Mardi 24 septembre 2019. La Cour de justice de l’Union européenne (CJUE) rend deux décisions majeures concernant le droit au déréférencement. Dans une première décision, la plus haute juridiction de l’Union européenne (UE) en la matière donne raison à Google en concluant que l’exploitante d’un moteur de recherche n’est pas tenue de procéder à un déréférencement sur l’ensemble de ses versions à travers le monde, mais seulement sur les versions correspondant aux États membres de l’UE.
Le droit au déréférencement
C’est l’affaire Google Spain qui a consacré le droit au déréférencement en droit de l’UE. Dans cette décision rendue le 13 mai 2014, la CJUE affirme que l’organisation et l’agrégation des informations publiées sur Internet concernant une personne sont susceptibles de représenter, pour cette même personne, une atteinte importante à sa vie privée. Selon la Cour, la gravité potentielle de cette ingérence est telle qu’elle serait généralement incompatible avec la Directive européenne 95/46. C’est dans ce contexte que les juges de Luxembourg imposent aux moteurs de recherches comme Google l’obligation de mettre en place un processus décisionnel qui permet de traiter les demandes de déréférencement et d’y donner suite, le cas échéant.
Ainsi, les internautes européennes seraient généralement en droit de demander aux moteurs de recherche de supprimer certains résultats qui paraissent sous leur nom, sous réserve d’un intérêt prépondérant du public à avoir accès à cette information. À cet effet, bien que la Cour impose un processus de mise en balance du droit à la vie privée et de l’intérêt public, le professeur Pierre Trudel apporte un important bémol:
Les difficultés d’application
Après avoir causé la surprise, cette décision de la CJUE a très vite soulevé de nombreuses questions qu’elle laissait sans réponse, et ce, tant sur le fond que sur la forme, du processus décisionnel jusqu’à l’application concrète du droit au déréférencement. Pour répondre à ces questions, le Groupe Article 29 (G29) – un regroupement des autorités européennes chargées de la protection des données personnelles – a publié, à peine six mois plus tard, des lignes directrices sur la mise en œuvre de la décision Google Spain. Celles-ci répondent clairement à la question de la portée territoriale d’un déréférencement:
« In order to give full effect to the data subject’s rights as defined in the Court’s ruling, de-listing decisions must be implemented in such a way that they guarantee the effective and complete protection of data subjects’ rights and that EU law cannot be circumvented. In that sense, limiting de-listing to EU domains on the grounds that users tend to access search engines via their national domains cannot be considered a sufficient mean to satisfactorily guarantee the rights of data subjects according to the ruling. In practice, this means that in any case de-listing should also be effective on all relevant domains, including .com. »
Les faits
En France, c’est la Commission nationale de l’informatique et des libertés (CNIL) qui assure la mise en œuvre de la Directive européenne 95/46. Par une décision du 21 mai 2015, la présidente de la CNIL met en demeure Google de donner suite aux demandes de déréférencement accueillies sur l’ensemble des extensions de nom de domaine de son moteur de recherche. Toutefois, le moteur de recherche refuse et continue de n’appliquer son déréférencement que sur les versions de son moteur correspondant aux États membres de l’UE.
Devant ce refus, la CNIL impose, le 10 mars 2016, une sanction de 100 000 euros à Google, sanction aussitôt contestée par le moteur de recherche devant le Conseil de l’État. Celui-ci décide de surseoir à statuer et saisit à son tour la CJUE afin de lui soumettre trois questions liées l’interprétation de la Directive 95/46.
Il est important de noter qu’entre temps, la Directive 95/46 a été abrogée avec effet au 25 mai 2018, date à partir de laquelle est rentré en application le Règlement 2016/679. C’est dorénavant à l’article 17 de ce règlement que trouve sa source le droit au déréférencement.
La décision
La décision n’aborde pas la question de front, mais l’absence de consensus entre l’approche européenne et l’approche nord-américaine est l’éléphant dans la pièce. Clairement, si la Cour adopte une interprétation téléologique, la législation européenne imposerait un déréférencement global qui permettrait de déréférencer une page d’un tiers non-européen sur les versions hors UE d’un moteur de recherche:
« À cet égard, il ressort du considérant 10 de la Directive 95/46 et des considérants 10, 11 et 13 du Règlement 2016/679, lequel a été adopté sur le fondement de l’article 16 TFUE, que l’objectif de cette directive et de ce règlement est de garantir un niveau élevé de protection des données à caractère personnel dans l’ensemble de l’Union.
