LE DÉRÉFÉRENCEMENT OU L’ART DE LA BALANCE

marketude Data Protection and Cybersecurity, France, Intellectual Property, Publications, Roberto A. Jacchia, Sophie Bertoletto

Aujourd’hui, entrer le nom d’une personne sur des moteurs de recherche pour s’informer de celle-ci est une pratique habituelle.

Pourtant, cette recherche peut porter atteinte au respect de la vie privée. C’est pourquoi par un arrêt  du 13 mai 2014, dit «Google Spain»[1]  la Cour de Justice de l’Union européenne (CJUE) a reconnu aux intéressés le droit, sous certaines conditions, d’obtenir d’un moteur de recherche la suppression des résultats affichés à la suite d’une recherche effectuée à partir de leur nom et pointant vers des pages Web contenant des informations sur eux.

Défini par la CJUE comme le droit, pour la personne concernée, « à ce que l’information relative à sa personne ne soit plus, au stade actuel, liée à son nom par une liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom[2]», ce droit au déréférencement ne constitue pas un véritable droit à l’oubli numérique emportant effacement des données. Il permet d’exclure que le nom d’un sujet n’apparaisse parmi les résultats d’un moteur de recherche à l’issue d’une interrogation de celui-ci. Dissociée du nom de la personne concernée, l’information demeure cependant sur les sites sources et reste accessible par d’autres moyens, par l’intermédiaire d’une recherche plus complexe et plus longue (il s’agit du « right not to be found easily»).

Toutefois, le droit consacré par la juridiction européenne dans l’arrêt  Google Spain traduit, dans sa mise en œuvre, confiée par la CJUE aux moteurs de recherche, sous le contrôle des autorités nationales de protection des données et des juges, une confrontation de droits concurrents. Il s’agit en effet de concilier les droits fondamentaux  à la protection des  données personnelles et de la vie privée avec le droit, tout aussi fondamental, du public à l’information.

Cet antagonisme est mis en évidence par les décisions des juridictions nationales relatives aux demandes de déréférencement des contenus présents sur le web, qui s’efforcent de mettre en balance au cas par cas les intérêts en présence.

En Italie, la Cour de cassation s’est récemment prononcée sur cette conciliation dans le cas d’une demande de déréférencement adressée par un particulier à Yahoo ! Inc et Yahoo ! Italia Srl afin d’obtenir la suppression de plusieurs URL des résultats de recherches i effectuées avec le moteur de recherche Yahoo!, qui reliait le nom de l’individu à une affaire judiciaire qu’il considérait comme n’étant plus d’actualité[3].

A la demande de l’intéressé, l’autorité italienne de protection des données avait ordonné aux sociétés de désindexer certains contenus ainsi que de supprimer l’URL et les pages présentes dans le cache, liées à ces URL.

Les deux sociétés avaient alors fait appel devant le Tribunal de Milan, contestant tout d’abord la compétence de l’Autorité Garante pour la Protection des Données Personnelles d’adopter, sur la base de la loi italienne, des mesures contre un sujet étranger, Yahoo ! Inc. étant une société de droit irlandais.

Sur ce point, La Cour a jugé que l’article 4.1, lettre a), de la Directive 95/46[4] devait être interprété comme «permettant l’application de la loi sur la protection des données à caractère personnel d’un État membre autre que celui dans lequel le traitement de ces données est enregistré, à condition que celui-ci exerce, par l’intermédiaire d’une organisation stable sur le territoire de cet État membre, une activité effective et réelle, même minime, dans le cadre de laquelle s’effectue ce traitement [5]».

Les deux sociétés avaient ensuite demandé l’annulation des mesures ordonnées par l’Autorité.

Le Tribunal de Milan, par une décision  du 15 janvier 2016, avait rejeté le recours, déclarant que les droits fondamentaux de la personne concernée devaient prévaloir non seulement sur l’intérêt économique de l’opérateur du moteur de recherche, mais aussi sur l’intérêt du public à localiser l’information.

Les deux sociétés avaient donc contesté la décision devant la Cour de Cassation considérant, entre autres, que la décision du Tribunal d’ordonner l’élimination définitive des données contenues dans le cache était excessive.

Dans son arrêt du 8 février 2022, la Cour de Cassation rappelle les principes posés dans l’arrêt Google Spain et ceux affirmés par ses Chambres Réunies, qui avaient reconduit le déréférencement au droit à la suppression des données, dans le cadre d’une classification qui considère celui-ci comme l’une des trois déclinaisons possibles du droit à l’oubli[6].

