Information et veille juridique en droit de l'Union européenne

Il est interdit à un exploitant de moteur de recherche de traiter des données sensibles


Le droit de l’Union européenne protège les données personnelles. Parmi celles-ci, les données sensibles comme les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, la santé, la vie sexuelle font l’objet d’une protection plus étendue. Rien d’étonnant par conséquent à ce qu’il en résulte un certain nombre d’obligations et d’interdictions pour les exploitants de moteurs de recherche. Avec, à la clé, une question: comment concilier le droit fondamental à la protection de la vie privée et celui de l’accès à l’information ?

C’est ce qu’a rappelé récemment la Cour de Justice de l’Union européenne. Elle avait été saisie par le Conseil d’Etat à la suite de requêtes de quatre personnes qui avaient demandé à google la suppression de pages les concernant. Parmi ces personnes se trouvait une responsable politique qui demandait le déréférencement d’un lien revoyant à un photomontage satirique mis en ligne sur Youtube qui suggérait une relation sexuelle avec un élu local. Une autre personne réclamait la suppression de liens vers un article de presse qui révélait les responsabilités qui avaient été les siennes dans l’église de scientologie. Une troisième demandait le déréférencement de liens menant vers des articles relatant sa mise en examen dans une affaire de financement du parti républicain, procédure qui s’était soldée par un non lieu non mentionné dans les articles en question. Enfin, le dernier requérant voulait obtenir l’effacement de liens vers des articles relatant sa condamnation pour pédophilie et donnant des détails intimes révélés à l‘occasion du procès.

Google avait rejeté leurs demandes au motif que, quand bien les informations seraient sensibles, elles étaient d’intérêt public.

Saisie à son tour, la CNIL avait refusé de donner suite aux plaintes.

Voila comment ces affaires étaient arrivées devant le Conseil d’Etat auquel il était demandé d’annuler les refus de la CNIL. Mais la haute juridiction avait estimé qu’elle ne pouvait pas se prononcer avant d’avoir obtenu des précisions sur l’ interprétation de la directive 95/46 et avait posé à la CJUE un certain nombre de questions préjudicielles :
 - Compte tenu des spécificités des moteurs de recherche, faut-il ou non appliquer à leurs exploitants l’interdiction ou les restrictions que le droit européen impose aux responsables de traitement de données quand il s’agit de données personnelles?
- Si oui, doivent-ils systématiquement faire suite aux demandes de déréférencement de pages qui traitent de telles données et quelles exceptions peuvent être invoquées?
- Si non, quelles sont les obligations des exploitants de moteurs de recherche lorsqu’ils constatent que les pages web, vers lesquelles mènent les liens dont le déréférencement est demandé, comportent des données dont la publication est illicite ?
- Enfin, indépendamment du caractère licite ou non de la publication, la directive 95/46 impose-t-elle, si les données ne sont plus à jour si elles sont incomplètes ou inexactes, que l’exploitant d’un moteur de recherche fasse droit à la demande de référencement et supprime aussi les liens menant vers des pages web comportant les informations en cause? Ces règles s’appliquent-elles également aux données relatives à des condamnations ou des procédures judiciaires ?

Dans sa décision du 24 septembre 2019, la CJUE juge que l’interdiction de traiter certaines catégories de données personnelles sensibles s’applique également aux exploitants de moteurs de recherche (CJUE, 24 septembre 2019, C-136/17, GC e.a./Commission nationale de l'informatique et des libertés (CNIL). Ceux-ci sont responsables non pas du fait que des données à caractère personnel figurent sur une page Internet publiée par un tiers, mais du référencement de cette page et, tout particulièrement, de l’affichage du lien vers celle-ci dans la liste des résultats présentée aux internautes à la suite d’une recherche. La Cour estime que l’objectif de protection des droits fondamentaux et notamment du droit au respect de la vie privée qui a motivé l’interdiction du traitement des données sensibles, serait réduit à néant si l’activité d’un moteur de recherche échappait à ces règles, a priori et de façon générale (point 44).

La Cour examine ensuite les conditions dans lesquelles s’applique cette interdiction, et en particulier les exceptions possibles.

En premier lieu, l’interdiction ne peut s’appliquer de façon préventive, en obligeant les moteurs de recherche à vérifier avant tout référencement l’absence de données sensibles. Cette exigence serait incompatible avec l’existence même des moteurs de recherche, comme l’avait exposé l’avocat général dans ses conclusions (Conclusions de l’avocat général, M.Maciej Szpunar, présentées le 10 janvier 2019, aff.C‑136/17, points 49 à 56). Elle ne peut donc s’appliquer qu’à l’occasion d’une vérification par exploitant du moteur, après qu’il ait été saisi d’une demande de déférencement, et sous le contrôle des autorités nationales compétentes (point 48 de la décision de la CJUE).

Ensuite, l’examen d’une demande de déréférencement doit être accompagné d’une mise en balance entre les droits fondamentaux de la personne qui demande le retrait de la publication et les droits des internautes potentiellement intéressés par ces informations. Or, l’intérêt du public à disposer de l’information varie en fonction du rôle joué dans la vie publique par la personne qui demande le référencement. Dès lors, un exploitant de moteur de recherche peut, dans certains cas, refuser de faire droit à une demande de déréférencement, a fortiori si les données dont la suppression est demandée ont été rendues publiques par la personne concernée (points 53, 63 et 69).

La Cour examine enfin le cas particulier des demandes de référencement de pages contenant des informations relatives à une procédure pénale qui ne correspondent plus à la situation actuelle. L’exploitant du moteur de recherche doit déterminer si la personne qui en demande le déférencement a droit à ce que les informations en question ne soient plus liées à son nom par une liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom. Et la Cour donne une sorte de mode d’emploi pour ce faire : l’exploitant du moteur doit tenir compte de l’ensemble des circonstances de l’affaire et notamment la nature et la gravité de l’infraction, le déroulement et l’issue de la procédure, le temps écoulé, le rôle joué par la personne dans la vie publique et son comportement dans le passé, l’intérêt du public au moment de la demande, le contenu et la forme de la publication ainsi que les répercussions de celle-ci pour la personne (point 77). La Cour va encore plus loin, en s’immisçant dans les questions techniques : dans le cas où le déférencement a été refusé après examen des circonstances de l’affaire, l’exploitant du moteur de recherche devra « aménager la liste de résultats de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation judiciaire actuelle, ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste » (point 78).
 

 

Undefined

Les PLus

 

Les PLus

 

 

Jurisprudence

 

  • Commentaires de décisions de la Cour de Justice de l'Union Européenne et d'arrêts du Tribunal,
  • Conclusions des avocats généraux

 

 

Archives de l'ancien site

Articles d'actualité européenne

2001 / 04 - 2013

Brèves d'information

2009 / 04 - 2013

 

ME JOINDRE