En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookie.
J'accepte.En savoir plus, paramétrer et ou s'opposer à ces cookies.
 
 

Les avocats du net

 
 


 

Jurisprudence : Jurisprudences

mercredi 25 septembre 2019
Facebook Viadeo Linkedin

Cour de justice de l’Union européenne, grande chambre, arrêt du 24 septembre 2019

Google LLC / CNIL

données personnelles - moteur de recherche - portée territoriale - RGPD

1/ La demande de décision préjudicielle porte sur l’interprétation de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO 1995, L 281, p. 31).

2/ Cette demande a été présentée dans le cadre d’un litige opposant Google LLC, venant aux droits de Google Inc., à la Commission nationale de l’informatique et des libertés (CNIL) (France) au sujet d’une sanction de 100 000 euros prononcée par cette dernière à l’encontre de Google en raison du refus de cette société, lorsqu’elle fait droit à une demande de déréférencement, d’appliquer celui-ci à l’ensemble des extensions de nom de domaine de son moteur de recherche.

Le cadre juridique

Le droit de l’Union

La directive 95/46

3/ La directive 95/46 a, selon son article 1er, paragraphe 1, pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données.

4/ Les considérants 2, 7, 10, 18, 20 et 37 de la directive 95/46 énoncent :

« (2) considérant que les systèmes de traitement de données sont au service de l’homme ; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au […] bien-être des individus ;

[…]

(7) considérant que les différences entre États membres quant au niveau de protection des droits et libertés des personnes, notamment du droit à la vie privée, à l’égard des traitements de données à caractère personnel peuvent empêcher la transmission de ces données du territoire d’un État membre à celui d’un autre État membre ; que ces différences peuvent dès lors constituer un obstacle à l’exercice d’une série d’activités économiques à l’échelle communautaire, […]

[…]

(10) considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950,] et dans les principes généraux du droit communautaire ; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté ;

[…]

(18) considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres ; […]

[…]

(20) considérant que l’établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive ; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l’État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés ;

[…]

(37) considérant que le traitement de données à caractère personnel à des fins de journalisme ou d’expression artistique ou littéraire, notamment dans le domaine audiovisuel, doit bénéficier de dérogations ou de limitations de certaines dispositions de la présente directive dans la mesure où elles sont nécessaires à la conciliation des droits fondamentaux de la personne avec la liberté d’expression, et notamment la liberté de recevoir ou de communiquer des informations, telle que garantie notamment à l’article 10 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ; qu’il incombe donc aux États membres, aux fins de la pondération entre les droits fondamentaux, de prévoir les dérogations et limitations nécessaires en ce qui concerne les mesures générales relatives à la légalité du traitement des données, […] »

5/ L’article 2 de cette directive dispose :

« Aux fins de la présente directive, on entend par :

a) “données à caractère personnel” : toute information concernant une personne physique identifiée ou identifiable (personne concernée) ; […]

b) “traitement de données à caractère personnel” (traitement) : toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction ;

[…]

d) “responsable du traitement” : la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ; […]

[…] »

6/ L’article 4 de ladite directive, intitulé « Droit national applicable », prévoit :

« 1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

a) le traitement est effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre ; si un même responsable du traitement est établi sur le territoire de plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de ses établissements, des obligations prévues par le droit national applicable ;

b) le responsable du traitement n’est pas établi sur le territoire de l’État membre mais en un lieu où sa loi nationale s’applique en vertu du droit international public ;

c) le responsable du traitement n’est pas établi sur le territoire de la Communauté et recourt, à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu’à des fins de transit sur le territoire de la Communauté.

2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant établi sur le territoire dudit État membre, sans préjudice d’actions qui pourraient être introduites contre le responsable du traitement lui-même. »

7/ L’article 9 de la directive 95/46, intitulé « Traitements de données à caractère personnel et liberté d’expression », énonce :

« Les États membres prévoient, pour les traitements de données à caractère personnel effectués aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et dérogations au présent chapitre, au chapitre IV et au chapitre VI dans la seule mesure où elles s’avèrent nécessaires pour concilier le droit à la vie privée avec les règles régissant la liberté d’expression. »

8/ L’article 12 de cette directive, intitulé « Droit d’accès », prévoit :

« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :

[…]

b) selon le cas, la rectification, l’effacement ou le verrouillage des données dont le traitement n’est pas conforme à la présente directive, notamment en raison du caractère incomplet ou inexact des données ;

[…] »

9/ L’article 14 de ladite directive, intitulé « Droit d’opposition de la personne concernée », dispose :

« Les États membres reconnaissent à la personne concernée le droit :

a) au moins dans les cas visés à l’article 7 points e) et f), de s’opposer à tout moment, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernant fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. En cas d’opposition justifiée, le traitement mis en œuvre par le responsable du traitement ne peut plus porter sur ces données ;

[…] »

10/ L’article 24 de la directive 95/46, intitulé « Sanctions », prévoit :

« Les États membres prennent les mesures appropriées pour assurer la pleine application des dispositions de la présente directive et déterminent notamment les sanctions à appliquer en cas de violation des dispositions prises en application de la présente directive. »

11/ L’article 28 de cette directive, intitulé « Autorité de contrôle », est libellé comme suit :

« 1. Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

[…]

3. Chaque autorité de contrôle dispose notamment :

– de pouvoirs d’investigation, tels que le pouvoir d’accéder aux données faisant l’objet d’un traitement et de recueillir toutes les informations nécessaires à l’accomplissement de sa mission de contrôle,

– de pouvoirs effectifs d’intervention, tels que, par exemple, celui […] d’ordonner le verrouillage, l’effacement ou la destruction de données, ou d’interdire temporairement ou définitivement un traitement […]

[…]

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

4. Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

[…]

6. Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

[…] »

Le règlement (UE) 2016/679

12/ Le règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) (JO 2016, L 119, p. 1, et rectificatif JO 2018, L 127, p. 2), qui est fondé sur l’article 16 TFUE, est applicable, en vertu de son article 99, paragraphe 2, à partir du 25 mai 2018. L’article 94, paragraphe 1, de ce règlement dispose que la directive 95/46 est abrogée avec effet à cette même date.

