La Cour de justice de l'Union européenne (CJUE) a décidé, dans un arrêt du 24 septembre 2019, que le droit à l'oubli ne s'impose que dans le cadre européen et qu'il ne saurait donc être imposé à la version américaine du moteur de recherches Google.
La Cour était saisie d'une question préjudicielle posée par le Conseil d'Etat, lui-même saisi par quatre requérants qui s'étaient vu refuser le déréférencement de certaines données sensibles par Google. La CNIL, agissant au nom du G29, c'est-à-dire d'un groupe réunissant l'ensemble des autorités de protection européennes, a mis en demeure Google de procéder au déréférencement sur l'ensemble de ses moteurs de recherche. En l'absence de réponse positive, le 10 mars 2016, elle a condamné Google à une amende de 100 000 €. Cette sanction est contestée par Google, et c'est à l'occasion de ce recours que le Conseil d'Etat a posé la présente question préjudicielle, demandant si le droit à l'oubli s'applique aux seuls moteurs de recherche utilisés dans les Etats de l'Union, ou à l'ensemble des moteurs gérés par Google, y compris hors territoire européen.
La Cour était saisie d'une question préjudicielle posée par le Conseil d'Etat, lui-même saisi par quatre requérants qui s'étaient vu refuser le déréférencement de certaines données sensibles par Google. La CNIL, agissant au nom du G29, c'est-à-dire d'un groupe réunissant l'ensemble des autorités de protection européennes, a mis en demeure Google de procéder au déréférencement sur l'ensemble de ses moteurs de recherche. En l'absence de réponse positive, le 10 mars 2016, elle a condamné Google à une amende de 100 000 €. Cette sanction est contestée par Google, et c'est à l'occasion de ce recours que le Conseil d'Etat a posé la présente question préjudicielle, demandant si le droit à l'oubli s'applique aux seuls moteurs de recherche utilisés dans les Etats de l'Union, ou à l'ensemble des moteurs gérés par Google, y compris hors territoire européen.
Oubli, déréférencement, effacement
L’oubli
n’est jamais absolu sur internet. Il se traduit seulement par un oubli légal,
c’est-à-dire le déréférencement de données qui ne sont plus accessibles sans
pour autant disparaître tout à fait. Initié dans le droit de la presse, il a d'abord été invoqué devant les tribunaux pour sanctionner et réparer les révélations sur le
passé d’une personne, le plus souvent son passé judiciaire. Intervenant à un
moment où elle a reconstruit sa vie, la publication de son ancienne
condamnation est considérée comme une atteinte au droit d’être oublié, envisagé
comme un élément de sa vie privée.
Peu à peu, le droit à l'oubli est devenu un élément de la protection des données personnelles, s'appliquant à toutes les données sensibles, c'est-à-dire celles dont la divulgation emporte une atteinte à la vie privée des personnes. Sa consécration dans ce domaine fut précisément assurée par la CJUE, dans une célèbre décision rendue le 13 mai 2014, Google Spain SL, Google Inc. c. Agencia Espanola de Proteccion de Datos(AEPD). Elle y affirme d'abord qu'un moteur de recherches doit être considéré comme un traitement de données personnelles et que l'exploitant de ce moteur de recherches est le "responsable du traitement" au sens du droit de l'Union.
Elle exige ensuite de Google le déréférencement d'articles de presse remontant à 1998 et mentionnant la vente sur saisie des biens appartenant au requérant, alors lourdement endetté. A l’époque, la CJUE déduisait le droit à l'oubli a directive européenne du 24 octobre 1995 qui consacrait alors un droit de rectification des données inexactes ou incomplètes. C'est ce texte qui était en vigueur au moment du recours qui a donné lieu à la présente question préjudicielle.
Elle exige ensuite de Google le déréférencement d'articles de presse remontant à 1998 et mentionnant la vente sur saisie des biens appartenant au requérant, alors lourdement endetté. A l’époque, la CJUE déduisait le droit à l'oubli a directive européenne du 24 octobre 1995 qui consacrait alors un droit de rectification des données inexactes ou incomplètes. C'est ce texte qui était en vigueur au moment du recours qui a donné lieu à la présente question préjudicielle.
