Écrit le .

LE DROIT AU DEREFERENCEMENT

La transition numérique et le développement des usages en ligne présentent de multiples avantages pour les entreprises mais également pour les particuliers. Si internet présente de nombreux avantages, force est de constater que les utilisateurs ne maîtrisent pas toujours les informations qui circulent à leur sujet.

Les dérives sont inévitables et certains de ces usages posent régulièrement des problèmes aux entreprises comme aux particuliers, notamment en ce qui concerne leur réputation en ligne.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Les conséquences d’une photo, d’un commentaire ou d’une vidéo peuvent vite devenir irréversibles sur la toile. Internet entraîne une perte de contrôle pour les utilisateurs qui se retrouvent propulsés dans un espace sans frontières et dont les répercussions sont sans précédent.

Pour lutter contre la mémoire sans fin d’internet, le législateur a introduit des moyens permettant aux utilisateurs de reprendre le dessus afin de se protéger. Précisé par la jurisprudence, le droit au déréférencement fait partie de ces moyens permettant une protection a posteriori des individus. Mais qu’en est-il en pratique, peut-on affirmer qu’il existe un droit au déréférencement ?

Le droit au déréférencement n’est pas à confondre avec le droit à l’effacement. Ces procédés sont à distinguer puisque leurs effets sont différents. Quand le droit à l’effacement permet à toute personne d’obtenir d’un responsable de traitement la suppression des données à caractère personnel qui la concerne lorsqu’il n’existe plus de raison légitime à les conserver, le droit au déréférencement permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne (1).


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien


Aussi souvent appelé « droit à l’oubli », le droit au déréférencement était déjà prévu par la Directive 95/46/CE, et aujourd’hui intégré à l’article 17 du RGPD (2). Issu d’une longue réflexion, cet article a créé le droit à l’effacement et a permis une inversion de la charge de la preuve, à présent le responsable de traitement supporte la charge de la preuve.
Ce droit a vu son application précisée par une série d’arrêts rendus entre 2014 et 2020.

A travers cette saga jurisprudentielle, la Cour européenne de justice mais également le Conseil d’Etat se sont attelés à définir les modalités de mise en œuvre du droit au déréférencement aux moteurs de recherche (I). En pratique, le droit au déréférencement a connu différentes évolutions mais connaît également de nombreuses limites aussi bien à travers sa mise en œuvre, qu’à travers le rôle accordé aux moteurs de recherche (II).

I. La définition des modalités de mise en œuvre du droit au déréférencement

Afin de garantir une protection adéquate des personnes faisant l’objet d’un traitement de données par les moteurs de recherche, la CJUE a dû déterminer les responsabilités et devoirs de ces nouveaux acteurs au regard de la législation existante. Pour se faire, elle a d’abord procédé à la vérification de l’applicabilité de la directive européenne 95/46/CE aux moteurs de recherche (A). Elle a ensuite fixé un ensemble d’obligations découlant de la réglementation et définit leurs modalités de mise en œuvre par ces mêmes acteurs (B).

A. L’intervention de la CJUE dans la détermination de l’application de la Directive 95/46/CE aux moteurs de recherche

C’est à l’occasion de sa célèbre décision en date du 13 mai 2014 que la CJUE est venue préciser les modalités d’application du droit au déréférencement par les moteurs de recherche.  (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos)

Dans un premier temps, la CJUE procède à la vérification de l’applicabilité de la Directive 95/46/CE (aujourd’hui abrogée) au moteur de recherche, en l’occurrence Google.
Pour se faire elle effectue une qualification des activités du moteur de recherche qu’elle considère par extension de son interprétation classique, être des traitements de données. Puis, elle effectue un contrôle sur la qualité du moteur de recherche, et au regard de ses activités et de son rôle dans la détermination des finalités et moyens du traitement, lui confère la qualité de responsable de traitement (3).

La Cour ajoute « cette activité des moteurs de recherche joue un rôle décisif dans la diffusion globale desdites données en ce qu’elle rend celles-ci accessibles à tout internaute effectuant une recherche à partir du nom de la personne concernée, y compris aux internautes qui, autrement, n’auraient pas trouvé la page web sur laquelle ces mêmes données sont publiées ».

