Cette décision va à l’encontre de l’avis rendu en juin dernier par l’avocat général, Niilo Jääskinen, qui estimait que Google ne pouvait être tenu pour responsable des données personnelles apparaissant sur ses pages et que le« droit à l’oubli » numérique ne pouvait utilement être invoqué contre le moteur de recherche.

L’affaire remonte au début de l’année 1998 lorsque le quotidien espagnol La Vanguardia publia une annonce pour une vente aux enchères immobilière à la suite d’une saisie pour une dette sociale impayée. Une version numérique du journal a par la suite été mise en ligne et en mars 2010, l’intéressé, Mario Costeja González, a formulé auprès de l’agence espagnole de protection des données une réclamation à l’encontre du journal et de Google pour que soient supprimées ou modifiées les pages litigieuses. Réclamation rejetée à l’encontre de La Vanguardia mais, en revanche, accueillie à l’encontre de Google Spain et de sa maison-mère.

C’est sur le recours du moteur de recherche et de la filiale espagnole que l’affaire est remontée jusqu’au tribunal suprême espagnol qui a posé cette question préjudicielle à la juridiction européenne.

Google soutenait en effet que l’activité de son moteur de recherche ne peut être considérée comme « un traitement des données qui apparaissent sur les pages web de tiers [lorsqu’elles s’affichent] dans la liste des résultats de la recherche » dans la mesure où les moteurs traitent les informations accessibles sur internet dans leur ensemble sans faire le tri entre les données à caractère personnel et les autres informations. Et quand bien même, cette activité pourrait être qualifiée de « traitement de données », Google ne s’estimait pas « responsable » dudit traitement puisqu’il n’a pas« connaissance desdites données et n’exerce pas de contrôle sur celles-ci ».

Pour le plaignant, en revanche, appuyé par le gouvernement espagnol ainsi que les gouvernements italien, autrichien et polonais et la Commission européenne, l’activité du moteur recherche implique « de toute évidence » un« traitement de données » au sens de la directive Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.U.E., n° L 281, 23 nov. 1995, p. 31. pour lequel il est« responsable » dès lors qu’il « détermine les finalités et les moyens de ce traitement ».

La CourCJUE, gde ch., 13 mai 2014, n° C-131/12, Google Spain et Google Inc. c/ Agencia Española de Protección de Datos (AEPD), et Mario Costeja González. rappelle que la directive définit le « traitement de données à caractère personnel » comme étant « toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction » et qu’elle a déjà eu l’occasion de juger que l’opération consistant à faire figurer, sur une page internet, des données à caractère personnel est à considérer comme un tel« traitement » au sens de la directiveCJUE, 6 nov. 2003, n° C-101/01, Bodil Lindqvist, cons. 25..

En explorant de manière automatisée, constante et systématique internet à la recherche des informations qui y sont publiées, pour la Cour, Google collecte de telles données qu’il « extrait », « enregistre » et « organise » par la suite dans le cadre de ses programmes d’indexation, « conserve » sur ses serveurs et, le cas échéant, « communique à » et « met à disposition de » ses utilisateurs sous forme de listes des résultats de leurs recherches, opérations visées de manière explicite et inconditionnelle dans la directive, souligne la Cour, et peu importe que le moteur de recherche « applique les mêmes opérations à d’autres types d’information et ne distingue pas entre celles-ci et les données à caractère personnel ». De même, poursuit la Cour, c’est l’exploitant du moteur de recherche qui détermine les finalités et les moyens du traitement de données à caractère personnel qu’il effectue et il en est donc« responsable » au sens de la directive.

Mais Google a-t-il pour autant l’obligation de supprimer de la liste des résultats des liens vers des pages web publiées par des tiers contenant des informations qui n’ont pas été effacées et alors même que leur publication est licite ? Oui mais dans certains cas seulement, répond en substance la Cour, car il faut trouver « un juste équilibre » entre le droit à l’information des internautes et les droits fondamentaux de la personne concernée qui peuvent varier en fonction « du rôle joué par cette personne dans la vie publique ».

Sous cette réserve, l’autorité de contrôle ou le juge national peut ordonner, juge la Cour, au moteur de recherche « de supprimer de la liste de résultats […] des liens vers des pages web […] sans que cela ne présuppose que ces informations soient […] supprimés également de la page web sur laquelle ils ont été publiés ».