La Datainspektionen, l’autorité suédoise de protection des données personnelles, a le 11 mars 2020 sanctionné Google d’une amende administrative de 75 millions de couronnes suédoises (environ 7 millions d’euros). En effet en tant que moteur de recherche, Google n’avait pas respecté ses obligations en matière de droit au déréférencement, actuellement protégé par le Règlement Général de la Protection des Données (« RGPD »).

Qu’est-ce que le droit au déréférencement ?

Au sens de la CNIL, l’autorité française de protection des données, le droit au déréférencement constitue la possibilité pour :
« toute personne de demander à un moteur de recherche de supprimer certains résultats associés à ses noms et prénoms qui apparaissent à partir d’une requête faite sur son identité. »

Ce droit est à distinguer du droit à l’effacement, qui est également une composante du droit à l’oubli protégé par le RGPD (cf. son article 17). Ainsi ce droit au déréférencement n’est non pas la suppression des informations relatives à une personne, contenues sur une page web, mais permet de faire en sorte que le lien vers cette page web n’apparaisse plus dans la liste de résultats d’un moteur de recherche à la suite d’une requête effectuée sur l’identité de la personne (nom et prénom).

Google sanctionné par la Suède.

En 2017, l’autorité suédoise de protection des données, Datainspektionen, (ci-après, l’APD) a réalisé un audit sur à la manière dont Google gérait le droit des personnes à être déréférencées sur son moteur de recherche, notamment lorsque les informations les concernant manquent d’exactitude ou de pertinence ou lorsque celles-ci sont inutiles. A l’issu de son audit l’APD en est venue à la conclusion, qu’en vertu du droit à l’oubli, de nombreuses informations devaient encore être retirées des listes de résultats de recherche Google.

En 2018, Google ne s’était pas totalement conformé à son obligation de retirer ces informations, menant ensuite à l’actuelle sanction du géant du numérique sur le fondement du RGPD et du droit à l’oubli.

Par la même occasion, l’APD a également dénoncé une pratique de Google comme contraire au RGPD. Celle-ci consistant pour Google, lorsqu’est supprimé un lien d’une liste de résultats de recherche, à en informer le site web de manière à ce que celui-ci sache quel lien de la page web a été supprimé et qui est à l’origine de cette demande de suppression. Cette pratique permettant ainsi au propriétaire du site de republier la même page web sur une nouvelle adresse web (qui pourra être référencée dans le moteur de recherche), a également pour conséquence de rendre sans effet l’exercice du droit à l’oubli des individus. Une pratique en violation du RGPD, dont l’ADP a demandé la cessation.

Droit à l’oubli – droit au déréférencement au sens du RGPD.

Ce droit au déréférencement, composante du droit à l’oubli, est actuellement garanti par l’article 17, entré en vigueur le 25 mai 2018, qui prévoit pour la personnes concernée et selon certains motifs « le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant » et l’obligation pour le responsable de traitement « d’effacer ces données à caractère personnel dans les meilleurs délais ».

Toutefois le RGPD n’a pas consacré ce droit au déréférencement puisque celui-ci avait déjà fait son apparition dans une jurisprudence antérieure de la Cour de Justice de l’Union Européenne [1]. En effet dans son arrêt Google Spain du 13 mai 2014, la CJUE avait déjà consacré ce droit au déréférencement, et à la suite duquel Google, pour se conformer aux exigences de la Cour, a dû mettre en place un formulaire en ligne pour permettre aux individus de demander la suppression de certains résultats liés à des informations personnelles les concernant.

Cependant le RGPD, même s’il ne l’a pas consacré, a tout de même renforcé ce droit, notamment concernant les obligations pesant sur les responsables de traitement ou même en matière de charge de la preuve (il incombe désormais au responsable de traitement de démontrer l’existence d’un motif légitime impérieux). Un droit renforcé mais qui n’est toutefois pas absolu puisqu’il devra être mis en balance avec d’autres intérêts légitimes tels que le droit à la liberté d’expression et d’information ou même des motifs d’intérêt public.

