Le 24 septembre 2019, la Cour de justice de l’Union européenne (CJUE) a rendu une décision sur l’interprétation de la directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

Cette décision, rendue dans le cadre d’un litige opposant Google LLC à la Commission nationale de l’informatique et des libertés (CNIL), précise la portée territoriale du droit au déréférencement. La CJUE a indiqué que le déréférencement doit être effectué par l’exploitant d’un moteur de recherche sur les extensions des noms de domaine de l’ensemble des Etats membres de l’Union européenne et que par exception, ce déréférencement peut avoir une portée mondiale.

Le droit au déréférencement, consacré le 13 mai 2014 par la CJUE dans l’arrêt « Google Spain », permet à toute personne physique de demander la suppression de la liste de résultats affichée sur un moteur de recherche, à la suite d’une recherche de son nom, de liens amenant à des pages contenant des informations la concernant.

Le 10 mars 2016 la CNIL avait prononcé une sanction de 100 000 euros à l’encontre de Google qui refusait d’appliquer un déréférencement sur l’ensemble des extensions mondiales de son moteur de recherche. Google avait uniquement supprimé les liens des résultats affichés depuis les versions européennes de son moteur de recherche.

Contestant cette sanction pécuniaire, Google a demandé au Conseil d’Etat l’annulation de la délibération de la CNIL. Le Conseil d’Etat, relevant des difficultés d’interprétation de la directive 95/46/CE, a posé plusieurs questions préjudicielles à la CJUE. Ces questions ont été examinées tant au regard de la directive 95/46/CE que du règlement 2016/679 qui abroge cette directive.

Dans sa décision du 24 septembre 2019, la CJUE, souligne que les Etats tiers à l’Union européenne peuvent avoir une approche différente du droit au déréférencement, que ce droit n’est pas absolu et qu’il ne ressort pas des textes européens une volonté du législateur de conférer à ce droit une portée qui dépasserait le territoire des Etats membres.

Dès lors la CJUE a considéré que l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement n’a pas l’obligation de procéder à ce déréférencement sur les extensions des Etats du monde entier.

Cependant pour assurer un niveau cohérent et élevé de protection des données à caractère personnel au sein de l’Union européenne, l’exploitant du moteur de recherche a l’obligation d’opérer le déréférencement sur toutes les versions européennes du moteur de recherche.

Ce déréférencement au-delà des versions européennes n’est donc pas obligatoire mais il n’est pas non plus interdit selon la CJUE. En effet, une autorité de contrôle, telle que la CNIL, ou une autorité judiciaire d’un Etat membre pourrait, à l’aune des standards nationaux de protection des droits fondamentaux, mettre en balance d’une part, le respect à la vie privée et la protection des données à caractère personnel et d’autre part, le droit à la liberté d’information, et ainsi, au terme de cette analyse, ordonner un déréférencement sur les versions européennes et non européennes du moteur de recherche.

Il revient désormais au Conseil d’Etat de trancher le litige opposant Google à la CNIL à l’aune de cette décision qui confère une portée européenne au droit au déréférencement et, exceptionnellement et sous conditions, une portée mondiale.