Sylvie Peyrou, CDRE
Quelques jours à peine après la retentissante annulation de la directive « rétention des données » dans les affaires jointes Digital Rights Ireland (aff.C-293/12) et Seitlinger (C-594/12), signalée ici même, un nouvel arrêt rendu par la Cour de justice en grande chambre le 13 mai (aff. C-131/12) dans l’affaire Google Spain vient confirmer la détermination du juge à assurer pleinement son rôle de gardien des droits fondamentaux.
C’est à la fois par la méthode de raisonnement mise en œuvre et par la solution prononcée que cet arrêt s’illustre et marquera, là encore durablement, le domaine de la protection des données à caractère personnel.
Le juge confirme d’abord le processus d’autonomisation esquissé au fil de sa jurisprudence récente, plaçant la Charte des droits fondamentaux de l’Union au cœur de son raisonnement. Et il en déduit ensuite le « droit à l’oubli », élément majeur, mais controversé, du droit à la protection des données.
Une série de questions préjudicielles a été posée à la CJUE par l’Audiencia Nacional espagnole dans le cadre d’un litige entre Google Spain et Google Inc. d’une part, et l’Agencia Española de Protección de Datos (AEPD) et M. Mario Costeja Gonzalez d’autre part. Ce dernier, qui a subi en 1998 une vente aux enchères immobilière après saisie de ses biens afin de recouvrer des dettes de sécurité sociale dues par lui, a introduit deux procédures auprès de l’AEPD. L’une était une réclamation à l’encontre de La Vanguardia Ediciones SL (éditeur d’un quotidien largement diffusé en Espagne) afin de supprimer ou modifier les deux pages du quotidien de janvier et mars 1998 relatant la vente aux enchères, de sorte que ses données personnelles n’y figurent plus. L’autre, à l’encontre de Google Spain et de Google Inc., faisant valoir que, lorsqu’un internaute introduisait son nom dans le moteur de recherche du groupe Google (« Google Search »), la liste de résultats affichait des liens vers les deux pages évoquées du quotidien La Vanguardia, demandait par conséquent qu’il soit ordonné à Google Spain ou à Google Inc. de supprimer ou d’occulter ses données personnelles afin qu’elles disparaissent des résultats de recherche et des liens de La Vanguardia.
L’AEPD a rejeté la première demande, au motif que l’éditeur avait légalement publié les informations en cause, mais elle a accueilli la seconde, ordonnant ainsi à Google Spain et Google Inc. de prendre les mesures nécessaires afin de retirer les données de leur index et rendre l’accès impossible à l’avenir. Cette décision de l’AEPD a alors été l’objet d’un recours en annulation de la part de Google Spain et Google Inc. auprès de l’Audiencia Nacional.
C’est dans le cadre de ce litige que la juridiction espagnole s’est adressée à la Cour de justice, soumettant à son interprétation un certain nombre de dispositions de la directive 95/46/CE, texte de base en matière de protection des données à caractère personnel, en cours de révision législative.
A des questions complexes et controversées, la Cour apporte des réponses claires, qui donnent une assise solide au droit à la protection des données – ce dont on ne peut que se réjouir – mais au détriment parfois d’un sens de la nuance dans certains aspects de son raisonnement.
1. Le champ d’application matériel de la directive 95/46
L’une des questions majeures posées à la Cour est d’abord de savoir si l’activité d’un moteur de recherche en tant que fournisseur de contenus, qui consiste à trouver des informations publiées, à les indexer de manière automatique, à les stocker temporairement et à les mettre à disposition des internautes, doit être qualifiée de « traitement de données à caractère personnel au sens de la directive (article 2, point b).
La Cour, se référant à son arrêt Lindqvist (C-101/01), rappelle d’abord que l’opération consistant à faire figurer, sur une page internet, des données à caractère personnel doit être considérée comme un tel « traitement ». Puis elle nous explique que l’activité d’un moteur de recherche, qui « explor[e] de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées », qui « extrait » de telles données, qui les « collecte », les « enregistre », les « organise dans le cadre de ses programmes d’indexation, les conserve sur ses serveurs et les met à disposition des utilisateurs » (§ 28 de l’arrêt), doit bien être qualifiée de « traitement » au sens de la directive.
