En cause, une décision du 10 mars 2016 de la présidente de la Commission nationale de l'informatique et des libertés (Cnil) prononçant une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus, lorsqu’il fait droit à une demande de déréférencement, d’appliquer celui-ci à l’ensemble des extensions de nom de domaine de son moteur de recherche. Mis en demeure par la CNIL le 21 mai 2015 d’étendre le déréférencement à toutes les extensions, Google avait refusé de s’exécuter et s’était contenté de supprimer les liens en cause des seuls résultats affichés en réponse à des recherches effectuées depuis les noms de domaine correspondant aux déclinaisons de son moteur de recherche dans les États membres de l’Union. 

Saisi par Google d’une demande d’annulation de la décision de la Cnil, le Conseil d’État a saisi la Cour de justice de plusieurs questions préjudicielles visant à savoir si les règles du droit de l’Union relatives à la protection des données à caractère personnelDirective 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, J.O.UE 1995, L 281, p. 31, et règlement (UE) 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46 (règlement général sur la protection des données) J.O.UE 2016, L 119, p. 1, et rectificatif J.O.UE 2018, L 127, p. 2. doivent être interprétées en ce sens que, lorsque l’exploitant d’un moteur de recherche fait droit à une demande de déréférencement, il est tenu d’opérer ce déréférencement sur l’ensemble des versions de son moteur ou si, au contraire, il n’est tenu de l’opérer que sur les versions de celui-ci correspondant à l’ensemble des États membres ou sur la seule version correspondant à l’État membre de résidence du bénéficiaire du déréférencement.

La CourCJUE, gde ch., 24 sept. 2019, n° C-507/17, Google LLC c/ Commission nationale de l’informatique et des libertés (Cnil). rappelle qu’elle a déjà jugéCJUE, 13 mai 2014, n° C-131/12, Google Spain. que « l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages Internet, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages Internet, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite » et relève que l’établissement dont dispose Google sur le territoire français exerce « des activités, notamment commerciales et publicitaires, qui sont indissociablement liées au traitement de données à caractère personnel effectué pour les besoins du fonctionnement du moteur de recherche concerné et que ce moteur de recherche doit, compte tenu, notamment, de l’existence de passerelles entre ses différentes versions nationales, être regardé comme effectuant un traitement de données à caractère personnel unique dans le cadre des activités de l’établissement français de Google Inc », soulignant qu’une telle situation relève du champ d’application de la législation de l’Union en matière de protection des données à caractère personnel. 

Pour la Cour, dans un monde globalisé, l’accès des internautes, notamment de ceux qui se trouvent en dehors de l’Union, au référencement d’un lien renvoyant à des informations sur une personne dont le centre d’intérêt se situe dans l’Union est « susceptible de produire sur celle-ci des effets immédiats et substantiels au sein même de l’Union », de telle sorte qu’un déréférencement mondial serait de nature « à rencontrer pleinement l’objectif de protection visé par le droit de l’Union » mais, précise-t-elle, de nombreux États tiers ne connaissent pas le droit au déréférencement ou adoptent une approche différente de ce droit et, par ailleurs, le droit à la protection des données à caractère personnel n’est pas « un droit absolu » mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité. L’équilibre entre le droit au respect de la vie privée et à la protection des données personnelles, d’un côté, et la liberté d’information des internautes, de l’autre côté, est susceptible, selon la Cour, de « varier de manière importante à travers le monde ».

Or, estime la Cour, il ne ressort pas des textes que le législateur de l’Union a procédé à une telle mise en balance pour ce qui concerne la portée d’un déréférencement en dehors de l’Union ni qu’il a fait le choix de conférer aux droits des individus une portée qui dépasserait le territoire des États membres et il n’en ressort pas non plus qu’il aurait entendu imposer à un opérateur, tel que Google, une obligation de déréférencement portant également sur les versions nationales de son moteur de recherche qui ne correspondent pas aux États membres. Le droit de l’Union ne prévoit pas d’ailleurs d’instruments et mécanismes de coopération pour ce qui concerne la portée d’un déréférencement en dehors de l’Union, indique la Cour qui en conclut qu’en l’état actuel, « il n’existe pas, pour l’exploitant d’un moteur de recherche qui fait droit à une demande de déréférencement formulée par la personne concernée, le cas échéant, suite à une injonction d’une autorité de contrôle ou d’une autorité judiciaire d’un État membre, d’obligation découlant du droit de l’Union de procéder à un tel déréférencement sur l’ensemble des versions de son moteur ». 

Le droit de l’Union oblige, toutefois, l’exploitant d’un moteur de recherche à opérer un tel déréférencement sur les versions de son moteur correspondant à l’ensemble des États membres et de prendre des mesures suffisamment efficaces pour assurer une protection effective des droits fondamentaux de la personne concernée. Ainsi, un tel déréférencement doit, si nécessaire, être accompagné de mesures qui permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche sur la base du nom de la personne concernée à partir de l’un des États membres d’avoir, par la liste de résultats affichée à la suite de cette recherche, accès, via une version de ce moteur « hors UE », aux liens qui font l’objet de la demande de déréférencement. La juridiction nationale devra vérifier que les mesures mises en place par Google Inc. satisfont à ces exigences.

Enfin, la Cour constate que, si le droit de l’Union n’impose pas, en l’état actuel, un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Partant, les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données à caractère personnel la concernant et, d’autre part, le droit à la liberté d’information, et, au terme de cette mise en balance, pour enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.