Elle souligne donc l’existence d’un lien de cause à effet entre les résultats indexés par le moteur de recherche dans le cadre de ses activités et les atteintes à la vie privée dont sont victimes les personnes concernées.

Cette décision s’accorde difficilement avec la position antérieure de la CJUE qui considérait que ce même moteur de recherche, Google, avait un rôle « purement technique, automatique et passif » (4).  (CJUE Arrêt du 23 mars 2010, Affaires jointes C-236/08 à C-238/08.)

Ce raisonnement adopté par la Cour témoigne de sa volonté de faire produire ses effets à la directive européenne afin de réguler les activités du moteur de recherche. La CJUE confirme l’application de la Directive 95/46/CE et ordonne à Google de la respecter afin de garantir une protection efficace et complète des personnes concernées.

Dans un second temps la Cour doit déterminer si la localisation de Google n’empêche pas l’application de la Directive 95/46/CE. Pour se faire, elle analyse si l’entreprise remplit une des trois conditions fixées par la directive. La Cour se livre alors à une réécriture du considérant 19 de la directive et procède à la qualification d’établissement stable de Google Spain.

Cette mise en balance des différents intérêts a permis de renforcer la protection des personnes concernées et de responsabiliser Google envers ses utilisateurs.

Cette décision ne responsabilise pas seulement Google, elle apporte ainsi un cadre nouveau pour les moteurs de recherches qui devront, dès à présent, se conformer à la Directive 95/46/CE.

Depuis cette décision, les moteurs de recherche se sont dotés de formulaire de demande de désindexation et ont pour obligation de traiter les demandes dans un temps imparti. Pour répondre à une demande, le moteur de recherche dispose d’un délai d’un mois. Ce délai peut faire l’objet d’une prolongation de deux mois compte tenu de la complexité de la demande ou du nombre de demandes reçues. Cependant, le moteur de recherche devra vous informer des raisons qui ont retardé sa réponse. Il vous est donc possible de demander aux moteurs de recherche de déréférencer un résultat qui porterait atteinte à votre vie privée

Il est fort à parier que ce jugement aura inspiré le Règlement général à la protection des données dans l’adoption des principes de ciblage et d’établissement. Ces deux notions ont vocation à élargir le champ d’application de la réglementation européenne qui s’applique donc aux établissements situés en Europe mais également aux établissements dont les activités concernent les européens. (??)

B. La définition des critères d’évaluation du droit au déréférencement

En vertu de la directive du 24 octobre 1995, les Etats membres garantissent aux personnes concernées le droit d’obtenir du responsable de traitement, en l’occurrence le moteur de recherche, l’effacement, la rectification ou le verrouillage des données dont le traitement n’est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données.

Les moteurs de recherche doivent donc répondre aux demandes des personnes concernées, et le cas échéant, prendre les mesures adéquates à la situation.

A travers cette décision, la CJUE définit les critères qui devront permettre aux moteurs de recherche de statuer sur une demande de déréférencement.

Dès lors, chaque demande de déréférencement devra être appréciée au cas par cas afin d’effectuer un juste équilibre (principe de proportionnalité) entre les atteintes aux droits fondamentaux, au respect de la vie privée et à la protection des données que sont susceptibles de provoquer les traitements de données, par rapport au droit à l’information et au droit de la presse. Le droit à l’oubli n’est par conséquent pas un droit absolu (5).

Ainsi « l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite ».

Précisé par la jurisprudence de 2019, cet examen devra se faire à la lumière d’autres critères que sont la notoriété et la fonction de la personne concernée, il s’agira de déterminer si c’est une personne publique. L’âge de la personne concernée, notamment son âge au moment de la publication, mais aussi la nature des contenus en cause leur caractère plus ou moins objectif, leur exactitude, de s’interroger sur leurs sources.

Le responsable de traitement devra également vérifier les conditions et la date de mise en ligne des contenus, et enfin les éventuelles répercussions que leur référencement est susceptible d’avoir pour la personne concernée (par exemple si la personne rencontre des difficultés à obtenir un prêt car un article concernant d’anciennes insolvabilités est en ligne).

Cette décision rend le processus de la demande du droit au déréférencement plus direct. Elle permet en effet de contraindre les moteurs de recherche à entrer dans le cadre de la directive en répondant aux demandes qui lui parviennent, sans attendre au préalable une décision de justice.