La Cour, s’appuyant une fois encore sur sa propre jurisprudence (Satamedia, C-73/07), souligne que le fait que le moteur de recherche se borne à relayer, sans les modifier, des informations déjà publiées sur Internet n’infirme pas son analyse.
Si la réponse ne fait pas problème, la deuxième question semblait plus délicate en revanche. Il s’agit de savoir en effet si un moteur de recherche peut être considéré comme « le responsable du traitement » des données au sens de la directive (article 2 point d), qui le définit comme celui qui « seul, ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel ».
La Cour, faisant prévaloir ici une approche très pragmatique, et favorable aux droits fondamentaux des individus, adopte une solution contraire à celle prônée par l’avocat général Niilo Jääskinen dans ses conclusions, pourtant très richement argumentées.
Elle estime ainsi, d’abord, que c’est bien l’exploitant du moteur de recherche « qui détermine les finalités et les moyens de cette activité » (§ 32) et qu’il doit donc être qualifié de « responsable du traitement » de données à caractère personnel qu’il effectue. Elle souligne ensuite que, dans la mesure où « cette activité des moteurs de recherche joue un rôle décisif dans la diffusion globale desdites données » (§ 36), elle est susceptible « d’affecter significativement (…) les droits fondamentaux de la vie privée et de la protection des données » (§ 38).
Dès lors, la Cour, dans un souci d’assurer « l’effet utile » de la directive, affirme que l’exploitant du moteur de recherche « doit assurer, dans le cadre de ses responsabilités » que son activité satisfait pleinement et effectivement aux exigences posées par ladite directive. Le législateur ne pourra que se réjouir au passage de voir ainsi pris en compte le principe d’accountability (défini par la Commission comme la nécessité de veiller à ce que « les responsables du traitement mettent en place des politiques et mécanismes efficaces pour assurer le respect des règles en matière de protection des données », COM(2010) 609 ).
2. Le champ d’application territorial de la directive 95/46
Dans la mesure où Google Search est exploité par Google Inc., société mère du groupe Google qui a son siège aux Etats-Unis, et que sa filiale Google Spain, qui jouit d’une personnalité juridique propre, sert à la promotion des ventes d’espaces publicitaires en ligne, la question se posait de l’applicabilité en l’espèce de la directive 95/46. Si Google Spain est bien un « établissement » au sens de la directive, la Cour est bien obligée de partir du constat de la distinction nette des activités entre Google Inc., qui effectue exclusivement le traitement de données, et Google Spain, qui se limite à la fourniture d’un soutien à l’activité publicitaire du groupe Google.
Mais encore une fois la Cour, dans un souci de donner un effet utile à la directive et de garantir pleinement les droits fondamentaux, procède à une analyse pragmatique, lui permettant de conclure que « les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’Etat membre concerné sont indissociablement liées » (l’activité publicitaire constituant le moyen pour rendre le moteur de recherche économiquement rentable)(§ 56).
Elle juge ainsi que le traitement de données en question est bien effectué dans le cadre d’un établissement du responsable du traitement sur le territoire d’un Etat membre, dès lors que l’exploitant du moteur de recherche crée dans un Etat membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet Etat membre.
3. Le « droit à l’oubli » consacré
La question la plus importante posée à la Cour de justice était indiscutablement celle de savoir si la directive 95/46 (en ses articles 12 b et 14, alinéa 1, a) permet une interprétation garantissant le « droit à l’oubli », en vertu duquel toute personne pourrait obtenir l’arrêt du traitement des données la concernant et l’effacement de celles-ci lorsqu’elles ne sont plus nécessaires à des fins légitimes. La proposition de règlement présenté par la Commission le 25 janvier 2012 afin de remplacer la directive, le consacre explicitement pour la première fois, soulevant au demeurant de nombreuses oppositions.
L’analyste ne manquera pas de noter que la Cour, dans son office « constitutionnel » de gardien des droits fondamentaux, s’appuie uniquement sur la Charte des droits fondamentaux de l’Union, éludant ses habituelles références à la CEDH et à la jurisprudence de son homologue de Strasbourg, pour rappeler son devoir d’interprétation de la directive « à la lumière des droits fondamentaux ».
