Hier au Conseil d’État, un dossier important a été ausculté : la portée territoriale du « droit à l’oubli » sur Google. La rapporteure Aurélie Bretonneau a conclu à la transmission d'une série de questions préjudicielles à la Cour de justice de l’Union européenne.
Le 13 mai 2014, la CJUE lançait un boulet de canon dans le ciel européen. Depuis son arrêt fondamental « Costeja », elle considère que Google Inc est soumis à la directive de 1995 sur le traitement des données personnelles, du fait de la présence des filiales publicitaires disséminées dans chaque État membre. Et d’ajouter que les moteurs y réalisent un traitement de données personnelles dès lors qu’ils indexent de tels contenus à partir de l’indexation des sites.
De là, la justice européenne a reconnu la possibilité pour chaque internaute d’obtenir que son nom n’apparaisse plus lorsqu’on fait une recherche à partir d’un patronyme. La personne physique doit à cette fin démontrer que les données ne sont pas adéquates ou pertinentes ou sont excessives ou inexactes. Et la Cour de demander à Google, sous l’œil des autorités de contrôle nationales – la CNIL en France – d’exercer une mise en balance des intérêts, entre protection des données personnelles et vie privée sur un plateau, et sur l’autre droit à l’information du public. Belle affaire qui a suscité une vague de demandes de déréférencement, outre l’avènement de sociétés spécialisées dans l’e-reputation. Business as usual.
Si la mécanique s’est peu à peu rodée avec l’avènement de critères de sélection chez Google et la CNIL, un angle est resté mort dans la décision du 13 mai 2014 : la portée territoriale du « droit à l’oubli ». Pour Aurélie Bretonneau, la méta-question « consiste à savoir si, lorsqu’un moteur de recherche est tenu de déréférencer, il doit le faire uniquement dans la zone géographique couverte par la directive, ou s’il doit, compte tenu de l’indifférence d’internet aux frontières, y procéder partout, moyennant une forte dose d’extraterritorialité ».
Un choc frontal entre la CNIL et Google
La réponse apportée par la CNIL et Google est le champ d’un choc frontal entre deux interprétations. La Commission considère que le droit au déréférencement doit être étendu à l’ensemble des extensions, le .com compris, quand Google veut le limiter aux seules extensions européennes. En mars 2016, la formation restreinte de la CNIL infligeait finalement une amende de 100 000 euros à Google inc, faute d’avoir tenu compte de sa sèche mise en demeure.
« Notre raisonnement consiste à dire qu’en vertu de la décision de la Cour de justice de l’Union européenne, nous expliquait longuement Isabelle Falque Pierrotin, ce droit au déréférencement est offert aux personnes physiques européennes, dès lors que le responsable de traitement est soumis au droit européen. Or le traitement de Google est un traitement mondial. Les extensions .fr, .it, .com ne sont pas le traitement, c'est le chemin technique d'accès au traitement. Le traitement, lui, c'est le même pour tout le monde. Google a donc choisi d'avoir un traitement mondial, très bien. Mais dès lors que le déréférencement est octroyé, alors il doit naturellement être effectif sur l'ensemble des extensions liées à ce traitement ! »
L'arrêt de la CJUE exige un déréférencement effectif. « Sauf qu’il ne peut pas l'être si d'un petit clic, en passant du .fr au .com, le .com vous restitue ce qui ne doit plus remonter dans le moteur de recherche ! Les raisonnements juridiques et techniques conduisent facilement à une conclusion de ce type » insiste la même présidente de l'autorité. Résumant cette position, la rapporteure publique a exposé hier que « dans la mesure où n’importe qui peut googliser [les noms] de n’importe où, le déréférencement doit, pour ne pas manquer son but, revêtir un caractère global »
À la porte du Conseil d’État, Google, défendu par Me Spinposi, a d’abord contesté la compétence de la formation restreinte pour éclabousser les traitements réalisés loin du territoire européen. Le droit au déréférencement est une modalité d’un traitement qui n’est opéré que sur le territoire européen. Il « s’apparente plutôt, pour la société Google Inc., à une cloche protégeant fixement le territoire européen et lui seul », a-t-elle esquissé encore dans ses conclusions. « Les informations personnelles pouvant continuer d’être traitées librement sur internet en dehors de son champ ».
