En décembre dernier, avant l’entrée en vigueur du GDPR, la Commission pour la Protection de la Vie Privée (maintenant Autorité de Protection des Données), a rendu un avis concernant le droit au déréférencement dans un dossier opposant deux particuliers à un moteur de recherche. Confirmant la jurisprudence européenne « Google / Spain », elle remet néanmoins en question les modalités du droit au déréférencement et élargit encore la portée territoriale du droit.

Le droit au déréférencement

Le droit au déréférencement a été consacré par l’arrêt dit « Google / Spain » de la CJUE du 13 mai 2014. La CJUE avait dû se prononcer, entre autres, sur le fait de savoir si, afin de respecter les droits prévus par la directive 95/46, l’exploitant d’un moteur de recherche était obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations préjudiciables relatives à cette personne. La CJUE avait répondu positivement à cette question, et a consacré dans la jurisprudence le droit au déréférencement ou droit à l’oubli numérique, qui est à présent expressément consacré par l’article 17 du GDPR.

La Commission pour la Protection de la Vie privée (ci-après « CPVP ») a dû se prononcer dans une affaire comparable à l’affaire « Google / Spain ».

Les faits et griefs

En juillet 2016, une plainte a été déposée auprès de la CPVP concernant des URLs, disponibles sur un moteur de recherche, et reprenant des informations calomnieuses et diffamantes qui associaient les plaignants à des faits graves dans lesquels ils n’étaient pas impliqués et pour lesquels ils n’ont jamais été inquiétés.

Si les plaignants adressaient dans un premier temps leurs demandes de déréférencement directement au moteur de recherche en question, cette méthode leur est apparue inefficace et leur imposa un vrai travail de Sisyphe : des liens réapparaissaient sans cesse, renvoyant vers un contenu identique, mais avec des URLs légèrement différentes, ce qui imposait aux plaignants de réintroduire continuellement de nouvelles demandes de déréférencement.

De plus, les plaignants déploraient un déréférencement partiel et inefficace. Premièrement, le déréférencement ne portait pas sur l’ensemble des extensions du moteur de recherche depuis l’ensemble des territoires où il est accessible. Ensuite, le déréférencement se limitait aux seules clés de recherche contenant le nom et le prénom des plaignants ; ainsi, dès l’ajout d’un terme spécifique associé aux nom et prénom, les résultats préalablement déréférencés réapparaissaient.

La plainte

Dans leur plainte déposée à la CPVP, les plaignants demandaient dès lors que les droits conférés par l’article 12 de la loi vie privée de 1992 soient respectés (en l’espèce, le droit d’opposition), que le déréférencement porte sur l’ensemble des versions du moteur de recherche et qu’il ne soit plus limité géographiquement, et que les modalités d’exercice de leur droit au déréférencement soient adaptées via, par exemple, la mise en place d’un système de filtrage.

La décision de la CPVP

La CPVP a déclaré la plainte recevable et fondée. Dans son avis, elle précise que le responsable du traitement (en l’espèce un moteur de recherche) doit choisir la solution la plus protectrice à l’égard des personnes concernées, dans la mesure où le préjudice est incontestablement acquis et que le droit au déréférencement est reconnu et non contesté.

La Commission estime d’abord qu’un déréférencement limitativement effectué (territorialement parlant) ne peut être considéré comme satisfaisant au regard de l’article 12 de la loi vie privée, mais également au regard de la jurisprudence de la CJUE et de l’arrêt « Google Spain » consacrant le droit à l’oubli numérique. La Commission rappelle que rien dans l’arrêt « Google Spain » ne suggère qu’un moteur de recherche aurait le droit de limiter l’implémentation du déréférencement par régions ou par pays. Ainsi, les différentes extensions d’un moteur de recherche ne peuvent être considérées autrement que comme autant de chemins d’accès techniques à un seul et même moteur de recherche, permettant un seul et même traitement. Les URLs du moteur de recherche ne peuvent dès lors faire l’objet de décisions de blocages différenciées selon les origines de localisation territoriale artificielles.

La limitation territoriale aboutit, selon la CPVP, à priver d’effets utiles l’exercice du droit à la protection de la vie privée. La CPVP insiste sur le fait que le respect des droits de la personnalité en matière de vie privée, par les sous-traitants ou responsables, doit être logique et cohérent et ne doit pas varier en fonction du pays ou de son droit. Le critère n’est pas l’espace économique ou juridique, mais bien la personne et ses droits.

Ensuite, la CPVP invite le moteur de recherche à mettre en place un système de blocage évitant toute réapparition de l’URL litigieux sur la base d’autres mots-clés ajoutés aux noms et prénoms des personnes concernées. Elle rappelle qu’il y a lieu de tenir compte des moyens techniques existants dont dispose le responsable de traitement eu égard à l’état de la technique. Ce faisant, si une méthode de déréférencement plus efficace que celle utilisée existe, cette méthode devrait selon la CPVP être préférée pour garantir une meilleure efficacité du droit à la protection due aux plaignants.

Bientôt un arrêt de la CJUE

Cette décision a été rendue avant l’entrée en vigueur du GDPR et avant la transformation de la CPVP en APD (Autorité de Protection des Données). Si l’APD est munie d’un réel pouvoir sanctionnateur (voir notre article à ce sujet ici) , la CPVP n’a, elle, qu’une compétence d’avis, ses décisions n’étant pas contraignantes. Les décisions de la CPVP témoignent cependant bien une ligne de conduite qui a été choisie par la CPVP et qui pourrait sans doute être perpétrée voire renforcée par son successeur, l’APD.

Une affaire semblable est actuellement pendante devant la CJUE. En effet, par une décision 19 juillet 2017, le Conseil d’Etat Français a invité la Cour de Justice de l’Union Européenne (« CJUE ») à se prononcer sur la portée territoriale du droit au déréférencement consacré par l’arrêt « Google Spain» du 13 mai 2014 au détour de trois questions préjudicielles. Les plaidoiries ont eu lieu le 11 septembre 2018 ; l’avis de l’avocat général devrait être rendu au mois de décembre 2018 et la décision de la Cour dans les mois qui suivent.

Ces décisions (antérieures au GDPR) témoignent d’une volonté forte d’encadrer le droit au déréférencement avant même l’entrée en application du GDPR qui consacre expressément le droit au déréférencement par le biais du « droit à l’oubli ». La portée territoriale du déréférencement constitue une zone d’ombre majeure à laquelle la CJUE devrait apporter des réponses afin de faciliter l’application et l’interprétation du GDPR.

Plus d’infos ?

En lisant l’avis commenté, disponible en annexe.