Elle s’éloigne ainsi considérablement des conclusions de l’avocat général, très largement argumentées, qui se basent à la fois sur la Charte et sur la CEDH et mettent en balance de façon très nuancée le droit à la protection des données et les droits à la liberté d’expression et d’information. Pour M. Jääskinen, reconnaître le droit à l’oubli « obligerait à sacrifier des droits essentiels, tels que la liberté d’expression et d’information » (§ 133 de ses conclusions), la première méritant selon lui « une protection particulière en droit de l’Union » (§ 121), tandis que la seconde permettrait aux éditeurs de pages web de mettre un contenu à disposition sur l’Internet.
La Cour, à l’exact opposé, reconnaît certes l’intérêt du public à pouvoir accéder à l’information, mais valorise très clairement le droit à la protection des données, étayant toute son argumentation sur les articles 7 (droit au respect de la vie privée) et 8 (droit à la protection des données) de la Charte, et marquant ainsi l’autonomisation de son raisonnement. Elle estime notamment que « même un traitement initialement licite de données exactes peut devenir, avec le temps, incompatible avec [la] directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » (§ 93).
S’agissant par conséquent de la demande du requérant à ce que la société Google supprime de son moteur de recherche les liens vers les pages du quotidien évoquées ci-dessus, la Cour juge que « eu égard à la sensibilité des informations contenues dans ces annonces pour la vie privée de ladite personne et au fait que leur publication initiale avait été effectuée 16 ans auparavant, la personne concernée justifie d’un droit à ce que ces informations ne soient plus liées à son nom au moyen d’une telle liste » (liste de résultats que l’internaute obtient en effectuant une recherche à l’aide de Google Search). (§ 98).
Sa conclusion mérite d’être citée, qui montre la mise en balance d’intérêts que la Cour a toutefois effectuée : « dès lors, dans la mesure où il ne semble pas exister, en l’occurrence, de raisons particulières justifiant un intérêt prépondérant du public à avoir, dans le cadre d’une telle recherche, accès à ces informations, ce qu’il appartient toutefois à la juridiction de renvoi de vérifier, la personne concernée peut en vertu (…) de la directive 95/46, exiger la suppression desdits liens de cette liste de résultats » (§ 98).
Si le droit à l’oubli est donc clairement affirmé – ce qui constitue l’apport majeur de l’arrêt – il convient néanmoins de souligner le rôle qui revient aux juridictions nationales, selon les propres termes de la Cour ici rapportés, de vérifier l’existence ou non d’un intérêt du public à avoir accès à l’information. La Cour a d’ailleurs noté que cet intérêt peut varier, notamment en fonction du rôle joué par la personne dans la vie publique, ce qui montre l’attention du juge au respect du droit à l’information.
Au total, cet arrêt mérite d’être salué par sa consécration audacieuse du droit à l’oubli, et ce à un moment où l’adoption de la nouvelle législation relative à la protection des données (qui le consacre de façon inédite) semble s’enliser dans les négociations au sein du Conseil, malgré l’approbation formulée par le Parlement européen.
Il vient confirmer en tout état de cause la position du juge qui, dans son récent arrêt Digital Rights Ireland du 8 avril, s’affirme comme le garant des droits fondamentaux et, s’appuyant sur la Charte constitutionnalisée, s’émancipe de toute référence à la CEDH ou à la jurisprudence de Strasbourg.
Il suscite néanmoins un certain nombre d’interrogations, relatives aux modalités de mise en œuvre de ce droit à l’oubli, qui fait donc partie intégrante désormais du droit à la protection des données garanti par l’article 8 de la Charte. La question se pose par exemple de l’espace de temps jugé nécessaire pour réclamer ce droit à l’oubli (voir le commentaire de Steve Peers), ou de la définition du rôle public de la personne concernée, qui pourrait justifier une entorse au droit à la protection des données au nom de celui à la liberté d’information.
Cet arrêt de grande chambre, rendu sur conclusions contraires de l’avocat général, rappelons-le, vient en tout cas à point nommé pour montrer la route au législateur : la Charte des droits fondamentaux est désormais le nord magnétique de sa boussole.