Aujourd'hui, le droit à l'oubli est formellement garanti par l’article
17 du Règlement général de protection des données (RGPD), qui affirme que « la
personne concernée a le droit d’obtenir du responsable du traitement
l’effacement, dans les meilleurs délais, de données à caractère personnel la
concernant et le responsable du traitement a l’obligation d’effacer ces données
à caractère personnel ». La loi du 20 juin 2018 a fait de la Commission nationale de l'informatique et des libertés (CNIL) l'autorité de contrôle du RGPD. Celle-ci a mené, au nom de l'Union européenne, une véritable bataille contentieuse, dans le but d'imposer à Google le respect de ce droit. Elle a obtenu des succès dans ce domaine, et l'entreprise a accepté de faire figurer sur son site un formulaire par lequel les internautes peuvent demander la déréférencement de certaines données personnelles. Google définit toutefois lui-même les critères permettant de qualifier les informations concernées de "données sensibles", critères qui demeurent dans une certaine opacité.
Dollar. Gilles et Julien, 1932
Territorialité du droit à l'oubli
Si Google accepte désormais de déréférencer certaines données, l'effacement ne concerne que les moteurs de recherche européens (Google. fr, Google.de, Google. it....). Elles demeurent visibles à partir du moteur américain Google.com. Certes, quelques précautions de géolocalisation sont prises, mais l'oubli demeure relatif, dès lors qu'il demeure techniquement possible d'aller chercher l'information sur le versant américain de Google.
Pour la CNIL, le droit de l'Union européenne, tant la directive de 1995 en vigueur à l'époque des faits que l'actuel RGPD, entend "éviter qu’une personne soit exclue de la protection garantie (...) et que cette protection soit contournée, en prévoyant un champ d’application territorial particulièrement large". Elle appuie cette analyse sur les considérants 18 à 20 de l'exposé des motifs de la directive qui mentionnent notamment que "l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive". Ces dispositions sont toutefois dépourvues de réelle puissance juridique.
La CNIL insiste sur le fait que si les garanties ne s'appliquent pas à l'ensemble des traitements mis en oeuvre par l'entreprise, celle-ci sera évidemment tentée de se soustraire aux obligations imposées par l'Union européenne en ne les rendant accessibles qu'à partir d'un site installé dans un Etat tiers. La CNIL raisonne donc à partir de la notion de personne responsable du traitement, dès lors que ce traitement conserve et diffuse les données des internautes européens.
Cette analyse n'est pas sans écho jurisprudentiel. Dans un arrêt L'Oréal c. e-Bay du 12 juillet 2011, la CJUE avait été saisie de la licéité de l'offre de vente sur un site marchand américain de produits accessibles sur le territoire européen, sans le consentement des marques concernées. Elle avait alors considéré que le droit de l'Union s'appliquait dès lors que cette offre de vente était "destinée aux consommateurs situés sur le territoire couvert par la marque". Peu importe donc que le site marchand soit situé aux Etats-Unis, dès lors que les produits sont proposés sur le territoire de l'UE.
Pour la CNIL, le droit de l'Union européenne, tant la directive de 1995 en vigueur à l'époque des faits que l'actuel RGPD, entend "éviter qu’une personne soit exclue de la protection garantie (...) et que cette protection soit contournée, en prévoyant un champ d’application territorial particulièrement large". Elle appuie cette analyse sur les considérants 18 à 20 de l'exposé des motifs de la directive qui mentionnent notamment que "l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive". Ces dispositions sont toutefois dépourvues de réelle puissance juridique.
La CNIL insiste sur le fait que si les garanties ne s'appliquent pas à l'ensemble des traitements mis en oeuvre par l'entreprise, celle-ci sera évidemment tentée de se soustraire aux obligations imposées par l'Union européenne en ne les rendant accessibles qu'à partir d'un site installé dans un Etat tiers. La CNIL raisonne donc à partir de la notion de personne responsable du traitement, dès lors que ce traitement conserve et diffuse les données des internautes européens.
Cette analyse n'est pas sans écho jurisprudentiel. Dans un arrêt L'Oréal c. e-Bay du 12 juillet 2011, la CJUE avait été saisie de la licéité de l'offre de vente sur un site marchand américain de produits accessibles sur le territoire européen, sans le consentement des marques concernées. Elle avait alors considéré que le droit de l'Union s'appliquait dès lors que cette offre de vente était "destinée aux consommateurs situés sur le territoire couvert par la marque". Peu importe donc que le site marchand soit situé aux Etats-Unis, dès lors que les produits sont proposés sur le territoire de l'UE.
