ou une autorité judiciaire d’un Etat membre demeure compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux (…), une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur ».

Dès lors, contrairement à la délibération de la CNIL, le CE a estimé que la société Google avait pris les mesures nécessaires pour répondre aux exigences de protection des données personnelles, en procédant par « Géo-blocage ».

En conséquence, les juges du Palais royal ont annulé la délibération de la CNIL en ayant estimé que les dispositions prises par Google Inc. étaient à même de répondre à l’exigence de protection telle qu’elle a été consacrée par la Cour de justice de l’Union européenne,

Ainsi, le Conseil d’État a rappelé que, lorsqu’une autorité administrative décide d’une procédure de déférencement, cette mesure doit être prise après une mise en balance entre d’une part la protection des données à caractère personnel et d’autre part le droit à la liberté d’information.

Conseil d’Etat, 27 mars 2020, GOOGLE INC., req n°399922

Flash info rédigé par Antoine HARMAND, Avocat à la Cour, mis en ligne le 6 avril 2020