Dernière actualité : Révision de la directive SMA : position du CSA [Lire la suite]
ARTICLE
Précisions sur le rôle du Moteur de recherche dans la protection des données personnelles
Par Eléonore Scaramozzino


Conclusions : Avocat Général, M. Jääskinen, affaire C-131/12, Google Spain SL, Google Inc. / Agencia Española de Protección de Datos, Mario Costeja González

Cette affaire est la première portée devant la CJUE sur l’interprétation de la directive 95/46/CE dans un contexte de moteur de recherche sur Internet, et tout particulièrement les trois questions déférés à la Cour porte sur l’interprétation du rôle du moteur de recherche au regard de la directive 95/46/CE (1).

En 1998, un journal largement diffusé en Espagne a publié dans son édition papier deux annonces concernant une adjudication sur saisie immobilière pratiquée en recouvrement de dettes de sécurité sociale. La personne concernée y était mentionnée comme étant la propriétaire. Une version électronique du journal a été ultérieurement mise à disposition en ligne par son éditeur. En novembre 2009, la personne concernée a contacté l’éditeur du journal en affirmant que, lorsqu’elle introduisait son prénom et ses noms dans le moteur de recherche Google, apparaissait une référence à des pages du journal sur lesquelles figuraient les annonces relatives à l’adjudication sur saisie immobilière. Elle a soutenu que la procédure de saisie relative à ses dettes de sécurité sociale avait été clôturée et réglée de nombreuses années auparavant, et qu’elle n’avait plus aujourd’hui aucune pertinence. L’éditeur lui a répondu qu’il n’y avait pas lieu d’effacer les données la concernant, au motif que la publication avait été effectuée sur ordre du ministère du travail et des affaires sociales.

En février 2010, la personne concernée a contacté Google Spain et a réclamé que les résultats de recherche n’affichent plus aucun lien vers le journal lorsque son prénom et ses noms étaient introduits dans le moteur de recherche Google. Google Spain a transmis cette demande à Google Inc., dont le siège est en Californie, États-Unis, en estimant que cette entreprise était le fournisseur du service de recherche sur Internet.
La personne concernée a ensuite déposé une réclamation auprès de l’AEPD (Agence Espagnole de Protection des Données) en demandant que l’éditeur se voit ordonner de supprimer ou de modifier la publication, ou de recourir aux outils fournis par les moteurs de recherche afin de protéger ses données à caractère personnel. Elle a également demandé qu’il soit ordonné à Google Spain ou à Google Inc. de supprimer ou d’occulter ses données afin qu’elles cessent d’apparaître dans les résultats de recherche, et de faire figurer des liens vers le journal.

Par décision du 30 juillet 2010, le directeur de l’AEPD a accueilli la réclamation qu’avait présentée la personne concernée contre Google Spain et Google Inc., en leur demandant de prendre les mesures nécessaires pour retirer les données de leur index et de rendre impossible l’accès futur à ces dernières, mais a rejeté la réclamation dirigée contre l’éditeur. Il a motivé cette décision par le fait que la publication des données dans la presse était légalement justifiée. Google Spain et Google Inc. ont introduit deux recours devant la juridiction de renvoi, en concluant à l’annulation de la décision de l’AEPD.

Tout d’abord, en ce qui concerne champ d’application territorial de la législation nationale en matière de protection des données , le principal facteur entraînant l’application de celle-ci est le traitement de données à caractère personnel effectué dans le cadre des activités d’un établissement du responsable du traitement sur le territoire de l’État membre.

Ensuite, l’Avocat général a considéré qu’un établissement traite des données à caractère personnel s’il est lié à un service intervenant dans la vente de publicité ciblée aux habitants d’un État membre, même si les opérations techniques de traitement des données ont lieu dans d’autres États membres ou des pays tiers. Ainsi, lorsque Google crée une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés sur son moteur de recherche et dont l’activité vise les habitants de cet Etat, cet établissement est celui du responsable du traitement des données personnelles au sens de l’article 4, paragraphe 1 sous a), de la directive 95/46/CE. Dès lors, pour l’Avocat Général, le traitement des données pour l’activité de publicité ciblée pour les annonceurs avait lieu en Espagne. En conséquence, le droit espagnol trouvait lieu à s’appliquer.

Il a rappelé que la fourniture d’un outil de localisation d’informations n’emporte aucun contrôle sur le contenu figurant sur des pages web de tiers. Elle ne permet pas aux fournisseurs de services de moteur de recherche sur Internet de distinguer entre les données à caractère personnel, au sens de la directive, qui se rapportent à une personne physique vivante identifiable, et d’autres données. Le fournisseur de services de moteur de recherche sur Internet ne peut être considéré comme un «responsable du traitement» des données à caractère personnel, au sens de l’article 2, sous d), de la directive 95/46, publiées par les sites tiers qu’il référence, sauf pour ce qui concerne les contenus de l’index de son moteur de recherche, à condition qu’il n’indexe pas ou n’archive pas des données à caractère personnel en allant à l’encontre des instruction ou des demandes de l’éditeur de la page web. Comme l’a relevé le Groupe de travail «Article 29», il est possible que la responsabilité subsidiaire des fournisseurs de services de moteur de recherche sur Internet en vertu de la législation nationale puisse déboucher sur des obligations revenant à bloquer l’accès à des sites Internet de tiers présentant des contenus illégaux, tels que des pages web enfreignant les droits de propriété intellectuelle ou affichant des informations diffamatoires ou criminelles (Groupe de travail «Article 29», avis 1/2008, p. 15 et 16). Cependant, une éventuelle « procédure de notification et de retrait » concernant les liens vers les pages web source comportant des contenus illicites ou inappropriés relèvent de la responsabilité civile de droit national, fondée sur des motifs autres que la protection des données à caractère personnel.

Enfin, l’Avocat Général a rappelé que cette directive ne comprenait pas un droit généralisé à l’oubli à l’encontre des fournisseurs de moteur de recherche sur Internet. Les informations erronées, incomplètes peuvent faire l’objet d’une modification, d’un effacement ou d’une rectification prévu à l’article 12, sous b) de la directive 95/46. Ce qui ne semble pas être le cas en l’espèce. Le droit d’opposition, prévu à l’article 14, sous a) permet à toute personne, pour des raisons prépondérantes et légitimes tenant à sa situation particulière, à ce que des données la concernent fassent l’objet d’un traitement, sauf en cas de disposition contraire du droit national. L’avocat général estime toutefois qu’une préférence subjective ne constitue pas en soi une raison prépondérante et légitime, de sorte que la directive ne permet pas à une personne de restreindre ou de faire cesser la diffusion de données à caractère personnel qu’elle juge préjudiciables ou contraire à ses intérêts. Ainsi, une personne ne peut pas empêcher l’indexation des informations la concernant, publiées sur des sites web de tiers, en faisant valoir qu’elle souhaite que ces informations ne soient pas connues des internautes, lorsqu’elle estime que lesdites informations sont susceptibles de lui porter préjudice ou qu’elle désire que celles-ci soient oubliées.

Législation nationale transposant la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JO L 281, p. 31

Source : www.curia.europa.eu

Mentions légales | Réalisation site : Opium Bleu