Certes, un déréférencement opéré sur l’ensemble des versions d’un moteur de recherche est de nature à rencontrer pleinement cet objectif.
En effet, Internet est un réseau mondial sans frontières et les moteurs de recherche confèrent un caractère ubiquitaire aux informations et aux liens contenus dans une liste de résultats affichée à la suite d’une recherche effectuée à partir du nom d’une personne physique.
Dans un monde globalisé, l’accès des internautes, notamment de ceux qui se trouvent en dehors de l’Union, au référencement d’un lien renvoyant à des informations sur une personne dont le centre d’intérêts (sic) se situe dans l’Union est ainsi susceptible de produire sur celle-ci des effets immédiats et substantiels au sein même de l’Union. »
Or, selon cette interprétation, toutes les internautes du monde seraient ainsi privées d’un accès à des résultats par ailleurs licites. Or, une telle approche est fortement susceptible de rentrer en conflit avec les autres juridictions:
« [L]’équilibre entre le droit au respect de la vie privée et à la protection des données à caractère personnel, d’un côté, et la liberté d’information des internautes, de l’autre côté, est susceptible de varier de manière importante à travers le monde. »
Au Canada, Eloïse Gratton, avocate chez Borden Ladner Gervais LLP et Jules Polonetsky, PDG de Future of Privacy Forum, soutiennent que le droit au déréférencement serait vraisemblablement inconstitutionnel. Il porterait atteinte à la liberté d’expression d’une manière qui ne saurait être justifiée eu égard au test de l’article 1er. Aux États-Unis, où les tribunaux accordent une importance encore plus grande à la liberté d’expression, le résultat serait sensiblement le même. Et c’est exactement ce qu’a tenté de faire valoir Google, et ce, jusqu’à quelques jours avant la décision.
C’est dans ce contexte que la CJUE écarte rapidement une interprétation téléologique au bénéfice d’une interprétation plus stricte et textuelle de l’intention du législateur, se distinguant clairement de son approche dans la décision Google Spain :
« [I]l ne ressort aucunement des termes de l’article 12, sous b), et de l’article 14, premier alinéa, sous a), de la Directive 95/46 ou de l’article 17 du Règlement 2016/679 que le législateur de l’Union aurait, aux fins de garantir la réalisation de l’objectif mentionné au point 54 du présent arrêt, fait le choix de conférer aux droits consacrés à ces dispositions une portée qui dépasserait le territoire des États membres et qu’il aurait entendu imposer à un opérateur qui, tel Google, relève du champ d’application de cette directive ou de ce règlement une obligation de déréférencement portant également sur les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres. »
Sur cette base, la Cour conclut qu’« en l’état actuel, il n’existe, pour l’exploitant d’un moteur de recherche […] pas d’obligation découlant du droit de l’Union de procéder à un […] déréférencement sur l’ensemble des versions de son moteur ».
Qu’en est-il des discordances à l’intérieur même de l’UE? La CJUE soulève que, même au sein de l’Union, « l’intérêt du public à accéder à une information peut […] varier d’un État membre à l’autre, de sorte que le résultat de la mise en balance à effectuer entre celui-ci, d’une part, et les droits au respect de la vie privée et à la protection des données à caractère personnel de la personne concernée, d’autre part, n’est pas forcément le même pour tous les États membres ». Toutefois, la Cour affirme que le législateur n’est pas resté silencieux à ce sujet. Au contraire, le jugement identifie une série de dispositions qui militent toutes pour une application cohérente sur l’ensemble du territoire européen. La CJUE conclut alors que le cadre règlementaire actuel oblige « les différentes autorités de contrôle nationales concernées [à coopérer] afin de parvenir à un consensus et à une décision unique qui lie l’ensemble de ces autorités ». La Cour ajoute que ce cadre leur fournit également « les instruments et les mécanismes nécessaires […] pour pouvoir adopter, le cas échéant, une décision de déréférencement qui couvre l’ensemble des recherches effectuées sur la base du nom d[‘une] personne à partir du territoire de l’Union ».