13/ Les considérants 1, 4, 9 à 11, 13, 22 à 25 et 65 dudit règlement énoncent :

« (1) La protection des personnes physiques à l’égard du traitement des données à caractère personnel est un droit fondamental. L’article 8, paragraphe 1, de la charte des droits fondamentaux de l’Union européenne (ci-après dénommée “Charte”) et l’article 16, paragraphe 1, [TFUE] disposent que toute personne a droit à la protection des données à caractère personnel la concernant.

[…]

(4) Le traitement des données à caractère personnel devrait être conçu pour servir l’humanité. Le droit à la protection des données à caractère personnel n’est pas un droit absolu ; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. Le présent règlement respecte tous les droits fondamentaux et observe les libertés et les principes reconnus par la Charte, consacrés par les traités, en particulier le respect de la vie privée et familiale, […] la protection des données à caractère personnel, la liberté de pensée, de conscience et de religion, la liberté d’expression et d’information, la liberté d’entreprise, […]

[…]

(9) […] la directive 95/46[…] n’a pas permis d’éviter une fragmentation de la mise en œuvre de la protection des données dans l’Union […]. Les différences dans le niveau de protection […] dans les États membres peuvent empêcher le libre flux de ces données dans l’ensemble de l’Union. Ces différences peuvent dès lors constituer un obstacle à l’exercice des activités économiques au niveau de l’Union […].

(10) Afin d’assurer un niveau cohérent et élevé de protection des personnes physiques et de lever les obstacles aux flux de données à caractère personnel au sein de l’Union, le niveau de protection des droits et des libertés des personnes physiques à l’égard du traitement de ces données devrait être équivalent dans tous les États membres. […]

(11) Une protection effective des données à caractère personnel dans l’ensemble de l’Union exige de renforcer et de préciser les droits des personnes concernées et les obligations de ceux qui effectuent et déterminent le traitement des données à caractère personnel, ainsi que de prévoir, dans les États membres, des pouvoirs équivalents de surveillance et de contrôle du respect des règles relatives à la protection des données à caractère personnel et des sanctions équivalentes pour les violations.

[…]

(13) Afin d’assurer un niveau cohérent de protection des personnes physiques dans l’ensemble de l’Union, et d’éviter que des divergences n’entravent la libre circulation des données à caractère personnel au sein du marché intérieur, un règlement est nécessaire pour garantir la sécurité juridique et la transparence aux opérateurs économiques, […] pour offrir aux personnes physiques de tous les États membres un même niveau de droits opposables et d’obligations et de responsabilités pour les responsables du traitement et les sous-traitants, et pour assurer une surveillance cohérente du traitement des données à caractère personnel, et des sanctions équivalentes dans tous les États membres, ainsi qu’une coopération efficace entre les autorités de contrôle des différents États membres. Pour que le marché intérieur fonctionne correctement, il est nécessaire que la libre circulation des données à caractère personnel au sein de l’Union ne soit ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. […]

[…]

(22) Tout traitement de données à caractère personnel qui a lieu dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union devrait être effectué conformément au présent règlement, que le traitement lui-même ait lieu ou non dans l’Union. […]

(23) Afin de garantir qu’une personne physique ne soit pas exclue de la protection à laquelle elle a droit en vertu du présent règlement, le traitement de données à caractère personnel relatives à des personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union devrait être soumis au présent règlement lorsque les activités de traitement sont liées à l’offre de biens ou de services à ces personnes, qu’un paiement soit exigé ou non. Afin de déterminer si un tel responsable du traitement ou sous-traitant offre des biens ou des services à des personnes concernées qui se trouvent dans l’Union, il y a lieu d’établir s’il est clair que le responsable du traitement ou le sous-traitant envisage d’offrir des services à des personnes concernées dans un ou plusieurs États membres de l’Union. […]

(24) Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur [I]nternet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit.

(25) Lorsque le droit d’un État membre s’applique en vertu du droit international public, le présent règlement devrait s’appliquer également à un responsable du traitement qui n’est pas établi dans l’Union, par exemple qui se trouve auprès de la représentation diplomatique ou consulaire d’un État membre.

[…]

(65) Les personnes concernées devraient […] disposer d’un “droit à l’oubli” lorsque la conservation de ces données constitue une violation du présent règlement ou du droit de l’Union ou du droit d’un État membre auquel le responsable du traitement est soumis. […] Toutefois, la conservation ultérieure des données à caractère personnel devrait être licite lorsqu’elle est nécessaire à l’exercice du droit à la liberté d’expression et d’information […] »

14/ L’article 3 du règlement 2016/679, intitulé « Champ d’application territorial », est libellé comme suit :

« 1. Le présent règlement s’applique au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union.

2. Le présent règlement s’applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées :

a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou

b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union.

3. Le présent règlement s’applique au traitement de données à caractère personnel par un responsable du traitement qui n’est pas établi dans l’Union mais dans un lieu où le droit d’un État membre s’applique en vertu du droit international public. »

15/ L’article 4, point 23, de ce règlement définit la notion de « traitement transfrontalier » comme suit :

« a) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’établissements dans plusieurs États membres d’un responsable du traitement ou d’un sous-traitant lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ; ou

b) un traitement de données à caractère personnel qui a lieu dans l’Union dans le cadre des activités d’un établissement unique d’un responsable du traitement ou d’un sous-traitant, mais qui affecte sensiblement ou est susceptible d’affecter sensiblement des personnes concernées dans plusieurs États membres ».

