Les avocats du net

 
 


 

Jurisprudence : Jurisprudences

mardi 01 août 2017
Facebook Viadeo Linkedin

Conseil d’État, Section du contentieux, 10ème – 9ème ch. réunies, décision du 19 juillet 2017

Google Inc. / Cnil

compétence territoriale - données à caractère personnel - droit à l'oubli - droit au déréférencement - Europe - extensions - nom de domaine - questions préjudicielles

Le Conseil d’Etat statuant au contentieux (Section du contentieux, 10ème et 9ème chambres réunies) sur le rapport de la 10ème chambre de la Section du contentieux

Séance du 28 juin 2017 – Lecture du 19 juillet 2017

Vu la procédure suivante :
Par une requête sommaire, un mémoire complémentaire, un mémoire en réplique et trois autres mémoires, enregistrés le 19 mai, le 12 août, le 2 novembre et le 7 décembre 2016 et le 25 janvier et le 19 avril 2017 au secrétariat du contentieux du Conseil d’Etat, la société Google Inc. demande au Conseil d’Etat :
1°) d’annuler la délibération n° 2016-054 de la formation restreinte de la Commission nationale de l’informatique et des libertés (CNIL) du 10 mars 2016 ;
2°) à titre subsidiaire, de surseoir à statuer pour poser une question à la Cour de justice de l’Union européenne portant sur l’interprétation des articles 4 et 28 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995.

Vu les autres pièces du dossier ;

Vu :
– la Charte des droits fondamentaux de l’Union européenne ;
– la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ;
– la directive 95/46/CE du 24 octobre 1995 ;
– l’arrêt de la Cour de justice de l’Union européenne du 13 mai 2014, Google Spain SL, Google Inc. contre Agencia Espanola de Proteccion de Datos, B… C… (C-131/12) ;
– le code de justice administrative ;

Après avoir entendu en séance publique :
– le rapport de M. Vincent Villette, auditeur,
– les conclusions de Mme Aurélie Bretonneau, rapporteur public ;

La parole ayant été donnée, avant et après les conclusions, à la SCP Spinosi, Sureau, avocat de la société Google Inc. ;


DISCUSSION

1. Wikimedia Foundation Inc, la Fondation pour la liberté de la presse, la société Microsoft, Reporters Committee for Freedom of the Press et autres, Article 19 et autres ainsi qu’Internet Freedom Foundation et autres justifient d’un intérêt suffisant à l’annulation de la délibération attaquée. Ainsi, leurs interventions sont recevables.

2. Il résulte de l’instruction que par une décision du 21 mai 2015, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure la société Google Inc., lorsqu’elle faisait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche. Par une délibération en date du 10 mars 2016, après avoir constaté que la société ne s’était pas, dans le délai imparti, conformée à cette mise en demeure, la formation de CNIL a prononcé à son encontre une sanction, rendue publique, de 100 000 euros. La société Google Inc. demande l’annulation de cette délibération.

Sur le cadre juridique du litige :
3. D’une part, aux termes des dispositions de l’article 2 de la loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés : « (…) Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d’opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction (…) ». Aux termes de son article 3 : « I. – Le responsable d’un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l’autorité publique, le service ou l’organisme qui détermine ses finalités et ses moyens (…) ». Ces dispositions assurent la mise en œuvre en droit national de l’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or, par son arrêt du 13 mai 2014 Google Spain SL, Google Inc. contre Agencia Espanola de Proteccion de Datos, B… C… (C-131/12), la Cour de justice de l’Union européenne a dit pour droit que : « L’article 2, sous b) et d), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, doit être interprété en ce sens que, d’une part, l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné doit être qualifiée de « traitement de données à caractère personnel », au sens de cet article 2, sous b), lorsque ces informations contiennent des données à caractère personnel et, d’autre part, l’exploitant de ce moteur de recherche doit être considéré comme le « responsable » dudit traitement, au sens dudit article 2, sous d) ».

4. Il en résulte nécessairement que l’exploitant d’un moteur de recherche doit être regardé comme un responsable de traitement au sens des articles 2 et 3 de la loi du 6 janvier 1978.

5. D’autre part, aux termes de l’article 5 de la loi du 6 janvier 1978 : « I. – Sont soumis à la présente loi les traitements de données à caractère personnel : / 1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi ». Ces dispositions assurent la mise en œuvre en droit national de l’article 4, paragraphe 1, sous a), de la directive du 24 octobre 1995. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or, la Cour de justice de l’Union européenne a, par l’arrêt précité, dit pour droit que : « L’article 4, paragraphe 1, sous a), de la directive 95/46/CE doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre ».

6. Il en résulte nécessairement que le traitement de données à caractère personnel que constitue le moteur de recherche exploité par la société Google Inc., compte tenu des activités de promotion et de vente des espaces publicitaires exercées, en France, par sa filiale Google France, relève du champ d’application de la loi du 6 janvier 1978, défini par son article 5.