Une porte ouverte
Cela dit, le jugement de la CJUE n’exclut pas totalement le recours à un déréférencement mondial. Il relance plutôt la balle aux autorités nationales et aux moteurs de recherches.
Selon la Cour, bien que le droit européen actuel n’impose pas un déréférencement global, « il ne l’interdit pas non plus ». Sur cette base, « une autorité de contrôle ou une autorité judiciaire d’un État membre demeure compétente pour […] enjoindre, le cas échéant, à l’exploitant[e d’un] moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur ».
Finalement, la Cour ajoute que bien qu’elle ne soit tenue d’opérer un déréférencement que sur les versions de son moteur correspondant à l’ensemble des États membres de l’UE, une exploitante de moteur de recherche est néanmoins obligée, si nécessaire, de prendre les mesures « qui, tout en satisfaisant aux exigences légales, permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès aux liens qui font l’objet de cette demande ».
La piste du géoblocage
Pour répondre à cette obligation de moyens, le recours aux techniques de géoblocage s’avère être une piste de solution intéressante. C’est d’ailleurs cette solution qu’a proposée Google en réponse à la mise en demeure de la CNIL et que cette dernière a jugé « insuffisante ». Cet aspect du litige est d’ailleurs le sujet de la troisième question soumise par le Conseil d’État à la CJUE, laquelle n’y répond pas directement préférant opter pour une obligation de moyen plus générale qui laisse plus de latitude aux moteurs de recherche et qui s’adaptera mieux à l’évolution des technologies.
En attendant, c’est cette option qui, à mon avis, est la plus susceptible de donner un maximum d’effectivité à la législation européenne tout en minimisant les conflits avec les droits fondamentaux accordés par d’autres juridictions à leurs citoyennes. Certes, même actuellement, cette barrière demeure facilement contournable par le recours à des technologies de « réseaux virtuels privés » ou « VPN ». Toutefois, comme le souligne le Professeur Trudel:
« L’application de la règle européenne vise à compliquer la tâche de ceux qui effectuent des recherches sur Internet avec des outils disponibles au grand public. Ceux qui ont les moyens d’effectuer leurs recherches avec d’autres outils que les moteurs de recherche destinés au grand public demeurent libres de rechercher ce qu’ils veulent. Par exemple, les employeurs ou d’autres personnes qui souhaitent en savoir plus sur une personne peuvent continuer à utiliser des outils qui ne sont pas offerts au grand public afin de réunir des informations sur le passé des personnes qu’ils envisagent de recruter. »
L’approche canadienne
Finalement, il est pertinent de comparer l’approche de la CJUE avec celle de la Cour suprême du Canada (CSC). Dans une récente affaire, Google Inc. c. Equustek Solutions Inc., 2017 CSC 34, le plus haut tribunal du pays devait justement se positionner sur la portée extraterritoriale d’une injonction interlocutoire de déréférencement. Dans une décision majoritaire de sept juges contre deux, la CSC tranche en faveur d’une interprétation téléologique:
« L’Internet n’a pas de frontières — son habitat naturel est mondial. La seule façon de s’assurer que l’injonction interlocutoire atteint son objectif est de la faire appliquer là où Google exerce ses activités, c’est‑à‑dire mondialement. Si l’injonction se limitait au Canada seulement ou à google.ca, la réparation ne pourrait pas empêcher comme il se doit le préjudice irréparable ».
Encore une fois, Google a soulevé la possibilité d’un conflit entre les différentes juridictions. La géante du Web soutient alors qu’une injonction mondiale contrevient au principe de la courtoisie internationale parce qu’il est possible qu’elle entre en conflit avec le droit d’un autre pays ou que Google viole les lois de ce pays en se conformant à celle-ci. La Cour suprême écarte cet argument en adoptant une approche pragmatique. Sous la plume de la juge Abella, les juges majoritaires répondent que cet argument demeure théorique puisque Google n’a pas fait la preuve d’un tel conflit juridique. De plus, même si cette preuve était faite, l’exploitante du moteur de recherche peut toujours demander aux tribunaux de modifier leur ordonnance interlocutoire en conséquence.
_____________________
Veuillez prendre note qu’afin d’alléger le texte, le genre féminin est ici utilisé au sens neutre et désigne le masculin autant que le féminin.
Commentaires