Dernière actualité : Révision de la directive SMA : position du CSA [Lire la suite]
ARTICLE
Droit au déréférencement : Une portée territoriale non limitée à l\'UE pour la CNIL

Manquement de Google aux articles 38 et 40 de la loi du 6 janvier 1978

Dans sa Décision n°2015-047 du 21 mai 2015 mettant en demeure la société GOOGLE INC, la Commission Nationale de l’Informatique et des Liberté (CNIL) a interprété l’arrêt de la Cour de Justice de l’UE (CJUE) du 13 mai 2014, C-131/12 Google Spain SL et Google Inc. contre AEDP et Mario Costja Gonzalez, dans le sens d’une application territoriale du droit au déréférencement sur toutes les extensions du moteur de recherche et non pas uniquement sur les extensions européennes.

Dans son arrêt, la CJUE a qualifié de traitement de données à caractère personnel l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence.

Elle en a déduit que l’exploitation du moteur de recherche était le « responsable » de ce traitement. Il était donc soumis au respect de la directive 95/45/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données. Dès lors, en application des articles 12 et 14 de cette directive, un moteur de recherche est tenu de respecter les droits d’effacement et d’opposition des données en procédant au « déréférencement » de certains liens, c’est-à-dire en retirant, sous certaines conditions, de la liste des résultats affichés à la suite d’une recherche associée au nom d’une personne, des liens renvoyant vers des pages web publiées par des tiers et contenant des informations relatives à cette personne.

Sur le champ d’application territorial, la Cour considère que « lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un Etat tiers, dispose d’un établissement dans un Etat membre, le traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’Etat membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier. »

Dans son arrêt, la CJUE prévoit que tout refus du moteur de recherche de procéder au déréférencement sollicité pouvait être contesté auprès de l’autorité de contrôle de protection des données ou de l’autorité judiciaire compétente au sein de chaque Etat membre.

La CNIL a été saisie par de nombreux particuliers s’étant vu refuser le déréférencement de liens Internet (ou adresses URL) par Google. Après instruction, la CNIL a demandé à Google France de procéder au déréférencement de plaintes lui paraissant fondées. Google a fait droit partiellement à sa demande (9 retraits sur 21 demandés), uniquement sur les extensions européennes de Google Search.

Pour Google, le déréférencement mis en oeuvre intervient exclusivement si la recherche est effectuée sur l’une des extensions géographiques européennes du moteur de recherche. En particulier, il ne s’applique pas sur des recherches effectuées à partir de « google.com », au motif notamment, que cette extension ne serait que très peu utilisée par les internautes européens.

La CNIL considère que le service proposé par la société via son moteur de recherche « Google search » correspond à un traitement unique. Les différents noms de domaine que la société a choisi d’utiliser afin de faciliter localement l’utilisation de son service ne représentent que des chemins d’accès techniques à ce traitement. La CNIL soutient que les droits garantis par les articles 38 et 40 de la loi du 6 janvier 1978, qui transposent les articles 1é et 14 de la directive, s’exercent auprès d’un responsable de traitement, à l’égard d’un traitement, sans qu’ait d’incidence, ni la configuration de ce traitement, ni la diversité de ces moyens d’accès.

Dans son avis du 26 novembre 2014, le G29 retient la même analyse.

Ainsi, pour la CNIL, dès lors qu’une demande de déréférencement est satisfaite, elle doit nécessairement porter sur l’ensemble du moteur de recherche, quelles que soient les terminaisons utilisées. Le fait que des liens vers des sites Internet, déréférencés uniquement des noms de domaines correspondant à des extensions géographiques européennes du moteur de recherche, demeurent accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche constitue un manquement aux dispositions des articles 38 et 40 de la loi du 6 janvier 1978 modifiée.

La CNIL a mis en demeure la société Google Inc., pour chaque demande de déréférencement à laquelle une suite favorable est donnée, soit d’initiative, soit à la demande de la CNIL, de procéder audit déréférencement sur toutes les extensions du nom de domaine du moteur de recherche. Si la société Google Inc. ne s’est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné, celui-ci pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

Par délibération du bureau n°2015-170 du 8 juin 2015, la CNIL a décidé de rendre publique la mise en demeure n°2015-047 du 21 mai 2015.

Mentions légales | Réalisation site : Opium Bleu