Dans un arrêt C‑507/17 publié hier, la Cour de justice de l’UE (CJUE) a tranché la question de la portée géographique de l’obligation de déréférencement d’un moteur de recherche. Contrairement à l’opinion de la CNIL qui défendait une obligation mondiale, la CJUE a retenu que cette obligation devait s’étendre (seulement) aux versions du moteur de recherche correspondant à l’ensemble des États membres ou consultées depuis l’un de ces États.
Une application mondiale offrirait un niveau de protection étendu
Le droit à l’oubli, ou dans le cas d’un moteur de recherche le droit au déréférencement, a déjà été consacré par la CJUE et repris à l’art. 17 RGPD. La question de sa portée géographique n’était en revanche pas encore tranchée : le droit à l’oubli doit-il s’appliquer de manière globale, soit à toutes les versions des moteurs de recherche dans le monde, ou seulement aux versions européennes ? En effet, lorsque l’internaute se rend sur le moteur de recherche Google, il est automatiquement dirigé vers la version nationale du moteur de recherche correspondant au lieu à partir duquel il est présumé effectuer la recherche et cela indépendamment du nom de domaine introduit.
Il n’est pas contesté que Google LLC, bien qu’établie aux USA, traite des données personnelles pour les besoins du fonctionnement de son moteur de recherche qui sont indissociablement liées aux activités commerciales et publicitaires de l’établissement dont dispose Google sur le territoire français, ce qui fonde la compétence des autorités françaises et l’application à l’époque de la directive 95/46 et aujourd’hui du RGPD.
Internet est un réseau mondial sans frontières et les moteurs de recherche confèrent un caractère ubiquitaire aux informations contenues dans une liste de résultats affichée à la suite d’une recherche effectuée à partir du nom d’une personne. L’accès depuis l’extérieur de l’UE à des informations concernant une personne dans l’UE est susceptible de produire sur elle des effets immédiats et substantiels au sein même de l’UE. Pour la CNIL, comme d’autres autorités européennes de protection des données, une application globale serait donc nécessaire.
Mais le droit en vigueur ne prévoit pas d’extraterritorialité
La Cour rappelle d’abord que de nombreux États tiers ne connaissent pas le droit au déréférencement ou adoptent une approche différente de ce droit. De manière plus générale, le droit à la protection des données n’est pas un droit absolu, mais doit être mis en balance avec d’autres droits fondamentaux. La liberté d’information des internautes, en particulier, est susceptible de varier de manière importante à travers le monde.
Au sein de l’UE, une telle mise en balance a déjà été prise en compte par le législateur et le RGPD prévoit des mécanismes de coopération entre les autorités nationales de protection des données. Le RGPD veut en outre assurer un niveau cohérent et élevé de protection dans l’ensemble de l’UE. Il se justifie donc d’étendre le déréférencement à l’ensemble des États membres.
Pour la CJUE, on peut encore exiger du moteur de recherche qu’il prenne des mesures suffisamment efficaces pour empêcher ou, à tout le moins, sérieusement décourager les internautes d’accéder depuis l’UE au contenu déréférencé via une version étrangère du moteur de recherche (géoblocage). À noter que le recours à un VPN permettra généralement de contourner ces mesures.
Pour le reste, le droit en vigueur, sauf exception éventuellement contenue en droit national, ne permet pas d’imposer un droit à l’oubli plus largement. La CJUE reconnaît donc des limites à l’application du droit européen. D’ailleurs, l’art. 3 RGPD exige lui aussi un rattachement avec le territoire de l’UE en cas d’application extraterritoriale, qu’i s’agisse d’une intention de viser le marché de l’UE ou de suivre des personnes présentes sur le territoire de l’UE.
Et en Suisse
Le droit en vigueur n’impose donc pas un déréférencement global, mais il ne l’interdit pas non plus. Pour des raisons pratiques, Google semble traiter la Suisse de la même manière que l’UE et on peut donc s’attendre à ce que le déréférencement obligatoire dans l’UE soit appliqué de manière spontanée aux versions suisses du moteur de recherche.
Cela se justifie aussi de manière pratique, puisque même si le droit à l’oubli ne figure pas dans la LPD, les principes de véracité et proportionnalité permettent aussi de faire retirer des informations. La personne concernée devrait alors faire une nouvelle procédure en Suisse, mais le résultat risque fort d’être identique.
Laisser un commentaire