Par un arrêt du 24 septembre 2019, la Cour de justice de l’Union européenne, réunie en grande chambre, a précisé la portée territoriale du droit au déréférencement. En l’espèce, une autorité de contrôle de la protection des données d’un État membre avait infligé une sanction pécuniaire à l’exploitant d’un moteur de recherche. Il lui était reproché de ne pas appliquer une demande de déréférencement à l’ensemble des extensions de nom de domaine de son moteur à l’échelle mondiale. L’opérateur s’était en effet limité à supprimer les liens litigieux des seuls résultats affichés sur les versions de son moteur correspondant aux États membres de l’Union.
L’exploitant du moteur de recherche a formé un recours en annulation contre cette sanction devant la plus haute juridiction administrative de cet État membre. Saisi du litige, le juge national a décidé de surseoir à statuer et d’interroger la Cour de justice sur l’interprétation à donner au droit au déréférencement, consacré sur le fondement de la directive 95/46/CE et repris par le règlement (UE) 2016/679. La question de droit soulevée portait sur le point de savoir si, lorsqu’un exploitant de moteur de recherche fait droit à une demande de déréférencement, il est tenu de rendre les liens concernés inaccessibles sur toutes les versions de son moteur de recherche dans le monde, ou si cette obligation est territorialement limitée.
La Cour de justice répond que l’exploitant d’un moteur de recherche n’est pas tenu, en l’état actuel du droit de l’Union, de procéder à un déréférencement sur l’ensemble des versions de son moteur. Elle précise toutefois que ce déréférencement doit être opéré sur les versions du moteur correspondant à l’ensemble des États membres. Cette mesure doit être assortie de techniques, comme le géoblocage, permettant d’empêcher ou, à tout le moins, de décourager sérieusement les internautes situés dans les États membres d’accéder aux contenus déréférencés.
Cette décision définit ainsi les frontières du droit au déréférencement en le cantonnant à l’espace juridique de l’Union, ce qui constitue une affirmation de la portée territoriale limitée de ce droit (I). Dans le même temps, elle s’attache à garantir l’effectivité de ce droit au sein de l’Union en définissant un périmètre d’application européen (II).
I. L’affirmation d’une portée territoriale limitée du droit au déréférencement
La Cour de justice opère un raisonnement en deux temps pour circonscrire la portée du droit au déréférencement. Elle commence par constater une absence d’obligation de déréférencement mondial dans les textes du droit de l’Union (A), avant de justifier cette position par la nécessité de préserver un équilibre variable entre les droits fondamentaux en présence (B).
A. L’exclusion d’une obligation de déréférencement à l’échelle mondiale
La Cour constate d’abord que ni les dispositions de la directive 95/46/CE ni celles du règlement 2016/679 ne prévoient explicitement une portée extraterritoriale pour le droit au déréférencement. En l’absence de volonté claire du législateur de l’Union, la Cour refuse d’imposer une obligation aussi étendue. Elle souligne qu’« il ne ressort aucunement des termes de l’article 12, sous b), et de l’article 14, premier alinéa, sous a), de la directive 95/46 ou de l’article 17 du règlement 2016/679 que le législateur de l’Union aurait […] fait le choix de conférer aux droits consacrés à ces dispositions une portée qui dépasserait le territoire des États membres ». Cette interprétation stricte des textes traduit une forme de retenue judiciaire. La Cour se garde de créer une obligation que le législateur n’a pas expressément consacrée, surtout lorsque celle-ci aurait des implications internationales significatives. Le silence des textes est interprété comme le signe d’une absence d’intention d’imposer une telle contrainte aux opérateurs.
B. La justification fondée sur la balance des droits fondamentaux
Au-delà de l’interprétation littérale, la Cour justifie sa position par une analyse substantielle. Elle rappelle que « le droit à la protection des données à caractère personnel n’est pas un droit absolu, mais doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d’autres droits fondamentaux, conformément au principe de proportionnalité ». Or, cette mise en balance entre le droit à la vie privée et à la protection des données, d’une part, et la liberté d’information, d’autre part, est susceptible de varier considérablement à travers le monde. Imposer un déréférencement mondial reviendrait à faire prévaloir la conception européenne de cet équilibre sur celle d’autres États. La Cour reconnaît que de nombreux États tiers ne connaissent pas le droit au déréférencement ou en ont une approche différente. Une application globale risquerait ainsi d’entrer en conflit avec le droit à la liberté d’information tel qu’il est garanti dans ces pays, ce qui constituerait une ingérence disproportionnée. La solution retenue est donc pragmatique : elle respecte la diversité des ordres juridiques et des équilibres entre droits fondamentaux existant à l’échelle mondiale.
Après avoir écarté l’obligation d’un déréférencement mondial, la Cour se devait de préciser l’étendue de cette obligation au sein de l’espace juridique européen.
II. La définition du périmètre européen du droit au déréférencement
La Cour ne se contente pas de limiter la portée du droit au déréférencement ; elle en précise également les contours à l’intérieur de l’Union. Elle consacre ainsi le principe d’un déréférencement sur l’ensemble des États membres (A), tout en insistant sur la nécessité de mesures efficaces pour le garantir, sans priver les autorités nationales de leur compétence pour aller au-delà (B).
A. Le principe d’un déréférencement sur l’ensemble des États membres
La Cour précise que si le déréférencement n’est pas mondial, il ne saurait être limité à la seule version du moteur de recherche de l’État membre où la demande a été introduite. Pour assurer un niveau de protection « cohérent et élevé » sur tout le territoire de l’Union, l’obligation doit s’étendre à toutes les versions nationales européennes du moteur. La Cour énonce que l’exploitant est tenu d’opérer le déréférencement « sur les versions de celui-ci correspondant à l’ensemble des États membres ». Cette solution est cohérente avec l’objectif d’harmonisation poursuivi par le règlement général sur la protection des données. Elle vise à garantir que le droit à l’oubli d’un citoyen européen soit effectif sur l’ensemble du marché intérieur numérique, empêchant qu’une simple recherche depuis une version d’un autre État membre ne permette de contourner la protection accordée. L’obligation est donc paneuropéenne, conférant au droit au déréférencement sa pleine mesure au sein de l’Union.
B. L’exigence de mesures d’accompagnement efficaces
Pour rendre ce déréférencement à l’échelle de l’Union pleinement effectif, la Cour exige de l’exploitant qu’il prenne des mesures complémentaires. Il doit mettre en place des dispositifs qui « permettent effectivement d’empêcher ou, à tout le moins, de sérieusement décourager les internautes effectuant une recherche […] à partir de l’un des États membres d’avoir […] accès aux liens qui font l’objet de cette demande ». Cette obligation vise notamment la technique du géoblocage, qui consiste à filtrer l’accès aux résultats en fonction de l’adresse IP de l’internaute. Enfin, de manière notable, la Cour réserve une marge de manœuvre aux autorités nationales. Elle précise que si le droit de l’Union n’impose pas un déréférencement mondial, il ne l’interdit pas non plus. Par conséquent, une autorité de contrôle ou une juridiction d’un État membre « demeure compétente pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux […] une mise en balance » et potentiellement ordonner un déréférencement sur l’ensemble des versions du moteur. Cette ouverture laisse la porte à un niveau de protection plus élevé au niveau national, reflétant un équilibre subtil entre harmonisation européenne et souveraineté des États en matière de droits fondamentaux.
