Les grands principes qui se dégagent de ces arrêtsCE, 10^e et 9^ech. réunies, 6 déc. 2019, n° 391000 ; 393769 ; 395335 ; 397755 ; 399999 ; 401258 ; 403868 ; 405464 ; 405910 ; 407776 ; 409212 ; 423326 ; 429154. sont que le juge doit se prononcer « en tenant compte des circonstances et du droit applicable à la date à laquelle il statue », le déréférencement d'un lien « associant au nom d'un particulier une page web contenant des données personnelles le concernant est un droit » mais ce droit à l'oubli « n'est pas absolu » car « une balance doit être effectuée » entre le droit à la vie privée du demandeur et le droit à l'information du public, l’arbitrage entre ces deux libertés fondamentales dépendant directement de la nature des données personnelles en question.

Trois catégories de données personnelles sont concernées, ce sont les données dites « sensibles » qui concernent la santé, la vie sexuelle, les opinions politiques, les convictions religieuses,..., les données « pénales » relatives à une procédure judiciaire ou à une condamnation pénale et les données touchant à la vie privée sans être sensibles. La protection dont bénéficient les deux premières catégories est la plus élevée, il ne peut être légalement refusé de faire droit à une demande de déréférencement que « si l'accès aux données sensibles ou pénales à partir d'une recherche portant sur le nom du demandeur est strictement nécessaire à l'information du public ». Pour la troisième catégorie en revanche, il suffit qu'il existe « un intérêt prépondérant » du public à accéder à l'information en cause.

Les différents paramètres à prendre en compte, au-delà des caractéristiques des données personnelles en cause, sont, précise la haute juridiction administrative, d’une part, le rôle social du demandeur tenant à sa notoriété, son rôle dans la vie publique et sa fonction dans la société et, d’autre part, les conditions dans lesquelles les données ont été rendues publiques, par exemple, par l'intéressé lui-même et si elles sont par ailleurs encore accessibles.

Dans son arrêt précitéCJUE, 24 sept. 2019, n° C-136/17, G.C. et a c/ Commission nationale de l'informatique et des libertés (CNIL)., la Cour de Luxembourg considère que « l’interdiction ou les restrictions relatives au traitement des catégories particulières de données à caractère personnel s’appliquent, sous réserve des exceptions prévues par la directive, également à l’exploitant d’un moteur de recherche dans le cadre de ses responsabilités, de ses compétences et de ses possibilités en tant que responsable du traitement effectué lors de l’activité de ce moteur, à l’occasion d’une vérification opérée par cet exploitant, sous le contrôle des autorités nationales compétentes, à la suite d’une demande introduite par la personne concernée ». L’exploitant du moteur de recherche est, en principe, estime la Cour, obligé de « faire droit aux demandes de déréférencement portant sur des liens menant vers des pages web sur lesquelles figurent des données à caractère personnel qui relèvent des catégories particulières visées » par les dispositions de la directive mais il peut « refuser de faire droit à une demande de déréférencement lorsqu’il constate que les liens en cause mènent vers des contenus comportant des données à caractère personnel » nécessaires à l’information du public, après avoir vérifié que le lien litigieux « s’avère strictement nécessaire pour protéger la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une recherche » à partir du nom de la personne concernée.

L’ingérence dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel étant susceptible d’être « particulièrement grave » en raison de la sensibilité de ces données, il appartient à la CNIL, selon le Conseil d’État à la lumière de l’arrêt rendu par la Cour de justice européenne, de faire « droit à une demande de déréférencement » de liens renvoyant vers des pages web publiées par des tiers et contenant des données personnelles relevant de catégories particulières le concernant. Il en va autrement que si, compte tenu du droit à l’information, l’accès à une telle information à partir d’une recherche portant sur le nom de cette personne est « strictement nécessaire à l’information du public ». Et, poursuit le Conseil d’État, la CNIL doit tenir compte, d’une part, « de la nature des données en cause, de leur contenu, de leur caractère plus ou moins objectif, de leur exactitude, de leur source, des conditions et de la date de leur mise ligne et des répercussions que leur référencement est susceptible d’avoir pour la personne concernée » et, d’autre, « de la notoriété de cette personne, de son rôle dans la vie publique et de sa fonction dans la société » et envisageant, le cas échéant, la possibilité d’accéder aux mêmes informations à partir d’une recherche portant sur des mots-clés ne mentionnant pas le nom de la personne concernée.

Sur les treize recours concernant dix-huit liens apparaissant sur le moteur de recherche Google, la CNIL avait rejeté leur demande de déréférencement, le Conseil d’État a constaté huit non-lieu à statuer, c’est-à-dire qu’entre-temps le moteur de recherche avait supprimé le lien, rejeté cinq demandes et prononcé cinq annulations de la décision de la CNIL refusant d’enjoindre à Google de procéder au déréférencement sollicité.