La consécration d’un droit à l’oubli par le juge européen

(CJUE, gde ch., 13 mai 2014, aff. C-131/12)

Dans un arrêt « Google Spain Google Inc. / Agencia Española de Protección de Datos (AEPD), Mario Costeja G » du 13 mai dernier rendu dans le cadre d’un recours préjudiciel espagnol, la Cour de Justice de l’Union Européenne (CJUE) s’est prononcée sur l’application de la directive 95/46/CE du 24 octobre 1995 à l’exploitant d’un moteur de recherche.

En l’espèce, lorsque l’on saisissait dans le moteur de recherche Google le nom « Mario Costeja González », ce dernier affichait parmi les résultats proposés des liens vers des articles d’un quotidien espagnol. Ces articles datant de 1998 étaient relatifs à la vente aux enchères d’un immeuble saisi à cette personne en paiement de ses dettes. Ce dernier s’était adressé à l’autorité espagnole compétente afin d’obtenir le déréférencement de ces articles dénués de « toute pertinence ». 1./ Pour se prononcer sur le recours préjudiciel du juge espagnol, la CJUE a d’abord examiné le champ d’application matériel et territorial de la directive.

Dans un premier temps, la CJUE a procédé à la qualification de l’exploitant de moteur de recherche au regard des dispositions de l’article 2 de la directive afin de déterminer si ce dernier était qualifiable de responsable de traitement de données à caractère personnel.

Elle a ainsi relevé que l’activité de moteur de recherche qui consiste à « trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence donné » était bien constitutive d’un « traitement de données à caractère personnel » au sens de la directive (article 2, b)). L’exploitant du moteur étant en ce sens qualifiable de « responsable du traitement » (article 2, d)).

Dans un second temps, la CJUE s’est attachée à la détermination du champ d’application territorial de la directive, la société Google partie au litige étant une société de droit américain. Pour ce faire, elle s’est fondée sur l’article 4 de la directive qui dispose que « chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque », notamment, « le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement sur le territoire de l'État membre ».

En l’espèce, la CJUE considère que l’activité de Google Spain « relative à la promotion et à la vente d’espaces publicitaires » est directement liée à Google Inc compte tenu de l’activité commerciale de cette dernière. Elle en déduit que la société Google Spain peut être qualifiée d’établissement au sens de la directive et se voir appliquer les dispositions de cette dernière. Par une interprétation stricte de l’article 4, la Cour en conclu que la directive est applicable territorialement à la société Google, exploitant du moteur de recherche Google par le biais, en Espagne, de sa filiale Google Spain.

2./ Constatant l’applicabilité de la directive, la CJUE a rappelé les principes des articles 12, b) et 14, alinéa 1, a) de la directive qui mettent en place pour les personnes dont des données à caractère personnel sont traitées d’exiger leur rectification, leur effacement ou leur verrouillage dont le traitement n'est pas conforme à la directive et ce, notamment en raison du caractère incomplet ou inexact des données. En outre, ces personnes peuvent s’opposer sur demande au traitement des données à caractère personnel envisagé à des fins de prospection.

Interrogée sur le degré de responsabilité de l’exploitant d’un moteur de recherche dans la mise en œuvre d’un tel traitement, la Cour a procédé à une évaluation de l’atteinte aux droits fondamentaux des personnes visées par l’activité de l’exploitant.

Compte tenu que ces traitements sont « susceptibles d’affecter significativement les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel lorsque la recherche à l’aide de ce moteur est effectuée à partir du nom d’une personne physique », la CJUE en déduit que cette dernière peut exiger la suppression des liens vers des pages web « publiées par des tiers et contenant des informations relatives à cette personne ». Il en ressort que lorsqu’une recherche est effectuée par la saisie du nom d’une personne, l’exploitant du moteur sollicité par cette dernière a le devoir de supprimer de la liste des résultats les liens qui renvoient à des pages contenant ses données personnelles.