16/ L’article 17 dudit règlement, intitulé « Droit à l’effacement (“droit à l’oubli”) », est libellé comme suit :

« 1. La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;

b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;

c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;

d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;

e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;

f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

[…]

3. Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :

a) à l’exercice du droit à la liberté d’expression et d’information ;

[…] »

17/ L’article 21 du même règlement, intitulé « Droit d’opposition », prévoit, à son paragraphe 1 :

« La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. »

18/ L’article 55 du règlement 2016/679, intitulé « Compétence », qui fait partie du chapitre VI de ce règlement, lui-même intitulé « Autorités de contrôle indépendantes », dispose, à son paragraphe 1 :

« Chaque autorité de contrôle est compétente pour exercer les missions et les pouvoirs dont elle est investie conformément au présent règlement sur le territoire de l’État membre dont elle relève. »

19/ L’article 56 dudit règlement, intitulé « Compétence de l’autorité de contrôle chef de file », énonce :

« 1. Sans préjudice de l’article 55, l’autorité de contrôle de l’établissement principal ou de l’établissement unique du responsable du traitement ou du sous-traitant est compétente pour agir en tant qu’autorité de contrôle chef de file concernant le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant, conformément à la procédure prévue à l’article 60.

2. Par dérogation au paragraphe 1, chaque autorité de contrôle est compétente pour traiter une réclamation introduite auprès d’elle ou une éventuelle violation du présent règlement, si son objet concerne uniquement un établissement dans l’État membre dont elle relève ou affecte sensiblement des personnes concernées dans cet État membre uniquement.

3. Dans les cas visés au paragraphe 2 du présent article, l’autorité de contrôle informe sans tarder l’autorité de contrôle chef de file de la question. Dans un délai de trois semaines suivant le moment où elle a été informée, l’autorité de contrôle chef de file décide si elle traitera ou non le cas conformément à la procédure prévue à l’article 60, en considérant s’il existe ou non un établissement du responsable du traitement ou du sous-traitant dans l’État membre de l’autorité de contrôle qui l’a informée.

4. Si l’autorité de contrôle chef de file décide de traiter le cas, la procédure prévue à l’article 60 s’applique. L’autorité de contrôle qui a informé l’autorité de contrôle chef de file peut lui soumettre un projet de décision. L’autorité de contrôle chef de file tient le plus grand compte de ce projet lorsqu’elle élabore le projet de décision visé à l’article 60, paragraphe 3.

5. Lorsque l’autorité de contrôle chef de file décide de ne pas traiter le cas, l’autorité de contrôle qui l’a informée le traite conformément aux articles 61 et 62.

6. L’autorité de contrôle chef de file est le seul interlocuteur du responsable du traitement ou du sous-traitant pour le traitement transfrontalier effectué par ce responsable du traitement ou ce sous-traitant. »

20/ L’article 58 du même règlement, intitulé « Pouvoirs », prévoit, à son paragraphe 2 :

« Chaque autorité de contrôle dispose du pouvoir d’adopter toutes les mesures correctrices suivantes :

[…]

g) ordonner […] l’effacement de données à caractère personnel […] en application des articles […] 17 […] ;

[…]

i) imposer une amende administrative […] en complément ou à la place des mesures visées au présent paragraphe, en fonction des caractéristiques propres à chaque cas».

21/ Sous le chapitre VII du règlement 2016/679, intitulé « Coopération et cohérence », la section I, intitulée « Coopération », comprend les articles 60 à 62 de ce règlement. Cet article 60, intitulé « Coopération entre l’autorité de contrôle chef de file et les autres autorités de contrôle concernées », dispose :

« 1. L’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées conformément au présent article en s’efforçant de parvenir à un consensus. L’autorité de contrôle chef de file et les autorités de contrôle concernées échangent toute information utile.

2. L’autorité de contrôle chef de file peut demander à tout moment aux autres autorités de contrôle concernées de se prêter mutuellement assistance en application de l’article 61 et peut mener des opérations conjointes en application de l’article 62, en particulier pour effectuer des enquêtes ou contrôler l’application d’une mesure concernant un responsable du traitement ou un sous-traitant établi dans un autre État membre.

3. L’autorité de contrôle chef de file communique, sans tarder, les informations utiles sur la question aux autres autorités de contrôle concernées. Elle soumet sans tarder un projet de décision aux autres autorités de contrôle concernées en vue d’obtenir leur avis et tient dûment compte de leur point de vue.

4. Lorsqu’une des autres autorités de contrôle concernées formule, dans un délai de quatre semaines après avoir été consultée conformément au paragraphe 3 du présent article, une objection pertinente et motivée à l’égard du projet de décision, l’autorité de contrôle chef de file, si elle ne suit pas l’objection pertinente et motivée ou si elle est d’avis que cette objection n’est pas pertinente ou motivée, soumet la question au mécanisme de contrôle de la cohérence visé à l’article 63.

5. Lorsque l’autorité de contrôle chef de file entend suivre l’objection pertinente et motivée formulée, elle soumet aux autres autorités de contrôle concernées un projet de décision révisé en vue d’obtenir leur avis. Ce projet de décision révisé est soumis à la procédure visée au paragraphe 4 dans un délai de deux semaines.

6. Lorsqu’aucune des autres autorités de contrôle concernées n’a formulé d’objection à l’égard du projet de décision soumis par l’autorité de contrôle chef de file dans le délai visé aux paragraphes 4 et 5, l’autorité de contrôle chef de file et les autorités de contrôle concernées sont réputées approuver ce projet de décision et sont liées par lui.

7. L’autorité de contrôle chef de file adopte la décision, la notifie à l’établissement principal ou à l’établissement unique du responsable du traitement ou du sous-traitant, selon le cas, et informe les autres autorités de contrôle concernées et le comité de la décision en question, y compris en communiquant un résumé des faits et motifs pertinents. L’autorité de contrôle auprès de laquelle une réclamation a été introduite informe de la décision l’auteur de la réclamation.

8. Par dérogation au paragraphe 7, lorsqu’une réclamation est refusée ou rejetée, l’autorité de contrôle auprès de laquelle la réclamation a été introduite adopte la décision, la notifie à l’auteur de la réclamation et en informe le responsable du traitement.