Finalement, la nouveauté de cet arrêt réside dans le fait que le moteur de recherche peut être obligé de désindexer lesdits liens, même si les données à caractère personnel continuent à demeurer sur les sites web.

II. Les évolutions et les limites de la pratique du droit au déréférencement/du droit à l’oubli

La jurisprudence européenne offre de nouvelles perspectives en instaurant de nouvelles obligations aux moteurs de recherches. Précisé par une sérié d’arrêts qui découlent de cette première décision, la portée territoriale du droit au déréférencement fait aujourd’hui l’objet de discussions (A). La jurisprudence a amené à la fois des évolutions mais également d’autres limites dans l’octroi du droit au déréférencement (B).

A. Les limites de la portée territoriale

A la suite d’un différend opposant Google Inc. et la CNIL, le Conseil d’Etat saisi d’une question préjudicielle la CJUE afin de déterminer la portée territoriale du droit au déréférencement. Autrement dit, s’arrête-t-il aux frontières de l’Union européenne ?

En réponse à cette question, la portée et les limites du droit au déréférencement ont été précisées par la CJUE dans deux nouveaux arrêts du 24 septembre 2019 (6).

A travers l’un de ses deux arrêts, la CJUE répond et considère que le droit au déréférencement doit être respecté dans les États membres de l’Union européenne. Il n’est pas contraignant pour les autres pays. Un moteur de recherche qui reçoit une demande de déréférencement par un citoyen européen n’est obligé de supprimer les résultats concernés que pour ses noms de domaines européens (google.fr, google.be, google.de, etc.).

Toutefois, la Cour de justice de l’Union européenne précise que, si le droit de l’Union n’impose pas cette portée mondiale, « il ne l’interdit pas non plus », ce qui permet à une autorité de contrôle ou à une autorité judiciaire d’ordonner un déréférencement à portée mondiale.

Par une série de décisions rendues le 6 décembre 2019, le Conseil d’Etat tire les conséquences des décisions de la CJUE (7).

Cette saga jurisprudentielle s’achèvera le 27 mars 2020, date à laquelle le Conseil d’Etat prend acte du jugement rendu par la Cour de justice de l’Union européenne et annule la délibération de la CNIL ordonnant un déréférencement mondial. En France, aucune mesure législative ne permet en effet à la CNIL d’exiger de procéder à un déférencement d’une telle envergure.

Cette décision révèle des difficultés techniques propres aux nouvelles technologies, mais aussi législatives et soulève des interrogations. La justification adoptée par le Conseil d’Etat en ce qui concerne le déréférencement mondial apparaît comme la volonté de ne pas aller au conflit. En effet, le Conseil d’Etat précise qu’il est nécessaire de disposer de mesures législatives donnant autorité à la CNIL pour exiger une telle opération. Or, devons-nous attendre des lois pour rendre effectif le droit au déréférencement ?

Tout comme l’a fait la CJUE dans son arrêt du 13 mai 2014, devons-nous adapter les règles de droit aux circonstances et aux besoins afin de garantir une protection effective ?
Ou devons-nous considérer que pour tous résidents européens, ce droit devrait se limiter au territoire de l’Union Européenne pour des raisons de visibilité ?

L’approbation du déréférencement à échelle européenne n’empêche pas en effet l’utilisation d’outils techniques (VPN) permettant d’outrepasser la mise en œuvre du déréférencement, ce qui remet en cause l’effectivité de ce procédé visant à protéger les utilisateurs. Ne devrait-on pas adapter cette solution à l’état de l’art ?

B. Les évolutions et les limites de l’exercice du droit au déréférencement induites par la jurisprudence

Ces jurisprudences ont allégé le processus judiciaire auparavant requis pour faire droit à une demande de déréférencement. Il n’est plus nécessaire de passer au préalable par la case tribunal. Les moteurs de recherche mettent à disposition des formulaires qui permettent d’effectuer une demande de déréférencement (8). En cas de recours contre une décision prise par un moteur de recherche, il n’est pas non plus nécessaire non plus d’emprunter le chemin des tribunaux. La CNIL sert d’intermédiaire. Cela évite des frais judiciaires aux personnes qui souhaiteraient exercer ce droit.

Cependant, le manque de célérité dans la prise en compte des demandes peut causer d’importants préjudices.

