Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Respect de la vie privée et protection des données personnelles

L’application du droit au déréférencement à l’égard des moteurs de recherche : un subtil équilibre préservé par la Cour de cassation.

Par Jonathan Elkaim, Avocat.

Le droit au déréférencement permet à toute personne de solliciter la suppression de certains résultats associés au nom et prénom de celle-ci auprès d’un moteur de recherche.

(Cass.civ 1ère, 14 février 2018, n°17-10499)

Un tel droit trouve son origine dans l’impératif de protection érigé à l’article premier et au considérant 10 de la directive CE 95/46 visant à garantir un niveau « élevé » de protection des libertés et des droits fondamentaux des personnes physiques et notamment de leur vie privée à l’égard du traitement des données à caractère personnel (Arrêt CJUE IPIC C – 2013 715, point 28).

A l’heure de l’entrée en application du Règlement général sur la Protection des Données n°2016/679 adopté le 27 avril 2016 (ci-après RGPD), consacrant en son article 17, l’obligation pour le responsable de traitement d’avoir à effacer « dans les meilleurs délais » des données à caractère personnel dès réception d’une demande en ce sens, le droit au référencement vient désormais renforcer l’arsenal législatif destiné à endiguer toute atteinte à la vie privée d’une personne.

Pour autant et ainsi qu’en dispose l’article 85 de ce règlement, les États Membres doivent concilier le droit à la protection des données avec d’autres libertés fondamentales telles que la liberté d’expression et d’information.

C’est donc à l’aune d’un contrôle de proportionnalité que les juridictions sont invitées à rendre leurs décisions concernant le bien fondé d’une demande de déréférencement auprès d’un moteur de recherche.

La Cour de cassation a précisément répondu à cette exigence dans un arrêt du 14 février dernier.

I. L’absence d’automaticité du déréférencement

Dans les faits, un internaute a constaté que la société Google Inc, exploitait en l’absence de son consentement, des données personnelles via son moteur de recherche Google.fr dans le cadre de référencement de pages web et d’usage de cookies.

Ce dernier a alors saisi le Président du Tribunal de Grande Instance de Nice lequel a, par ordonnance rendue le 9 juillet 2015, enjoint à la SARL Google France et à la société Google Inc de faire procéder à la suppression des liens référencés « en lien avec les données à caractère strictement privé et personnel » concernant le demandeur sous astreinte.

Par arrêt en date du 15 septembre 2016 (n° 15/13987), la cour d’appel d’Aix-en-Provence a infirmé l’ordonnance de référé tout en ordonnant à la société Google Inc de supprimer les liens incluant les nom et prénom de l’internaute sur les adresses URL concernées et identifiées par ce dernier comme attentatoires à sa vie privée.

La Cour de cassation dans l’arrêt du 14 février 2018 a toutefois cassé l’arrêt d’appel, motifs pris que les juges d’appel ont prononcé « une mesure d’injonction d’ordre général » conférant « un caractère automatique à la suppression de la liste de résultats », sans avoir procéder au préalable, « à la mise en balance des intérêts en présence ».

Ainsi et en se fondant sur la jurisprudence établie par la Cour de Justice de l’Union Européenne dans l’arrêt Google Spain du 13 mai 2014 (CJUE, Google Spain et Google C-131/12), la Haute juridiction rappelle qu’aucune demande de déréférencement ne saurait être automatique, et qu’il est nécessaire d’apprécier son bien-fondé au regard de l’atteinte aux droits de l’intéressé du fait du référencement litigieux.

Dans l’arrêt du 13 mai 2014, la CJUE rappelle en effet très clairement que la demande de déréférencement doit s’apprécier au regard de « la sensibilité des informations contenues » dans le traitement de données en cause pour la vie privée de l’intéressé, mais également au regard de la date de leur publication initiale afin de savoir s’il existe « des raisons particulières justifiant un intérêt prépondérant du public (…) à avoir accès à ces informations » (Considérant 98).