9. Lorsque l’autorité de contrôle chef de file et les autorités de contrôle concernées sont d’accord pour refuser ou rejeter certaines parties d’une réclamation et donner suite à d’autres parties de cette réclamation, une décision distincte est adoptée pour chacune des parties. […]

10. Après avoir été informé de la décision de l’autorité de contrôle chef de file en application des paragraphes 7 et 9, le responsable du traitement ou le sous-traitant prend les mesures nécessaires pour assurer le respect de cette décision en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Le responsable du traitement ou le sous-traitant notifie les mesures prises pour assurer le respect de la décision à l’autorité de contrôle chef de file, qui informe les autres autorités de contrôle concernées.

11. Lorsque, dans des circonstances exceptionnelles, une autorité de contrôle concernée a des raisons de considérer qu’il est urgent d’intervenir pour protéger les intérêts des personnes concernées, la procédure d’urgence visée à l’article 66 s’applique.

[…] »

22/ L’article 61 dudit règlement, intitulé « Assistance mutuelle », énonce, à son paragraphe 1 :

« Les autorités de contrôle se communiquent les informations utiles et se prêtent mutuellement assistance en vue de mettre en œuvre et d’appliquer le présent règlement de façon cohérente, et mettent en place des mesures pour coopérer efficacement. L’assistance mutuelle concerne notamment les demandes d’informations et les mesures de contrôle, telles que les demandes d’autorisation et de consultation préalables, les inspections et les enquêtes. »

23/ L’article 62 du même règlement, intitulé « Opérations conjointes des autorités de contrôle », prévoit :

« 1. Les autorités de contrôle mènent, le cas échéant, des opérations conjointes, y compris en effectuant des enquêtes conjointes et en prenant des mesures répressives conjointes, auxquelles participent des membres ou des agents des autorités de contrôle d’autres États membres.

2. Lorsque le responsable du traitement ou le sous-traitant est établi dans plusieurs États membres ou si un nombre important de personnes concernées dans plusieurs États membres sont susceptibles d’être sensiblement affectées par des opérations de traitement, une autorité de contrôle de chacun de ces États membres a le droit de participer aux opérations conjointes. […] »

24/ La section 2, intitulée « Cohérence », du chapitre VII du règlement 2016/679 comprend les articles 63 à 67 de ce règlement. Cet article 63, intitulé « Mécanisme de contrôle de la cohérence », est libellé comme suit :

« Afin de contribuer à l’application cohérente du présent règlement dans l’ensemble de l’Union, les autorités de contrôle coopèrent entre elles et, le cas échéant, avec la Commission dans le cadre du mécanisme de contrôle de la cohérence établi dans la présente section. »

25/ L’article 65 dudit règlement, intitulé « Règlement des litiges par le comité », prévoit, à son paragraphe 1 :

« En vue d’assurer l’application correcte et cohérente du présent règlement dans les cas d’espèce, le comité adopte une décision contraignante dans les cas suivants :

a) lorsque, dans le cas visé à l’article 60, paragraphe 4, une autorité de contrôle concernée a formulé une objection pertinente et motivée à l’égard d’un projet de décision de l’autorité de contrôle chef de file et que l’autorité de contrôle chef de file n’a pas donné suite à l’objection ou a rejeté cette objection au motif qu’elle n’est pas pertinente ou motivée. La décision contraignante concerne toutes les questions qui font l’objet de l’objection pertinente et motivée, notamment celle de savoir s’il y a violation du présent règlement ;

b) lorsqu’il existe des points de vue divergents quant à l’autorité de contrôle concernée qui est compétente pour l’établissement principal ;

[…] »

26/ L’article 66 du même règlement, intitulé « Procédure d’urgence », dispose, à son paragraphe 1 :

« Dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et libertés des personnes concernées, elle peut, par dérogation au mécanisme de contrôle de la cohérence visé aux articles 63, 64 et 65 ou à la procédure visée à l’article 60, adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois. L’autorité de contrôle communique sans tarder ces mesures et les raisons de leur adoption aux autres autorités de contrôle concernées, au comité et à la Commission. »

27/ L’article 85 du règlement 2016/679, intitulé « Traitement et liberté d’expression et d’information », énonce :

« 1. Les États membres concilient, par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire.

2. Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III (droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au chapitre V (transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et cohérence) et au chapitre IX (situations particulières de traitement) si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information.

[…] »

Le droit français

28/ La mise en œuvre de la directive 95/46 en droit français est assurée par la loi no 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés, dans sa version applicable aux faits au principal (ci-après la « loi du 6 janvier 1978 »).

29/ L’article 45 de cette loi précise que lorsque le responsable d’un traitement ne respecte pas les obligations découlant de ladite loi, le président de la CNIL peut le mettre en demeure de faire cesser le manquement constaté dans un délai qu’il fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure qui lui est adressée, la formation restreinte de la CNIL peut prononcer, après une procédure contradictoire, notamment une sanction pécuniaire.

Le litige au principal et les questions préjudicielles

30/ Par une décision du 21 mai 2015, la présidente de la CNIL a mis Google en demeure, lorsqu’elle fait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche.

31/ Google a refusé de donner suite à cette mise en demeure, se bornant à supprimer les liens en cause des seuls résultats affichés en réponse à des recherches effectuées depuis les noms de domaine correspondant aux déclinaisons de son moteur dans les États membres.

32/ La CNIL a par ailleurs estimé insuffisante la proposition complémentaire dite de « géoblocage », faite par Google après l’expiration du délai de mise en demeure, consistant à supprimer la possibilité d’accéder, depuis une adresse IP (Internet Protocol) réputée localisée dans l’État de résidence de la personne concernée, aux résultats litigieux à la suite d’une recherche effectuée à partir de son nom, indépendamment de la déclinaison du moteur de recherche qu’a sollicitée l’internaute.

33/ Après avoir constaté que Google ne s’était pas, dans le délai imparti, conformée à ladite mise en demeure, la CNIL, par une délibération en date du 10 mars 2016, a prononcé à l’encontre de cette société une sanction, rendue publique, de 100 000 euros.

34/ Par requête introduite devant le Conseil d’État (France), Google demande l’annulation de cette délibération.