En l'espèce, la CJUE ne mentionne pas ce précédent. Elle revient à une conception traditionnelle de la territorialité du droit. Elle rappelle simplement le règle selon laquelle le droit de l'Union s'applique sur le territoire européen, et pas ailleurs. Elle ajoute d'ailleurs que la vie privée n'est pas protégée avec la même intensité dans l'UE et dans les Etats tiers, et qu'il n'est pas question de leur imposer notre système juridique. Certes, la Cour n'ignore pas tout à fait l'impact de sa décision, et affirme qu'il serait utile de ""rendre plus difficile les
recherches sur les autres extensions." Il s'agit d'un voeu pieux qui n'a évidemment aucune chance de se réaliser et Google se trouve certainement confortée dans sa pratique qui consiste à organiser ses activités vers l'Europe à partir de sites hébergés hors du territoire européen.
Il est toujours frustrant de constater que le droit de l'Union européenne offre à Google les moyens de se soustraire aux règles qu'il édicte. Mais la Cour pouvait-elle statuer autrement ? Comment aurait-elle pu faire appliquer des actes ou des sanctions visant Google. Inc ? Pense-t-on vraiment que les juges américains accepteraient de soumettre une entreprise américaine au RGPD ? La CJUE écarte donc la tentation de consacrer une règle qui n'aurait aucune chance d'être mise en oeuvre, et dont l'ineffectivité porterait atteinte à la crédibilité même du droit de l'Union.
Reste que la protection des données demeure un droit purement européen. On voit ainsi coexister deux systèmes radicalement opposés. D'un côté, un droit américain qui considère les données personnelles comme des biens de consommation qui s'achètent et se vendent. De l'autre côté, un droit européen qui les voit comme des éléments de la vie privée des personnes, dont elles doivent conserver la maîtrise. Si la CJUE avait raisonné comme les juridictions américaines, elle aurait considéré que, dès lors que l'entreprise avait une présence dans l'Union européenne, elle devait respecter dans touts ses activités le droit européen. Elle renonce à le faire, et la conséquence de cette dissymétrie est que l'Union se livre pieds et poings liés à l'impérialisme juridique des Etats-Unis.
Une petite chose me chiffonne, dans vos conclusions et dans l'arrêt de la CJUE.
RépondreSupprimerCette dernière nous rappelle que seule la directive 95/46 est applicable aux faits, datant de 2011, mais qu'elle tiendra compte du RGPD dans son analyse (ce qu'elle fait pour divers articles). Or, il n'est nullement fait mention de l'article 3 du RGPD sur le champ d'application territoriale de ce dernier.
Article 3 du RGPD sur son champ d'application territoriale
"[...]
Le présent règlement s'applique au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l'Union par un responsable du traitement ou un sous-traitant qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées :
a) à l'offre de biens ou de services à ces personnes concernées dans l'Union, qu'un paiement soit exigé ou non desdites personnes; ou
b) au suivi du comportement de ces personnes, dans la mesure où il s'agit d'un comportement qui a lieu au sein de l'Union.
[...]"
Alors, je ne connais pas l'interprétation exacte qui est faite du b) mais il n’apparaît pas déraisonnable de soutenir que le référencement de contenus concernant un ressortissant de l'UE, contenu qui peut éclairer sur le comportement dudit ressortissant, peut être vu comme un suivi du comportement du ressortissant (puisqu'elle recoupe ces contenus, les classe etc)... Entraînant, de facto, l'application du RGPD à Google, même si ce dernier diffuse ce contenu en dehors du territoire Européen.
Dommage que la CJUE n'ait pas jugé bon de donner son interprétation de l'article 3, même si elle n'avait pas à l'appliquer...
Quant à vos conclusions, vous semblez précisément oublier que le RGPD ne s'appliquait pas aux faits d'espèces, ce qui rend quelque peu inopportun votre conclusion sur le fait que le droit de l'UE semble vouloir offrir à Google le moyen de se soustraire aux règles Européen. Il me semble qu'il sera plus compliqué pour la CJUE de faire abstraction de l'article 3 du RGPD lorsque celui ci aura vocation à s'appliquer. vos conclusions me parait donc hâtive.
Comme toujours, merci pour votre travail de veille.