Sur l’existence d’un « droit au déréférencement » :
7. Aux termes de l’article 38 de la loi du 6 janvier 1978 : « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. / Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. / Les dispositions du premier alinéa ne s’appliquent pas lorsque le traitement répond à une obligation légale ou lorsque l’application de ces dispositions a été écartée par une disposition expresse de l’acte autorisant le traitement ». Aux termes de l’article 40 de cette même loi : « Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant (…) ». Ces dispositions assurent respectivement la mise en œuvre en droit national des dispositions du de l’article 14, sous a), et de l’article 12, sous b), de la directive du 24 octobre 1995. Elles doivent dès lors être interprétées à la lumière de ces dispositions. Or la Cour de justice de l’Union européenne, dans son arrêt précité du 13 mai 2014, a interprété ces dispositions au regard de l’article 1er, paragraphe 1, de la directive du 24 octobre 1995, aux termes duquel : « Les États membres assurent, conformément à la présente directive, la protection des libertés et droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel », et de l’article 7 de cette même directive, aux termes duquel : « Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si : / (…) f) il est nécessaire à la réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le ou les tiers auxquels les données sont communiquées, à condition que ne prévalent pas l’intérêt ou les droits et libertés fondamentaux de la personne concernée, qui appellent une protection au titre de l’article 1er paragraphe 1 ». Elle a ainsi dit pour droit qu’« afin de respecter les droits prévus par ces dispositions, et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite ».

8. Il découle des motifs énoncés au point précédent que, sur le fondement des articles 38 et 40 de la loi du 6 janvier 1978, lorsque les conditions fixées par ces articles sont satisfaites, l’exploitant d’un moteur de recherche mettant en œuvre son traitement en France doit faire droit aux demandes qui lui sont présentées tendant au déréférencement de liens, c’est-à-dire à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom du demandeur, des liens vers des pages web, publiées par des tiers et contenant des informations le concernant.

Sur la compétence et le champ d’intervention de la formation restreinte de la CNIL pour prononcer la sanction litigieuse :
En ce qui concerne des manquements à la loi du 6 janvier 1978 dont la formation restreinte de la CNIL est compétente pour connaître :

9. Aux termes de l’article 45 de la loi du 6 janvier 1978 : « I. – Lorsque le responsable d’un traitement ne respecte pas les obligations découlant de la présente loi, le président de la Commission nationale de l’informatique et des libertés peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu’il fixe. (…) / Si le responsable du traitement se conforme à la mise en demeure qui lui est adressée, le président de la commission prononce la clôture de la procédure. / Dans le cas contraire, la formation restreinte de la commission peut prononcer, après une procédure contradictoire, les sanctions suivantes : (…) / 2° Une sanction pécuniaire, dans les conditions prévues à l’article 47, à l’exception des cas où le traitement est mis en œuvre par l’Etat ; (…) ». Aux termes de l’article 48 de cette même loi : « Les pouvoirs prévus à l’article 44 ainsi qu’au I, au 1° du II et au III de l’article 45 peuvent être exercés à l’égard des traitements dont les opérations sont mises en œuvre, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de la Communauté européenne ». Ces dispositions assurent la mise en œuvre en droit national de l’article 24 de la directive du 24 octobre 1995, qui laisse aux Etats membres le soin de déterminer les sanctions à appliquer en cas de violation des dispositions prises en application de la directive. Il résulte de ces dispositions et de celles, citées au point 5, de l’article 5 de la loi du 6 janvier 1978 que la formation restreinte de la CNIL est compétente pour connaître des manquements à cette loi, commis par un responsable de traitement à raison du traitement de données à caractère personnel qu’il exploite, dès lors que l’activité de ce responsable est établie en France, ou qu’elle s’exerce dans le cadre d’une installation établie en France, y compris lorsque les opérations du traitement en cause ne sont que partiellement mises en œuvre sur le territoire national.

En ce qui concerne la qualification du moteur de recherche de la société requérante en tant que traitement de données à caractère personnel unique :
10. D’une part, ainsi qu’il a été rappelé au point 3, un traitement peut être constitué par un ensemble d’opérations. Dans ces conditions, la circonstance que le moteur de recherche de la société requérante exécute plusieurs opérations successives, notamment l’indexation des contenus présents sur le web et leur mise à disposition des internautes selon un ordre de préférence donné, ne fait, par elle-même, pas obstacle à ce qu’il soit regardé comme un unique traitement de données à caractère personnel.

