Nous nous sommes penché mardi dernier sur les conclusions de l'avocat général Szpunar dans l'affaire opposant Google et la Cnil à des requérants français ayant demandé le déréférencement de données "sensibles" les concernant.
Ce même 10 janvier, le même avocat général rendait également ses conclusions dans une autre affaire qui oppose Google à la Cnil sur la question de la portée territoriale du déréférencement à pratiquer.
Rappel des faits et procédure
Le scénario de départ est sensiblement le même : un requérant s'étant vu refuser le déréférencement général de ses données sur l'ensemble du moteur Google, quelle que soit l'interface pays de consultation avait saisi la Cnil qui avait mis en demeure Google de procéder à ce référencement mondial le 12 juin 2015 (notre actualité du 15 juin 2015). Google ayant porté le litige en appel devant le Conseil d'État, ce dernier posa à la Cour de justice de l'Union européenne, le 19 juillet 2017, une question préjudicielle aux fins de savoir si la protection des données accordée aux ressortissants de l'Union européenne devait se comprendre comme généralisée sur la planète, ou, comme le pratique Google depuis l'arrêt du 13 mai 2014, sur le seul territoire de l'Union, voire sur le seul territoire du pays du demandeur (notre actualité du 22 juin 2017, à laquelle nous renvoyons pour le détail des questions posées à la CJUE).
Les conclusions de l'avocat général Szpunar
Dans ses conclusions et selon l'excellente synthèse du communiqué de presse de la CJUE du 10 janvier dernier (pdf, 212 ko) :
L'avocat général "commence par indiquer que les dispositions du droit de l’Union applicables à cette affaire ne règlent pas expressément la question de la territorialité du déréférencement. Il est donc d’avis qu’une différenciation s’impose selon le lieu à partir duquel la recherche est effectuée."
Ensuite, "le droit fondamental à l’oubli doit être mis en balance avec l’intérêt légitime du public à accéder à l’information recherchée".
En effet, "Le risque, en cas de possibilité de procéder à un déréférencement mondial, serait d’empêcher des personnes dans des États tiers d’accéder à l’information et que, par réciprocité, les États tiers empêchent des personnes dans les États de l’Union d’accéder à l’information".
Cependant, "l’avocat général n’écarte pas la possibilité, dans certaines situations, d’imposer à un exploitant de moteur de recherche d’entreprendre des actions de déréférencement au niveau mondial, mais il estime que la situation concernée par la présente affaire ne le justifie pas".
En conclusion, "il propose donc à la Cour de constater que l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée".
En revanche, "l’avocat général souligne que l’exploitant d’un moteur de recherche doit, une fois qu’un droit au déréférencement au sein de l’Union est constaté, prendre toute mesure à sa disposition afin d’assurer un déréférencement efficace et complet, au niveau du territoire de l’Union européenne, y compris par la technique dite du «géo-blocage», depuis une adresse IP réputée localisée dans l’un des États membres, et ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche".
Nous avons préféré rendre compte de manière un peu longue des grands axes de raisonnement de l'avocat général, recommandant la lecture du communiqué mentionné ci-dessus, et bien sûr du texte intégral des conclusions elles-mêmes sur le site EUR-Lex (affaire C-507/17).
Pour résumer
L'avocat général recommande donc qu'en cas de demande de déréférencement de données personnelles de ressortissants de l'Union, celui-ci ne soit effectif que sur le territoire de l'Union européenne, mais entièrement sur ce territoire, c'est-à-dire que l'information soit inaccessible sur les interfaces nationales (google.fr, .be, .de…) mais aussi par "géo-blocage" c'est-à-dire toutes les fois où l'adresse IP de l'internaute indique qu'il est localisé sur le territoire de l'Union.
Un raisonnement juridique discutable
Nous sommes là en face de conclusions qu'il reste à explorer plus anvant dansleur détail. mais dans un premier temps, nous ne saurions y souscrire aveuglément. Elles vont du reste à l'encontre de l'analyse, plus lucide, nous semble-t-il, de la Cnil.
Nous reviendrons donc sur notre analyse critique de ces conclusions ultérieurement.
Toutes nos actualités sur les Données à caractère personnel.