35/ Le Conseil d’État constate que le traitement de données à caractère personnel effectué par le moteur de recherche exploité par Google relève, compte tenu des activités de promotion et de vente des espaces publicitaires exercées, en France, par sa filiale Google France, du champ d’application de la loi du 6 janvier 1978.

36/ Le Conseil d’État relève, par ailleurs, que le moteur de recherche exploité par Google est décliné en différents noms de domaine par des extensions géographiques, afin d’adapter les résultats affichés aux spécificités, notamment linguistiques, des différents États dans lesquels cette société exerce son activité. Lorsque la recherche est effectuée depuis « google.com », Google procéderait, en principe, à une redirection automatique de cette recherche vers le nom de domaine correspondant à l’État à partir duquel cette recherche est, grâce à l’identification de l’adresse IP de l’internaute, réputée effectuée. Toutefois, indépendamment de sa localisation, il resterait loisible à l’internaute d’effectuer ses recherches sur les autres noms de domaine du moteur de recherche. Par ailleurs, si les résultats peuvent différer selon le nom de domaine à partir duquel ladite recherche est effectuée sur le moteur, il serait constant que les liens affichés en réponse à une recherche proviennent de bases de données et d’un travail d’indexation communs.

37/ Le Conseil d’État estime que, compte tenu, d’une part, du fait que les noms de domaine du moteur de recherche de Google sont tous accessibles depuis le territoire français et, d’autre part, de l’existence de passerelles entre ces différents noms de domaine, qu’illustrent notamment la redirection automatique et la présence de témoins de connexion, à savoir les « cookies », sur d’autres extensions du moteur que celle sur laquelle ils ont été initialement déposés, ce moteur, qui n’a, au demeurant, fait l’objet que d’une seule déclaration auprès de la CNIL, doit être regardé comme effectuant un traitement de données à caractère personnel unique pour l’application de la loi du 6 janvier 1978. Il en résulterait que le traitement de données à caractère personnel par le moteur de recherche exploité par Google est effectué dans le cadre de l’une de ses installations, Google France, établie sur le territoire français, et qu’il est, à ce titre, soumis à la loi du 6 janvier 1978.

38/ Devant le Conseil d’État, Google soutient que la sanction litigieuse repose sur une interprétation erronée des dispositions de la loi du 6 janvier 1978, qui transposent l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46, sur la base desquels la Cour, dans son arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317), a reconnu un « droit au déréférencement ». Google fait valoir que ce droit n’implique pas nécessairement que les liens litigieux soient supprimés, sans limitation géographique, sur l’ensemble des noms de domaine de son moteur. En outre, en retenant une telle interprétation, la CNIL aurait méconnu les principes de courtoisie et de non-ingérence reconnus par le droit international public et porté une atteinte disproportionnée aux libertés d’expression, d’information, de communication et de la presse garanties, notamment, par l’article 11 de la Charte.

39/ Ayant constaté que cette argumentation soulève plusieurs difficultés sérieuses d’interprétation de la directive 95/46, le Conseil d’État a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

« 1) Le “droit au déréférencement”, tel qu’il a été consacré par la [Cour] dans son arrêt du 13 mai 2014, [Google Spain et Google (C‑131/12, EU:C:2014:317),] sur le fondement des dispositions de l’article 12, sous b), et de l’article 14, [premier alinéa,] sous a), de la directive [95/46], doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée, y compris hors du champ d’application territorial de la directive [95/46] ?

2) En cas de réponse négative à cette première question, le “droit au déréférencement”, tel que consacré par la [Cour] dans son arrêt précité, doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche est seulement tenu, lorsqu’il fait droit à une demande de déréférencement, de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur sur le nom de domaine correspondant à l’État où la demande est réputée avoir été effectuée ou, plus généralement, sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des États membres […] ?

3) En outre, en complément de l’obligation évoquée [à la deuxième question], le “droit au déréférencement”, tel que consacré par la [Cour] dans son arrêt précité, doit-il être interprété en ce sens que l’exploitant d’un moteur de recherche faisant droit à une demande de déréférencement est tenu de supprimer, par la technique dite du “géoblocage”, depuis une adresse IP réputée localisée dans l’État de résidence du bénéficiaire du “droit au déréférencement”, les résultats litigieux des recherches effectuées à partir de son nom, ou même, plus généralement, depuis une adresse IP réputée localisée dans l’un des États membres soumis à la directive [95/46], ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche ? »

Sur les questions préjudicielles

40/ L’affaire au principal trouve son origine dans un litige entre Google et la CNIL sur le point de savoir de quelle manière l’exploitant d’un moteur de recherche, lorsqu’il constate que la personne concernée a droit à ce qu’un ou plusieurs liens vers des pages web sur lesquelles figurent des données à caractère personnel la concernant soient effacés de la liste de résultats, qui est affichée à la suite d’une recherche effectuée à partir de son nom, doit mettre en œuvre ce droit au déréférencement. Si, à la date de l’introduction de la demande de décision préjudicielle, était applicable la directive 95/46, celle-ci a été abrogée avec effet au 25 mai 2018, date à partir de laquelle est applicable le règlement 2016/679.

41/ La Cour examinera les questions posées au regard tant de cette directive que de ce règlement, afin d’assurer que ses réponses seront, en toute hypothèse, utiles pour la juridiction de renvoi.

42/ Lors de la procédure devant la Cour, Google a exposé que, après l’introduction de la demande de décision préjudicielle, elle a mis en place une nouvelle présentation des versions nationales de son moteur de recherche, dans le cadre de laquelle le nom de domaine introduit par l’internaute ne déterminerait plus la version nationale du moteur de recherche à laquelle celui-ci accède. Ainsi, l’internaute serait désormais automatiquement dirigé vers la version nationale du moteur de recherche de Google qui correspond au lieu à partir duquel il est présumé effectuer la recherche et les résultats de celle-ci seraient affichés en fonction de ce lieu, lequel serait déterminé par Google à l’aide d’un procédé de géolocalisation.