11. D’autre part, il résulte de l’instruction, et notamment de l’audience d’instruction tenue le 9 novembre 2016, que le moteur de recherche exploité par la société Google Inc. est décliné en différents noms de domaine par des extensions géographiques, afin d’adapter les résultats affichés aux spécificités, notamment linguistiques, des différents pays dans lesquels elle exerce son activité. Lorsque la recherche est effectuée depuis « google.com », la société Google Inc. procède, en principe, à une redirection automatique de cette recherche vers le nom de domaine correspondant au pays à partir duquel cette recherche est, grâce à l’identification de l’adresse IP de l’internaute, réputée effectuée. Toutefois, indépendamment de sa localisation, il reste loisible à l’internaute d’effectuer ses recherches sur les autres noms de domaine du moteur de recherche. Par ailleurs, si les résultats peuvent différer selon le nom de domaine à partir duquel la recherche est effectuée sur le moteur, il est constant que les liens affichés en réponse à une recherche proviennent de bases de données et d’un travail d’indexation communs.

12. Dans ces conditions compte tenu, d’une part, du fait que les noms de domaine du moteur de recherche de la société requérante sont tous accessibles depuis le territoire français, et, d’autre part, de l’existence de passerelles entre ces différents noms de domaine, qu’illustrent notamment la redirection automatique évoquée ci-dessus et, au surplus, la présence de témoins de connexion (« cookies ») sur d’autres extensions du moteur que celle sur laquelle ils ont été initialement déposés, ce moteur, lequel au demeurant n’a fait l’objet que d’une seule déclaration auprès de la CNIL, doit être regardé comme un traitement de données à caractère personnel unique pour l’application de la loi du 6 janvier 1978.

13. Il résulte de tout ce qui précède, notamment de ce qui a été rappelé aux points 4 et 6, que le traitement de données à caractère personnel que constitue le moteur de recherche exploité par la société requérante est effectué dans le cadre d’une de ses installations, Google France, établie sur le territoire français. A ce titre, il est soumis à la loi du 6 janvier 1978 en vertu des dispositions de son article 5. Par suite, contrairement à ce que soutient la société requérante, la formation restreinte de la CNIL était compétente, sur le fondement des dispositions citées au point 9, pour prononcer une sanction pécuniaire à son encontre en raison de manquements aux obligations découlant de la loi du 6 janvier 1978 liés à l’exploitation de son moteur de recherche, traitement unique dont elle détermine les finalités et les moyens. Il suit de là que doivent être écartés les moyens tirés de ce que la formation restreinte de la CNIL, qui a suffisamment motivé sa délibération, l’a entachée d’erreur de fait et d’inexacte qualification juridique en estimant que le moteur de recherche de la société requérante constituait un traitement unique.

Sur la portée du « droit au déréférencement » :
14. Ainsi qu’il a été rappelé au point 2, la formation restreinte de la CNIL a sanctionné la société Google Inc. au motif que cette dernière refusait, lorsqu’elle faisait droit à une demande de déréférencement, d’appliquer ce déréférencement sur l’ensemble des noms de domaine de son moteur de recherche, se bornant à supprimer les liens en cause des seuls résultats affichés en réponse à des recherches effectuées depuis les noms de domaine correspondant aux déclinaisons de son moteur dans les Etats membres de l’Union européenne. La formation restreinte de la CNIL a par ailleurs estimé insuffisante la proposition complémentaire dite de « géo-blocage » faite par la société Google Inc., après expiration du délai de mise en demeure, consistant à supprimer la possibilité d’accéder, depuis une adresse IP réputée localisée dans l’Etat de résidence du bénéficiaire du « droit au déréférencement », aux résultats litigieux à la suite d’une recherche effectuée à partir de son nom, ce indépendamment de la déclinaison du moteur de recherche qu’a sollicitée l’internaute.

15. La société Google Inc. soutient que la sanction litigieuse repose sur une interprétation erronée des dispositions des articles 38 et 40 de la loi du 6 janvier 1978. La requérante soutient en effet que cette interprétation méconnaît la portée des dispositions précitées des articles 12, sous b), et 14, sous a), de la directive du 24 octobre 1995, que les articles 38 et 40 mettent en œuvre en droit national, et sur le fondement desquelles, par l’arrêt précité, la Cour de justice de l’Union européenne a reconnu un « droit au déréférencement ». La société requérante fait valoir que, si elles exigent que les droits des personnes concernées, notamment le droit au respect de leur vie privée, fassent l’objet d’une protection efficace et complète, les dispositions de la directive telles qu’interprétées par la Cour de justice de l’Union européenne n’impliquent pas nécessairement que, lorsqu’il est fait droit à une demande de déréférencement, les liens litigieux soient supprimés, sans limitation géographique, sur l’ensemble des noms de domaine de son moteur. Elle en déduit également qu’en retenant une telle interprétation, la formation restreinte de la CNIL a méconnu les principes de courtoisie et de non-ingérence reconnus par le droit international public et porté une atteinte disproportionnée aux libertés d’expression, d’information, de communication et de la presse garanties par l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789, l’article 11 de la Charte des droits fondamentaux de l’Union européenne et par les stipulations de l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

16. La question de savoir si le « droit au déréférencement » tel qu’il a été consacré par la Cour de justice de l’Union européenne dans son arrêt du 13 mai 2014 sur le fondement des dispositions des articles 12, sous b), et 14, sous a), de la directive du 24 octobre 1995, doit être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ d’application territorial de la directive du 24 octobre 1995, soulève une première difficulté sérieuse d’interprétation du droit de l’Union européenne.