En revanche, le pouvoir conféré aux moteurs de recherche fait l’objet de débats. En effet, ils sont, dans la première partie du processus, les seuls à apprécier s’ils accordent le déréférencement ou non, et ce même pour des contenus licites. Il s’agit de conférer à un acteur privé le rôle de concilier deux libertés fondamentales, le droit au respect de sa vie privée et la liberté de la presse. Ce qui entre dans le domaine de compétence des juges et non pas des acteurs privés.

De plus, les moteurs de recherche ne procèdent pas à un déréférencement mondial puisqu’ils revendiquent un droit à l’information, ce qui d’après eux, serait la vocation même d’un moteur de recherche.

Pour lire une version plus adaptée aux mobiles de cet article sur le droit au déréférencement, cliquez

ARTICLES QUI POURRAIENT VOUS INTERESSER :

SOURCES :

(1) Pour visualiser l’article 17 du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17
(2) Différence déréférencement et effacement : https://www.cnil.fr/fr/le-dereferencement-dun-contenu-dans-un-moteur-de-recherche
(3) « Il serait contraire non seulement au libellé clair mais également à l’objectif de cette disposition, consistant à assurer, par une définition large de la notion de responsable, une protection efficace et complète des personnes concernées, d’exclure de celle-ci l’exploitant d’un moteur de recherche au motif qu’il n’exerce pas de contrôle sur les données à caractère personnel publiées sur les pages web de tiers ». (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos)(4) Pour consulter l’arrêt de la CJUE du 23 mars 2010 : https://www.cairn.info/revue-legicom-2010-1-page-140.htm
(5) « Les droits à la vie privée et à la protection des données à caractère personnel doivent se concilier avec les droits à la liberté d’expression et d’information, ce dans la recherche d’un juste équilibre entre les droits de la personne concernée et l’intérêt légitime des internautes potentiellement intéressés à avoir accès à une information ». (TGI Paris, ordonnance de référé du 12 mai 2017, Madame X. / Google France et Google Inc.)(6) Pour consulter des résumés des arrêts de la CJUE en date du 24 septembre 2019 : https://www.cnil.fr/fr/droit-au-dereferencement-la-cjue-rendu-ses-arrets
(7) Pour consulter les décisions du Conseil d’État, 06/12/2019, 429154 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000039457006
(8) Accès aux formulaires de demande de déréférencement (CNIL) : https://www.cnil.fr/fr/le-dereferencement-dun-contenu-dans-un-moteur-de-recherche
(9) Marion Polidori, « L’arrêt Google Spain de la CJUE du 13 mai 2014 et le droit à l’oubli » Dans Civitas Europa 2015/1 (N° 34), pages 243 à 266 : https://www.cairn.info/revue-civitas-europa-2015-1-page-243.htm

Cet article a été rédigé pour offrir des informations utiles, des conseils juridiques pour une utilisation personnelle, ou professionnelle. Il est mis à jour régulièrement, dans la mesure du possible, les lois évoluant régulièrement. Le cabinet ne peut donc être responsable de toute péremption ou de toute erreur juridique dans les articles du site. Mais chaque cas est unique. Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, vous pouvez nous téléphoner au 01 43 37 75 63.

Articles en relation

Cyber harcèlement et identification de l’harceleur

Le monde numérique offre de nombreuses opportunités, mais malheureusement, il peut également être le théâtre de comportements nuisibles tels que le cyber harcèlement. Le cyber harcèlement se réfère à l’utilisation abusive de la technologie pour intimider, menacer ou humilier une personne. Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en […]

la protection des données dans les contrats de services informatiques transfrontaliers

L’évolution rapide des technologies de l’information et de la communication a transformé le paysage des services informatiques, permettant aux entreprises de fournir des services et de stocker des données à l’échelle mondiale. Cependant, cette expansion transfrontalière des services informatiques a soulevé des préoccupations majeures en matière de protection des données personnelles.  (1) Pour faire contrôler […]

Testaments et héritages numériques

L’avancée rapide de la technologie et la numérisation croissante de nos vies, de nombreuses questions juridiques émergent quant à la validité des testaments numériques et des héritages numériques en France. Pour faire se renseigner utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN. Alors que les testaments traditionnels sont généralement rédigés sur papier […]

  Murielle Cahen . Politique de gestion données personnelles. Mentions légales. CGV. IDDN.