43/ Dans ces conditions, il y a lieu de comprendre les questions posées, qu’il convient de traiter conjointement, comme visant à savoir, en substance, si l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que l’article 17, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement sur l’ensemble des versions de son moteur ou si, au contraire, il n’est tenu de l’opérer que sur les versions de celui-ci correspondant à l’ensemble des États membres, voire, uniquement, sur celle correspondant à l’État membre dans lequel la demande de déréférencement a été introduite, le cas échéant, en combinaison avec le recours à la technique dite du « géoblocage » afin de garantir qu’un internaute ne puisse, quelle que soit la version nationale du moteur de recherche utilisée, accéder, dans le cadre d’une recherche effectuée à partir d’une adresse IP réputée localisée dans l’État membre de résidence du bénéficiaire du droit au déréférencement ou, plus largement, dans un État membre, aux liens concernés par le déréférencement.

44/ À titre liminaire, il importe de rappeler que la Cour a jugé que l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46 doivent être interprétés en ce sens que, afin de respecter les droits prévus à ces dispositions et pour autant que les conditions prévues par celles-ci sont effectivement satisfaites, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite (arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 88).

45/ La Cour a, en outre, précisé que, dans le cadre de l’appréciation des conditions d’application de ces mêmes dispositions, il convient notamment d’examiner si la personne concernée a un droit à ce que l’information en question relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats affichée à la suite d’une recherche effectuée à partir de son nom, sans pour autant que la constatation d’un tel droit présuppose que l’inclusion de l’information en question dans cette liste cause un préjudice à cette personne. Cette dernière pouvant, eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats, ces droits prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt de ce public à accéder à ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question (arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 99).

46/ Dans le cadre du règlement 2016/679, ce droit au déréférencement de la personne concernée trouve désormais son fondement à l’article 17 de celui-ci, qui régit spécifiquement le « droit à l’effacement », également dénommé, dans l’intitulé de cet article, « droit à l’oubli ».

47/ En application de l’article 17, paragraphe 1, du règlement 2016/679, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données dans les meilleurs délais, lorsque l’un des motifs énumérés par cette disposition s’applique. L’article 17, paragraphe 3, de ce règlement précise que ledit article 17, paragraphe 1, ne s’applique pas dans la mesure où le traitement en cause est nécessaire pour l’un des motifs énumérés à cette première disposition. Ces motifs couvrent notamment, en vertu de l’article 17, paragraphe 3, sous a), dudit règlement, l’exercice du droit relatif, notamment, à la liberté d’information des internautes.

48/ Il résulte de l’article 4, paragraphe 1, sous a), de la directive 95/46 et de l’article 3, paragraphe 1, du règlement 2016/679 que tant cette directive que ce règlement permettent aux personnes concernées de faire valoir leur droit au déréférencement à l’encontre de l’exploitant d’un moteur de recherche qui dispose d’un ou de plusieurs établissements sur le territoire de l’Union, dans le cadre des activités desquels il effectue un traitement de données à caractère personnel concernant ces personnes, et ce indépendamment du point de savoir si ce traitement a lieu ou non dans l’Union.

49/ À cet égard, la Cour a jugé qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre (arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 60).

50/ En effet, dans de telles circonstances, les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’Union sont indissociablement liées dès lors que les activités relatives aux espaces publicitaires constituent le moyen pour rendre le moteur de recherche en cause économiquement rentable et que ce moteur est, en même temps, le moyen permettant l’accomplissement de ces activités, l’affichage de la liste des résultats étant accompagné, sur la même page, de celui de publicités liées aux termes de recherche (voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, points 56 et 57).

51/ Dans ces conditions, la circonstance que ce moteur de recherche soit exploité par une entreprise d’un État tiers ne saurait avoir pour conséquence que le traitement de données à caractère personnel effectué pour les besoins du fonctionnement dudit moteur de recherche dans le cadre de l’activité publicitaire et commerciale d’un établissement du responsable de ce traitement sur le territoire d’un État membre soit soustrait aux obligations et aux garanties prévues par la directive 95/46 et par le règlement 2016/679 (voir, en ce sens, arrêt du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 58).

52/ En l’occurrence, il ressort des indications fournies par la décision de renvoi, d’une part, que l’établissement dont dispose Google sur le territoire français exerce des activités, notamment commerciales et publicitaires, qui sont indissociablement liées au traitement de données à caractère personnel effectué pour les besoins du fonctionnement du moteur de recherche concerné et, d’autre part, que ce moteur de recherche doit, compte tenu, notamment, de l’existence de passerelles entre ses différentes versions nationales, être regardé comme effectuant un traitement de données à caractère personnel unique. La juridiction de renvoi considère que, dans ces conditions, ledit traitement est effectué dans le cadre de l’établissement de Google situé sur le territoire français. Il apparaît ainsi qu’une telle situation relève du champ d’application territorial de la directive 95/46 et du règlement 2016/679.

53/ Par ses questions, la juridiction de renvoi vise à déterminer la portée territoriale qu’il y a lieu de conférer à un déréférencement en pareille situation.

54/ À cet égard, il ressort du considérant 10 de la directive 95/46 et des considérants 10, 11 et 13 du règlement 2016/679, lequel a été adopté sur le fondement de l’article 16 TFUE, que l’objectif de cette directive et de ce règlement est de garantir un niveau élevé de protection des données à caractère personnel dans l’ensemble de l’Union.

55/ Certes, un déréférencement opéré sur l’ensemble des versions d’un moteur de recherche est de nature à rencontrer pleinement cet objectif.

56/ En effet, Internet est un réseau mondial sans frontières et les moteurs de recherche confèrent un caractère ubiquitaire aux informations et aux liens contenus dans une liste de résultats affichée à la suite d’une recherche effectuée à partir du nom d’une personne physique (voir, en ce sens, arrêts du 13 mai 2014, Google Spain et Google, C‑131/12, EU:C:2014:317, point 80, ainsi que du 17 octobre 2017, Bolagsupplysningen et Ilsjan, C‑194/16, EU:C:2017:766, point 48).

