Quelles frontières pour le droit au déréférencement ?

Le droit au déréférencement imposé par le droit de l’Union à l’exploitant d’un moteur de recherche ne s’applique qu’à l’intérieur de l’UE. Exceptionnellement, ce droit peut être mondial

Par un arrêt en date 24 septembre 2019, la Cour de justice de l’Union européenne (« CJUE ») a jugé que l’exploitant d’un moteur de recherche, en l’espèce Google, n’est pas tenu de procéder à un déréférencement sur l’ensemble des versions de son moteur de recherche.

Le contexte

Cette décision vient mettre fin au contentieux qui opposait la CNIL à Google Inc sur la portée du droit au référencement consacré par l’arrêt Google Spain en 2014. Ce droit au déréférencement permet aux internautes européens, sous certaines conditions, de faire supprimer des moteurs de recherches certains résultats associés à leurs noms et prénoms.

Pour rappel, la CNIL avait mis en demeure en 2015 Google Inc. d’étendre le déréférencement à toutes les extensions de nom de domaine de son moteur de recherche.

Face à son refus, la CNIL avait sanctionné Google d’une amende 100 000 euros, qui avait alors porté l’affaire devant le Conseil d’Etat. Le géant américain, avec l’appui de plusieurs associations de défense des droits, soutenait que s’il entendait respecter le droit au déréférencement sur le territoire de l’Union européenne, l’étendre au-delà, entrainerait des risques pour la liberté d’expression et d’information.

Le Conseil d’État a sursis à statuer et a interrogé la CJUE sur la portée du droit au déréférencement au regard des règles applicable en matière de protection des données au sein de l’Union européenne.

Un déréférencement limité à l’Union européenne

La Cour estime que si le déréférencement mondial est de nature à rencontrer pleinement l’objectif de protection visé par le droit de l’Union, il n’existe pas pour autant une obligation pour les exploitants de moteur de recherche, au titre de la réglementation européenne, de déréférencer sur l’ensemble des versions de leurs moteurs de recherche.

Elle souligne, en particulier, que la rédaction adoptée par le législateur, aussi bien dans la Directive 95/46/CE que dans le Règlement (UE) 2016/679 sur la protection des données qui la remplace, ne permet pas de soutenir qu’il aurait fait le choix de conférer aux droits des individus une portée qui dépasserait le territoire de l’Union européenne. D’autant plus que la législation européenne, ne prévoit pas « d’instruments et de mécanismes de coopération pour ce qui concerne la portée d’un déréférencement en dehors de l’Union ».

La CJUE précise, toutefois, que les exploitants de moteurs de recherche devaient prendre « des mesures suffisamment efficaces » pour que le déréférencement soit bien effectif au sein de l’Union européenne et avoir pour effet d’empêcher ou, « à tout le moins, de sérieusement décourager les internautes » européens de pouvoir accéder aux liens déréférencés. Un résident français qui chercherait à partir de l’extension .com d’un moteur de recherche des informations sur un Britannique qui a actionné son droit au déréférencement ne devrait en principe pas les trouver.

Un déréférencement mondial sous conditions

La CJUE a aussi laissé la porte ouverte à un déréférencement « mondial », dans certaines hypothèses. Elle a pour cela renvoyé la balle aux autorités nationales de contrôle qui devront déterminer, le cas échéant et au cas par cas, si les exploitants de moteurs de recherches doivent procéder à un déréférencement portant sur l’ensemble des versions dudit moteur. Ici, il s’agira pour les autorités de protection d’effectuer une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information.

Une telle marge de manœuvre risque de contrarier les moteurs de recherche, qui devront ajuster leurs conditions de déréférencement, selon les modalités retenues par chaque autorité de contrôle.

Il appartient désormais au Conseil d’État d’apprécier si les propositions de Google satisfont aux exigences européennes.

La CNIL, quant à elle, a indiqué qu’elle procéderait à une analyse approfondie de cet arrêt dans les prochains jours et publierait, par la suite, sur son site internet une FAQ expliquant les conséquences pratiques de cette décision sur les personnes concernées.

Même si cet arrêt vient mettre fin à de nombreuses incertitudes sur la portée du droit au déréférencement, la CNIL et les autorités de contrôle européennes disposent encore d’une marge de manœuvre pour fixer les contours d’un tel droit.


Pour en savoir plus : RDV d’actualités sur les RGPD, le mardi 26 Novembre 2019 à Paris.

BENCHELIHA Farah

Avocate, ARAMIS Société d’Avocats

ROCHE David

Avocat, ARAMIS Société d’Avocats