A la lecture du jugement rendu mardi 24 septembre par la Cour de justice de l’Union européenne (CJUE), les avocats de Google ont dû pousser un grand soupir de soulagement. La CJUE vient en effet de donner raison au moteur de recherche en concluant que le droit au déréférencement, abusivement surnommé « droit à l’oubli », ne s’appliquait qu’à l’intérieur des frontières de l’Union européenne. Dans une seconde affaire, les juges ont aussi précisé les règles que devaient appliquer les moteurs de recherche lorsqu’ils étaient confrontés à une demande de déréférencement de données dites « sensibles ».

Dans leur première décision, les juges de Luxembourg ont donné raison à Google face à la Commission nationale de l’informatique et des libertés (CNIL) en affirmant que le droit au déréférencement – qui permet depuis 2014 à chaque internaute européen de faire supprimer sous conditions certains résultats le concernant des moteurs de recherche lorsqu’on y saisit ses noms et prénoms – ne pouvait s’appliquer à l’échelle mondiale.

Un déréférencement cantonné à l’UE

Jusqu’ici, les pages concernées par le déréférencement ne disparaissaient que lorsque l’internaute effectuait sa recherche sur les extensions de Google des pays de l’Union européenne (Google.fr, Google.de…). Constatant qu’il suffisait pour un internaute de se rendre sur une autre extension (Google.com par exemple) pour afficher le contenu retiré, la CNIL avait ordonné au moteur de recherche de procéder au déréférencement dans le monde entier et dans tous ses résultats de recherche.

Face à son refus, la CNIL avait sanctionné Google, qui avait porté l’affaire devant le Conseil d’Etat. La CJUE a estimé mardi, à l’unisson de Google et des conclusions de l’avocat général, que cette solution souhaitée par la CNIL n’était pas satisfaisante, car elle allait conduire à l’application mondiale d’un droit européen. « L’équilibre entre la protection de la vie privée et la liberté d’expression des internautes est susceptible de varier à travers le monde », remarque ainsi la Cour. Chez Google, quelques jours avant la décision, on laissait clairement entendre qu’un important conflit légal allait se profiler avec les Etats-Unis, où la liberté d’expression est extrêmement protégée, si la Cour s’alignait sur le jugement de la CNIL.

La porte à un déréférencement mondial reste ouverte

« Nous sommes heureux de voir que la Cour a retenu nos arguments », a réagi un porte-parole de Google après l’annonce de la décision de la Cour. La Computer and Communications Industry Association – un groupe de lobbying qui représente les grandes entreprises du numérique, dont Google – s’est également déclarée satisfaite que la Cour ait « honoré le droit des Européens sans compromettre les droits constitutionnels des citoyens hors de l’Union européenne ».

Cela alors que la justice européenne a aussi gravé dans le marbre le fait que les moteurs de recherche devaient prendre « des mesures suffisamment efficaces » pour que le déréférencement soit bien effectif dans toute l’Union européenne. La Cour leur demande ainsi d’accompagner ce retrait de mesures « empêchant ou décourageant » l’accès des internautes européens aux liens déréférencés. Avant cette décision, Google avait commencé à utiliser l’adresse IP – l’identifiant d’une connexion à Internet, qui peut révéler le pays où se trouve l’internaute – pour délimiter les frontières de ce déréférencement.

La CJUE a aussi laissé la porte ouverte à un déréférencement mondial, dans certains cas particuliers. Elle a pour cela renvoyé la balle dans le camp des autorités nationales de protection des données (comme la CNIL en France) qui devront déterminer, le cas échéant et au cas par cas, si Google doit supprimer de ses résultats de recherche mondiaux certaines pages Web.

La question des données sensibles

Ces précisions viennent compléter les décisions rendues par la CJUE sur le sujet en 2014. En octroyant d’un trait de plume le droit au déréférencement aux Européens, la Cour avait alors créé la surprise et essuyé une volée de critiques, en particulier de Google, qui lui reprochait les nombreuses zones d’ombre.

La deuxième décision, rendue par la Cour mardi, clarifie dans ce contexte une autre question qui avait été laissée de côté en 2014 : celle des données sensibles. Une catégorie spécifique de données personnelles que le droit européen protège plus que les autres. On y trouve par exemple l’appartenance sexuelle, l’orientation politique, l’origine ethnique ou les antécédents judiciaires.

Imposer aux moteurs de vérifier avant tout référencement l’absence de données sensibles est parfaitement incompatible avec l’existence même des moteurs de recherche

Après 2014, plusieurs particuliers avaient demandé à Google de supprimer de ses résultats des pages les concernant contenant ce type de données. Parmi les demandes, figuraient celle d’une ancienne responsable politique locale voulant supprimer de YouTube un photomontage suggérant une relation sexuelle avec un élu ; celle d’un homme condamné pour pédophilie désireux de ne plus voir sa condamnation apparaître dans les résultats de recherche ; ou encore, un ancien responsable de l’Eglise de scientologie souhaitant voir disparaître de Google un article de presse rappelant cette ancienne qualité.

Article réservé à nos abonnés Lire aussi L’« online shaming », version moderne du goudron et des plumes sur les réseaux sociaux

Google avait répondu que ces données, fussent-elles sensibles, n’en étaient pas moins d’intérêt public, et ne devaient donc pas être déréférencées. La CNIL, saisie en deuxième recours par les demandeurs, s’était déclarée cette fois d’accord avec Google.

Les particuliers avaient donc porté l’affaire devant le Conseil d’Etat, qui a saisi l’occasion pour demander une explication de texte à la CJUE. Cette dernière s’est alignée, dans ses décisions rendues mardi, avec Google et la CNIL. Elle a confirmé que les moteurs de recherche devaient vérifier a posteriori (et seulement si on le leur demande) l’indexation et la présentation d’une page contenant des données sensibles, et non a priori.

Comme le notait l’avocat général dans ses conclusions, imposer aux moteurs de vérifier avant tout référencement l’absence de données sensibles est parfaitement incompatible avec l’existence même des moteurs de recherche : cela reviendrait, pour Google, à devoir opérer un travail de vérification des données d’une page Web, avant même qu’il puisse l’indexer dans ses bases de données et l’afficher dans ses résultats de recherche.

La Cour a aussi jugé que, dans la plupart des cas, le moteur de recherche devait obéir à la demande de déréférencement des pages contenant ce type de données, en raison de leur grande sensibilité et de la menace qu’elles font peser sur la vie privée des internautes.

La Cour s’aventure dans l’algorithme de Google

Cependant, le juge européen a bien précisé que, dans certains cas, lorsque l’intérêt des internautes à pouvoir accéder à ces informations est plus important que la vie privée des demandeurs, le moteur de recherche peut refuser le déréférencement. Dans le cas des données périmées liées à une procédure judiciaire (par exemple, l’annonce d’une mise en examen alors que l’internaute a été relaxé quelques mois plus tard), la CJUE a conclu que le moteur de recherche devait prendre en compte la gravité des faits, le rôle public de la personne concernée ou encore l’intérêt du public à connaître cette information pour décider si la page Web devait disparaître des résultats de recherche.

La CJUE s’aventure même dans le détail de l’algorithme de Google. En effet, elle précise que si le moteur de recherche refuse de déréférencer l’annonce d’une mise en examen, alors qu’elle a été suivie, par exemple, d’une relaxe, le moteur de recherche doit s’arranger pour que les résultats de recherche reflétant « la situation judiciaire actuelle » de l’internaute apparaissent « en premier lieu » dans les résultats de recherche lorsqu’on saisit ses nom et prénom.