57/ Dans un monde globalisé, l’accès des internautes, notamment de ceux qui se trouvent en dehors de l’Union, au référencement d’un lien renvoyant à des informations sur une personne dont le centre d’intérêts se situe dans l’Union est ainsi susceptible de produire sur celle-ci des effets immédiats et substantiels au sein même de l’Union.

58/ De telles considérations sont de nature à justifier l’existence d’une compétence du législateur de l’Union pour prévoir l’obligation, pour l’exploitant d’un moteur de recherche, de procéder, lorsqu’il fait droit à une demande de déréférencement formulée par une telle personne, à un déréférencement sur l’ensemble des versions de son moteur.

59/ Cela étant, il convient de souligner que de nombreux États tiers ne connaissent pas le droit au déréférencement ou adoptent une approche différente de ce droit.

60/ Par ailleurs, le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité [voir, en ce sens, arrêt du 9 novembre 2010, Volker und Markus Schecke et Eifert, C‑92/09 et C‑93/09, EU:C:2010:662, point 48, ainsi que avis 1/15 (Accord PNR UE-Canada), du 26 juillet 2017, EU:C:2017:592, point 136]. À cela s’ajoute le fait que l’équilibre entre le droit au respect de la vie privée et à la protection des données à caractère personnel, d’un côté, et la liberté d’information des internautes, de l’autre côté, est susceptible de varier de manière importante à travers le monde.

61/ Or, si le législateur de l’Union a, à l’article 17, paragraphe 3, sous a), du règlement 2016/679, effectué une mise en balance entre ce droit et cette liberté pour ce qui concerne l’Union [voir, en ce sens, arrêt de ce jour, GC e.a. (Déréférencement de données sensibles), C‑136/17, point 59], force est de constater que, en revanche, il n’a, en l’état actuel, pas procédé à une telle mise en balance pour ce qui concerne la portée d’un déréférencement en dehors de l’Union.

62/ En particulier, il ne ressort aucunement des termes de l’article 12, sous b), et de l’article 14, premier alinéa, sous a), de la directive 95/46 ou de l’article 17 du règlement 2016/679 que le législateur de l’Union aurait, aux fins de garantir la réalisation de l’objectif mentionné au point 54 du présent arrêt, fait le choix de conférer aux droits consacrés à ces dispositions une portée qui dépasserait le territoire des États membres et qu’il aurait entendu imposer à un opérateur qui, tel Google, relève du champ d’application de cette directive ou de ce règlement une obligation de déréférencement portant également sur les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres.

63/ D’ailleurs, alors que le règlement 2016/679 fournit, à ses articles 56 et 60 à 66, aux autorités de contrôle des États membres les instruments et les mécanismes qui leur permettent, le cas échéant, de coopérer aux fins de parvenir à une décision commune fondée sur une mise en balance entre le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et l’intérêt du public de différents États membres à avoir accès à une information, force est de constater que le droit de l’Union ne prévoit actuellement pas de tels instruments et mécanismes de coopération pour ce qui concerne la portée d’un déréférencement en dehors de l’Union.

64/ Il s’ensuit que, en l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, le cas échéant, à la suite d’une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un État membre, pas d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur.

65/ Compte tenu de l’ensemble de ces considérations, l’exploitant d’un moteur de recherche ne saurait être tenu, en vertu de l’article 12, sous b), et de l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que de l’article 17, paragraphe 1, du règlement 2016/679, d’opérer un déréférencement sur l’ensemble des versions de son moteur.

66/ S’agissant de la question de savoir si un tel déréférencement doit s’effectuer sur les versions du moteur de recherche correspondant aux États membres ou sur la seule version de ce moteur correspondant à l’État membre de résidence du bénéficiaire du déréférencement, il résulte notamment du fait que le législateur de l’Union a désormais choisi de fixer les règles en matière de protection des données par la voie d’un règlement, qui est directement applicable dans tous les États membres, et ce, ainsi que le souligne le considérant 10 du règlement 2016/679, afin d’assurer un niveau cohérent et élevé de protection dans l’ensemble de l’Union et de lever les obstacles aux flux de données au sein de celle-ci, que le déréférencement en cause est, en principe, censé être opéré pour l’ensemble des États membres.

67/ Il importe toutefois de constater que l’intérêt du public à accéder à une information peut, même au sein de l’Union, varier d’un État membre à l’autre, de sorte que le résultat de la mise en balance à effectuer entre celui-ci, d’une part, et les droits au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée, d’autre part, n’est pas forcément le même pour tous les États membres, d’autant plus que, en vertu de l’article 9 de la directive 95/46 et de l’article 85 du règlement 2016/679, il appartient aux États membres de prévoir, notamment pour les traitements aux seules fins de journalisme ou d’expression artistique ou littéraire, des exemptions et des dérogations nécessaires pour concilier ces droits avec, notamment, la liberté d’information.

68/ Il résulte notamment des articles 56 et 60 du règlement 2016/679 que, pour les traitements transfrontaliers, au sens de l’article 4, point 23, de celui-ci, et sous réserve de cet article 56, paragraphe 2, les différentes autorités de contrôle nationales concernées doivent coopérer, selon la procédure prévue par ces dispositions, afin de parvenir à un consensus et à une décision unique qui lie l’ensemble de ces autorités et dont le responsable du traitement doit assurer le respect en ce qui concerne les activités de traitement menées dans le cadre de tous ses établissements dans l’Union. Par ailleurs, l’article 61, paragraphe 1, du règlement 2016/679 oblige les autorités de contrôle notamment à se communiquer les informations utiles et à se prêter mutuellement assistance en vue de mettre en œuvre et d’appliquer ce règlement de façon cohérente dans l’ensemble de l’Union et l’article 63 dudit règlement précise que c’est dans ce but qu’est prévu le mécanisme de contrôle de la cohérence, établi aux articles 64 et 65 du même règlement. Enfin, la procédure d’urgence prévue à l’article 66 du règlement 2016/679 permet, dans des circonstances exceptionnelles, lorsqu’une autorité de contrôle concernée considère qu’il est urgent d’intervenir pour protéger les droits et les libertés des personnes concernées, d’adopter immédiatement des mesures provisoires visant à produire des effets juridiques sur son propre territoire et ayant une durée de validité déterminée qui n’excède pas trois mois.