La Cour de cassation sanctionne donc manifestement la cour d’appel pour ne pas avoir procédé à un tel contrôle en cassant partiellement, mais sans renvoi, l’arrêt rendu, tout en rappelant la sacro-sainte interdiction de l’article 5 du Code civil faite aux juges, de prononcer par voie de disposition générale et réglementaire, sur les causes qui leur sont soumises.

Ce faisant, la Cour de cassation applique de manière anticipée les dispositions de l’article 17 du RGPD précisant que le droit d’obtenir l’effacement de données personnelles ne peut être satisfait que dans les cas strictement définis et délimités suivants :
« a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
c) la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1 ».

Cette conformité implique toutefois de s’interroger sur les conséquences juridiques supposées du point de vue de la responsabilité du moteur de recherche en sa qualité de responsable de traitement.

II. S’agissant des conséquences pratiques de la mise en œuvre du droit à l’oubli vis à vis du responsable de traitement

Si il ressort, à la lecture de l’attendu de principe de l’arrêt commenté, que le déréférencement est dépourvu de caractère automatique, il convient de s’interroger sur la portée de l’obligation réservée au responsable de traitement à l’article 17 du RGPD.

L’alinéa 2 de cet article dispose que « lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable de traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables de traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci ».

Dès lors et à la lecture de ce second alinéa, on comprend que l’obligation de déréférencement à la charge du moteur de recherche n’est pas absolue et que celui-ci est seulement tenu de démontrer qu’il a pris toute mesure technique et financière destinée à informer les autres responsables de traitement de la demande d’effacement.

En outre, il convient également de constater qu’il n’existe aucune obligation spontanée d’effacement à la charge des responsables de traitement informés de la volonté du titulaire des données personnelles en cause, dès lors que celui-ci ne les a pas saisi d’une telle demande.

Ces limitations posent nécessairement question et légitiment certaines craintes quant à l’application concrète du droit à l’oubli lorsque les responsables de traitement se multiplient.

Par ailleurs, il doit également être rappelé que l’obligation d’effacement varie en fonction du responsable en cause et de la finalité du traitement réalisé.

Un arrêt de la Cour de cassation en date du 12 mai 2016 en donne d’ailleurs un parfait exemple puisque la Haute juridiction avait approuvé une cour d’appel d’avoir rejeté une demande de déréférencement fondée à l’encontre d’un éditeur, sur une atteinte à la réputation d’une personne causée par un article de presse dès lors que son contenu était exact et applicable et que sa suppression pourrait constituer une restriction à la liberté d’expression (Civ.1ère, 12 mai 2016, n°15-17.729) :
« Le fait d’imposer à un organe de presse, soit de supprimer du site Internet dédié à l’archivage de ses articles, […] l’information elle-même contenue dans l’un de ces articles, le retrait des nom et prénom des personnes visées par la décision privant celui-ci de tout intérêt, soit d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».

C’est donc bien à l’aune d’un contrôle de proportionnalité que le déréférencement pourra s’appliquer.

Toutefois, et même si l’application d’un tel droit est soumis à de strictes conditions d’application, il convient tout de même de rappeler que le RGPD devrait permettre de renforcer sa régulation au travers du principe d’ « accountability » défini en son article 24 (pour plus de précisions cf. « Le règlement général sur la protection des données : l’heure des bonnes résolutions tourne »).

Un tel principe suppose qu’un certain nombre de mesures soient mises en œuvre par les responsables de traitement telles que :

  • La tenue d’un registre des activités,
  • La mise en place de procédures internes destinées à assurer la protection des données d’un utilisateur « dès la conception » (Privacy by design),
  • L’analyse préalable des « impacts » susceptibles d’être générés par la mise en œuvre de certains traitements.

De telles dispositions induisent donc que le responsable de traitement devra, dans le cadre de la conformité au RGPD, prendre toute mesure destinée à garantir le droit au déréférencement.

Dès lors, au regard de cette décision et de la législation amenée à entrer en application, il ne fait nul doute que les responsables de traitement devront, en amont, prendre en compte une telle obligation dans le cadre d’une analyse d’impact ou dans le cadre de la conception et la protection des données dont ils ont la charge.

Jonathan ELKAIM - Avocat au Barreau de Paris

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

34 votes