Le mode d’emploi français en matière de droit à l’oubli.

Le 6 décembre 2019, le Conseil d’Etat a rendu 13 décisions qui fixent les conditions dans lesquelles doit être respecté le droit au déréférencement sur internet conformément au RGPD. Ces arrêts font suite à une décision du 24 septembre 2019 de la CJUE définissant la portée et les limites de ce droit. En effet il faudra opérer une mise en balance entre d’un côté le droit au respect de la vie privée des personnes en cause et de l’autre l’intérêt du public à avoir accès à cette information.

Ainsi le Conseil d’Etat a posé 3 grandes catégories de critères pour procéder à cette mise en balance des intérêts en cause :

• Les caractéristiques des données personnelles en cause : leur contenu, leur nature, leur exactitude, leur source, leur caractère plus ou moins objectif, la date de mise en ligne et les conséquences de leur référencement pour l’intéressé – Afin d’apprécier la gravité de l’atteinte portée à la vie privée du demandeur.
• Le rôle social du demandeur : sa notoriété, sa fonction dans la société, son rôle dans la vie publique – Afin de mieux cerner l’intérêt qu’a le public à accéder à l’information.
• Les conditions d’accès à l’information en cause : s’il est possible d’accéder à l’information à partir d’une autre requête que celle portant sur le nom et prénom du demandeur, alors le droit à l’information du public semble moins affecté. De même si l’information a été portée à la connaissance du public par le demandeur lui-même.

Ainsi pour permettre le déréférencement, l’intérêt du public à avoir accès à l’information devra être mis en balance avec ces trois grandes catégories de critères. Mais il devra également être tenu compte de la nature des données en causes.

S’il s’agit de données à caractère « non sensible » : alors la demande de déréférencement pourra être refusée à la condition qu’il existe « un intérêt prépondérant » du public à accéder à l’information en cause.

En cas de données à caractère « sensible » (religion, orientation sexuelle, santé, etc.) : il faudra dans ce cas que l’accès à l’information litigieuse soit « strictement nécessaire » à l’information du public, pour refuser de procéder à un déréférencement.

Dans le cas de données relatives à une procédure pénale : il sera procédé de la même manière qu’en matière de données sensibles, mais en prenant en compte la spécificité de ce type de données.

Enfin, au-delà des caractéristiques des données personnelles en cause, il faudra également prendre en compte le statut de la personne concernée, sa notoriété, son rôle dans la vie publique et sa fonction dans la société ainsi que les conditions dans lesquelles les données personnelles ont été rendues publiques, et s’ils sont accessibles par d’autres moyens (par exemple, si la personne concernée lui-même aurait rendu ces informations publiques).

Conclusion.

Même si ce mode d’emploi du Conseil d’Etat français est surtout destiné à la CNIL et aux moteurs de recherche, il nous donne quand-même des indices sur le traitement d’une demande de déréférencement par les autorités et tribunaux.

Côté suédois, il s’agit notamment d’une décision relativement positive qui confient aux personnes concernées une sécurité juridique non-négligeable quant aux traitements numériques de leurs données personnelles par les géants américains. En réponse, Google estime que la décision de l’autorité suédoise de protection des données est sans fondement et fera appel à cette décision.

La question du respect des droits fondamentaux à la vie privée est une tâche difficile. Les droits et les obligations doivent être mis en balance les uns avec les autres. La recherche d’un juste équilibre peut souvent donner lieu à des controverses. Il sera intéressant de suivre de près cette affaire une fois que Google aura déposé un recours en Suède, et il est important de surveiller comment les autres autorités et européens de contrôle de la protection des données et les tribunaux traiteront ce sujet à la lumière de cette amende suédoise.

Charlotte Gerrish Associée Fondatrice du Cabinet GERRISH LEGAL Paris - Londres