17. En cas de réponse négative à cette première question, la question de savoir si le « droit au déréférencement » tel que consacré par la Cour de justice de l’Union européenne dans son arrêt précité doit être interprété en ce sens que l’exploitant d’un moteur de recherche est seulement tenu, lorsqu’il fait droit à une demande de déréférencement, de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur sur le nom de domaine correspondant à l’Etat où la demande est réputée avoir été effectuée ou, plus largement, sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des Etats membres de l’Union européenne soulève une deuxième difficulté sérieuse d’interprétation du droit de l’Union européenne.

18. En outre, la question de savoir si, en complément de l’obligation évoquée au point précédent, le « droit au déréférencement » tel que consacré par la Cour de justice de l’Union européenne dans son arrêt précité doit être interprété en ce sens que l’exploitant d’un moteur de recherche faisant droit à une demande de déréférencement est tenu de supprimer, par la technique dite du « géo-blocage », depuis une adresse IP réputée localisée dans l’Etat de résidence du bénéficiaire du « droit au déréférencement », les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir de son nom, ou même, plus généralement depuis une adresse IP réputée localisée dans l’un des Etats-membres soumis à la directive du 24 octobre 1995, ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche, soulève une troisième difficulté sérieuse d’interprétation du droit de l’Union européenne.

19. Les questions énoncées aux points 16 à 18 ont déterminantes pour la solution du litige que doit trancher le Conseil d’Etat. Elles présentent, ainsi qu’il a été dit, plusieurs difficultés sérieuses d’interprétation du droit de l’Union européenne. Il y a lieu, par suite, d’en saisir la Cour de justice de l’Union européenne en application de l’article 267 du traité sur le fonctionnement de l’Union européenne et, jusqu’à ce que celle-ci se soit prononcée, de surseoir à statuer sur la requête de la société Google Inc..


DÉCISION

Article 1er : Les interventions de Wikimedia Foundation Inc, de la Fondation pour la liberté de la presse, de la société Microsoft, de Reporters Committee for Freedom of the Press et autres, d’Article 19 et autres et d’Internet Freedom Foundation et autres sont admises.

Article 2 : Il est sursis à statuer sur les conclusions de la requête de la société Google Inc. jusqu’à ce que la Cour de justice de l’Union européenne se soit prononcée sur les trois questions suivantes :

1° Le « droit au déréférencement » tel qu’il a été consacré par la Cour de justice de l’Union européenne dans son arrêt du 13 mai 2014 sur le fondement des dispositions des articles 12, sous b), et 14, sous a), de la directive du 24 octobre 1995, doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ d’application territorial de la directive du 24 octobre 1995 ?

2° En cas de réponse négative à cette première question, le « droit au déréférencement » tel que consacré par la Cour de justice de l’Union européenne dans son arrêt précité doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche est seulement tenu, lorsqu’il fait droit à une demande de déréférencement, de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur sur le nom de domaine correspondant à l’Etat où la demande est réputée avoir été effectuée ou, plus généralement, sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des Etats membres de l’Union européenne ?

3° En outre, en complément de l’obligation évoquée au 2°, le « droit au déréférencement » tel que consacré par la Cour de justice de l’Union européenne dans son arrêt précité doit être interprété en ce sens que l’exploitant d’un moteur de recherche faisant droit à une demande de déréférencement est tenu de supprimer, par la technique dite du « géo-blocage », depuis une adresse IP réputée localisée dans l’Etat de résidence du bénéficiaire du « droit au déréférencement », les résultats litigieux des recherches effectuées à partir de son nom, ou même, plus généralement, depuis une adresse IP réputée localisée dans l’un des Etats-membres soumis à la directive du 24 octobre 1995, ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche ?

Article 3 : La présente décision sera notifiée à la société Google Inc., à la Commission nationale de l’informatique et des libertés, à Wikimedia Foundation Inc., à la Fondation pour la liberté de la presse, à la société Microsoft, à Reporters Committee for Freedom of the Press, premier dénommé, à l’Article 19, premier dénommé, à Internet Freedom Foundation, premier dénommé, au défenseur des droits et au greffe de la Cour de justice de l’Union européenne.

 

Avocats : Me A., SCP Rousseau-Tapie

Source : conseil-etat.fr

Lire notre présentation de la décision

 
 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.