69/ Ce cadre réglementaire fournit ainsi aux autorités de contrôle nationales les instruments et les mécanismes nécessaires pour concilier les droits au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée avec l’intérêt de l’ensemble du public des États membres à accéder à l’information en question et, ainsi, pour pouvoir adopter, le cas échéant, une décision de déréférencement qui couvre l’ensemble des recherches effectuées sur la base du nom de cette personne à partir du territoire de l’Union.

70/ Il incombe, en outre, à l’exploitant du moteur de recherche de prendre, si nécessaire, des mesures suffisamment efficaces pour assurer une protection effective des droits fondamentaux de la personne concernée. Ces mesures doivent, elles-mêmes, satisfaire à toutes les exigences légales et avoir pour effet d’empêcher ou, à tout le moins, de sérieusement décourager les internautes dans les États membres d’avoir accès aux liens en cause à partir d’une recherche effectuée sur la base du nom de cette personne (voir, par analogie, arrêts du 27 mars 2014, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, point 62, et du 15 septembre 2016, Mc Fadden, C‑484/14, EU:C:2016:689, point 96).

71/ Il appartient à la juridiction de renvoi de vérifier si, au regard également des modifications récentes de son moteur de recherche, exposées au point 42 du présent arrêt, les mesures adoptées ou proposées par Google satisfont à ces exigences.

72/ Il importe enfin de souligner que, si, ainsi qu’il a été relevé au point 64 du présent arrêt, le droit de l’Union n’impose pas, en l’état actuel, que le déréférencement auquel il serait fait droit porte sur l’ensemble des versions du moteur de recherche en cause, il ne l’interdit pas non plus. Partant, une autorité de contrôle ou une autorité judiciaire d’un État membre demeure compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux (voir, en ce sens, arrêts du 26 février 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, point 29, et du 26 février 2013, Melloni, C‑399/11, EU:C:2013:107, point 60), une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

73/ Au vu de tout ce qui précède, il y a lieu de répondre aux questions posées que l’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46 ainsi que l’article 17, paragraphe 1, du règlement 2016/679 doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.

Sur les dépens

74 La procédure revêtant, à l’égard des parties au principal, le caractère d’un incident soulevé devant la juridiction de renvoi, il appartient à celle-ci de statuer sur les dépens. Les frais exposés pour soumettre des observations à la Cour, autres que ceux desdites parties, ne peuvent faire l’objet d’un remboursement.

DÉCISION

L’article 12, sous b), et l’article 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, ainsi que l’article 17, paragraphe 1, du règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données), doivent être interprétés en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement en application de ces dispositions, il est tenu d’opérer ce déréférencement non pas sur l’ensemble des versions de son moteur, mais sur les versions de celui-ci correspondant à l’ensemble des États membres, et ce, si nécessaire, en combinaison avec des mesures qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande.

 

La Cour : K. Lenaerts (président), A. Arabadjiev, E. Regan, T. von Danwitz, C. Toader et F. Biltgen (présidents de chambre), M. Ilešič (rapporteur), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda et S. Rodin (juges), V. Giacobbo-Peyronnel (greffier)

Avocat général : M. Szpunar

Avocats : Mes P. Spinosi, Y. Pelosi et W. Maxwell, Me Isabelle Falque-Pierrotin, Me C. Rameix-Seguin, Me T. Haas, Me E. Piwnica, Me F. Louis, Mes H.-G. Kamann, C. Schwedler et M. Braun, Me G. Tapie, Me R. Guizzi

Source : curia.europa.eu

Lire notre présentation de la décision

 
 

En complément

Maître C. Rameix-Seguin est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître C. Schwedler est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître E. Piwnica est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître F. Louis est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître G. Tapie est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître H.-G. Kamann est également intervenu(e) dans les 3 affaires suivante  :

 

En complément

Maître Isabelle Falque-Pierrotin est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître M. Braun est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître Me P. Spinosi est également intervenu(e) dans les 3 affaires suivante  :

 

En complément

Maître R. Guizzi est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître T. Haas est également intervenu(e) dans l'affaire suivante  :

 

En complément

Maître W. Maxwell est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Maître Y. Pelosi est également intervenu(e) dans les 2 affaires suivante  :

 

En complément

Le magistrat A. Arabadjiev est également intervenu(e) dans les 6 affaires suivante  :

 

En complément

Le magistrat C. G. Fernlund est également intervenu(e) dans les 7 affaires suivante  :

 

En complément

Le magistrat C. Toader est également intervenu(e) dans les 20 affaires suivante  :

 

En complément

Le magistrat C. Vajda est également intervenu(e) dans les 5 affaires suivante  :

 

En complément

Le magistrat D. Šváby est également intervenu(e) dans les 13 affaires suivante  :

 

En complément

Le magistrat E. Regan est également intervenu(e) dans les 3 affaires suivante  :

 

En complément

Le magistrat F. Biltgen est également intervenu(e) dans les 7 affaires suivante  :

 

En complément

Le magistrat K. Lenaerts est également intervenu(e) dans les 22 affaires suivante  :

 

En complément

Le magistrat L. Bay Larsen est également intervenu(e) dans les 16 affaires suivante  :

 

En complément

Le magistrat M. Ilesic est également intervenu(e) dans les 19 affaires suivante  :

 

En complément

Le magistrat M. Safjan est également intervenu(e) dans les 17 affaires suivante  :

 

En complément

Le magistrat S. Rodin est également intervenu(e) dans les 8 affaires suivante  :

 

En complément

Le magistrat T. von Danwitz est également intervenu(e) dans les 9 affaires suivante  :

 

En complément

Le magistrat V. Giacobbo-Peyronnel est également intervenu(e) dans les 4 affaires suivante  :

 

* Nous portons l'attention de nos lecteurs sur les possibilités d'homonymies particuliérement lorsque les décisions ne comportent pas le prénom des personnes.