3./ Enfin, le droit accordé à toute personne d’exiger la suppression de ces données peut résulter non seulement de l’inexactitude des données mais également de leurs absences de mises à jour ou de leur durée de conservation excédant la finalité du traitement. En l’espèce, le requérant avait sollicité la suppression d’informations dont la « publication initiale avait été effectuée 16 ans auparavant ». Dès lors, il convenait de déterminer si le droit susvisé de suppression des personnes pouvait être invoqué en raison du « temps qui s’est écoulé ». La CJUE, alors que la Commission s’y opposait, a considéré d’une part que ce droit « à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats, affichée à la suite d’une recherche à partir de ce nom » ne nécessitait pas la démonstration d’un préjudice. D’autre part, elle relève qu’en raison du temps écoulé et de la sensibilité des informations, cette personne peut légitimement pour de tels motifs solliciter la suppression desdites données. La Cour précise que la suppression des liens n’a lieu que « dans la mesure où il ne semble pas exister […] de raisons particulières justifiant un intérêt prépondérant du public à avoir, dans le cadre d'une telle recherche, accès à ces informations ».

4./ Par cet arrêt, la CJUE a consacré un droit à l’oubli permettant à toute personne de s’adresser directement à l’exploitant d’un moteur de recherche afin que soient supprimées les pages renvoyant à des sites contenant des données à caractère personnel. L’écoulement du temps justifiera ainsi le droit de solliciter l’effacement de données à caractère personnel dont l’ancienneté est rapportée.

5./ La portée de cette décision est d’autant plus remarquable que le Parlement européen a envisagé, lors de l’adoption du projet de règlement européen le 12 mars 2014 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, la consécration d’un droit à l’effacement et particulièrement un droit pour toute personne d’obtenir notamment de « tiers l’effacement de tous les liens vers ces données… ». En effet, en procédant à de nombreux amendements au regard du texte proposé par la Commission, le Parlement a redéfini les contours de l’article 17 du projet. Ainsi, initialement intitulé, « droit à l’oubli numérique et à l’effacement », l’article 17 adopté le 12 mars dernier ne vise plus que « le droit à l’effacement ». Si le titre de l’article semble réduire le périmètre d’un droit à l’oubli de manière générale, il n’en est pas ainsi dans son contenu. A l’inverse, les amendements effectués par le Parlement sur le texte d’origine ont pour effet d’accroitre les droits des personnes dont les données sont traitées et les actions dont elles disposent à cet égard. Dans ce cadre, le droit à l’effacement de données à caractère personnel est envisagé, sous certaines conditions, lorsque le traitement ne répond plus notamment aux finalités pour lesquelles il a été effectué et lorsque le traitement a été mis en place au détriment des impératifs imposés par l’article 6 du projet de règlement. D’une part, le premier paragraphe de cet article 17 prévoit ainsi, et ce, depuis le 12 mars 2012, que la personne concernée par le traitement peut notamment « obtenir de tiers l'effacement de tous les liens vers ces données, ou de toute copie ou reproduction de celles-ci ». La mise en œuvre de ce droit doit être justifiée par certains motifs et particulièrement par le fait que « un tribunal ou une autorité réglementaire basé(e) dans l'Union a jugé que les données concernées doivent être effacées et cette décision a acquis force de chose jugée » ou que « les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées ». D’autre part, si le traitement a été mis en œuvre en méconnaissance des possibilités de traitement prescrites à l’article 6 (consentement de la personne, obligation légale de procéder à un traitement, sauvegarde des intérêts vitaux d’une personne…), le responsable de traitement doit prendre toutes les mesures nécessaires pour procéder à l’effacement de ces données. Par conséquent, le droit à l’effacement, prévu au titre de cet article 17, comprend non seulement le droit à l’oubli des données en raison du temps écoulé mais ne se limite pas exclusivement à celui-ci. Il permet, en effet, la possibilité de solliciter un effacement des données à caractère personnel que ce soit en raison de motifs légitimes ou en raison de l’illicéité du traitement par le responsable.

L’arrêt précité de la CJUE du 13 mai 2014, en reconnaissant le droit de solliciter l’effacement d’un lien renvoyant à des données à caractère personnel, permet d’asseoir ce droit à l’effacement prévu à l’article 17 du projet de règlement dans l’attente de l’adoption définitive de ce dernier…