Ainsi, la Cour affirme que « l’effacement des copies cache relatives aux informations accessibles via un moteur de recherche, parce qu’il affecte la capacité dudit moteur de recherche de fournir une réponse à la requête posée par l’utilisateur à travers un ou plusieurs mots-clés, ne fait pas suite à la constatation de l’existence des conditions de déréférencement des données à partir du nom de la personne, mais nécessite une pondération du droit à l’oubli de l’intéressé avec le droit à la diffusion et à l’acquisition d’informations, portant sur le fait dans sa complexité , via des mots-clés également différents du nom de la personne » et casse, avec renvoi, le jugement rendu par le Tribunal de Milan sur ce point.

En France également, c’est à l’aune d’un contrôle de proportionnalité que les juridictions sont invitées à rendre leurs décisions concernant le bien-fondé d’une demande de déréférencement auprès d’un moteur de recherche.

La Cour de Cassation française précise que si le droit au déréférencement permet à toute personne de solliciter la suppression de certains résultats associés au nom et prénom de celle-ci auprès d’un moteur de recherche, ce droit n’entraine pas l’automaticité du déréférencement

Dans un arrêt de principe rendu le 14 février 2018[7], la Haute Juridiction casse un arrêt d’appel, motif pris que les juges de deuxième instance  avaient « prononcé une mesure d’injonction d’ordre général conférant un caractère automatique à la suppression de la liste de résultats sans avoir procédé au préalable à la mise en balance des intérêts en présence. »

Dans les faits, un particulier avait constaté que la société Google Inc. exploitait des données personnelles, via son moteur de recherche Google.fr dans le cadre de référencement de pages web et d’usage de cookies, sans son consentement. Il avait alors saisi le Tribunal de Grande Instance de Nice lequel, par ordonnance, avait enjoint aux sociétés Google France et Google Inc. de procéder à la suppression des liens référencés « en lien avec les données à caractère strictement privé et personnel » concernant le demandeur.

Dans un autre arrêt en date du 12 mai 2016[8] , la Cour de Cassation donne une parfaite illustration du caractère non automatique du déréférencement et de la recherche de conciliation entre les différents intérêts en présence. La Cour avait en effet approuvé l’arrêt d’une cour d’appel d’avoir rejeté une demande de déréférencement contre un éditeur fondée sur une atteinte à la réputation d’une personne dérivant de la publication d’un article de presse dès lors que son contenu était exact, et que sa suppression était susceptible de constituer une restriction à la liberté d’expression. 

Cette obligation de pondération est aujourd’hui reprise dans le Règlement Général sur la Protection des Données qui encadre strictement, à son article 17, les cas dans lesquels le droit d’obtenir l’effacement de données personnelles peut être satisfait[9].

Il est alors à remarquer que, comme cela s’avère de plus en plus souvent dans une société complexe, tout droit – y-compris le droit à l’oubli – demeure finalement assujetti à un contrôle de compatibilité, voire de proportionnalité, avec d’autres droits et valeurs du même rang, que la loi protège également. Les solutions auxquelles la France et l’Italie parviennent dans le cadre commun du GDPR ne sont pas différentes.

Download Article


[1] CJUE, 03.05.2014, affaire C-131/12, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González

[2] CJUE, 03.05.2014, affaire C-131/12, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González, point 96

[3] Cass. Civ., 08.02.2022, n. 3952

[4] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, JOUE n° L 281 du 23/11/1995, abrogée et remplacée par le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (Règlement Général sur la Protection des Données) 

[5] CJUE, 01.10.2015, affaire C-230/14, Weltimmo, point 41

[6] Les deux autres déclinaisons étant identifiées comme : « le droit de ne pas voir de nouveau publiées des informations relatives à des événements légitimement diffusés dans le passé lorsqu’un certain laps de temps s’est écoulé entre la première et la deuxième publication et le droit, lié à l’utilisation d’internet et à la disponibilité d’informations sur le réseau, consistant en l’exigence de replacer la publication, légitimement intervenue de nombreuses années plus tôt, dans le contexte actuel. » Cass. Civ. Chambres Réunies, 22.07.2019, n. 19681

[7] Cass. Civ. 1ère, 14.02.2018, n. 17-10499 :  

[8] Cass. Civ. 1ère 12 mai 2016, n. 15-17.729

[9] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) Article 17.1. « La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique: a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière; 4.5.2016 FR Journal officiel de l’Union européenne L 119/43 b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement; c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2; d) les données à caractère personnel ont fait l’objet d’un traitement illicite; e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis; f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1. »