Google.com ou .fr, un seul traitement
L’existence d’un traitement multiple variant suivant les extensions a été contestée par Aurélie Bretenneau : que ce soit Google.fr ou Google.de ou Google.com, etc. elle considère comme la CNIL qu’il n’y a qu’un seul et même traitement de données.
Pour se forger son opinion, elle s’est d’abord appuyée sur la mécanique des moteurs : crawl, indexation, naissance d’une base de données unique puis exploitation par les requêtes des internautes avant affichage des résultats, purgés des contenus illégaux tels la pédopornographie. Ce n’est que lors de la requête qu’il y a personnalisation selon de l’extension choisie, l’adresse IP, les coordonnées GPS, la langue utilisée, etc.
Voilà pourquoi, explique-t-elle, « la saisie du mot « football » ne donnera pas la même pré-liste selon que l’internaute est réputé français ou localisé dans un pays de langue anglaise, où ce vocable désigne le football américain. »
Tous les chemins mènent à Google
Or, insiste-t-elle, « les articles 2 de la directive et de loi informatique et libertés qualifie ainsi de traitement, au singulier, « toute opération ou ensemble d'opérations » telles que la collecte, l'enregistrement l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication l’interconnexion, ainsi que le verrouillage, l'effacement ou la destruction des données ».
De plus, en suivant ad nauseam les arguments de Google, « il y aurait autant de traitement que d’internautes, voire de requêtes » du fait de la personnalisation forte des résultats où d’ailleurs l’extension ne joue qu’un rôle résiduel.
Enfin, « il existe des passerelles entre les différentes déclinaisons du moteur » : un internaute qui surfe sur Google.com est automatiquement redirigé vers son domaine national. Et Google.com n’hésite pas à déposer des cookies en son nom même lors d’une recherche en .fr.
Dans son esprit, le traitement de Google ne peut donc être que global, mais avec de multiples voies d’accès. D’ailleurs, un choix inverse « aurait le curieux effet de faire dépendre la prise du régulateur sur un moteur de recherche du choix contingent de l’exploitant de le décliner ou non en terminaisons nationales ».
À fond, les moyens !
Après cette analyse relative à la compétence de la CNIL, le gros du morceau. Quelle peut être la portée territoriale du droit au déréférencement ? Dans ses conclusions, Google a dit et redit ce qu’elle avait déjà considéré à travers la plume de Peter Fleischer, responsable de la politique de confidentialité du moteur, d’ailleurs présent hier lors de l’audience.
L’entreprise américaine a déjà écrit sur son blog relatif à la vie privée avoir la certitude « qu’aucun pays ne devrait avoir l’autorité de contrôler les contenus auxquels une personne peut accéder depuis un autre pays ». Et le moteur de craindre une course vers le bas qui, résume à nouveau la rapporteure, « conduira en outre à aligner l’internet sur le standard le plus restrictif, puisque tous les internautes subiront l’effacement des résultats voulus par le plus sévère des régimes ».
Deuxième problématique : est-ce que ce déréférencement global ou mondial ne va pas porter une atteinte disproportionnée à la liberté d’information, d’expression, de communication ailleurs que sur les États où la protection de la vie privée est sollicitée ? Là encore, mise en balance des arguments.
Pour Google, la protection doit se limiter sur le territoire de l’Union, mais pour la CNIL, les textes socles, telle la Charte des droits fondamentaux ont pour objectif de maximiser les protections qui y sont reconnues. La magistrate s’est évidemment souvenue de la logique du règlement européen sur la protection des données personnelles qui protègera dès l’année prochaine les individus quel que soit le lieu du traitement, en Europe ou au-delà.
Enfin, dernier moyen, Google critique l’analyse de la CNIL considérant que « ses solutions de circonscription territoriale ne permettent pas d’assurer une protection efficace des droits garantis par le déréférencement », dixit Aurélie Bretenneau.
Le moteur a révélé au cours de l’instruction avoir blindé davantage encore son cloisonnement géographique en ajoutant un géoblocage afin d’éviter que les personnes sises en France puissent basculer facilement vers le .com et découvrir donc les déréférencements obtenus. En face, la CNIL épingle les risques de contournement (VPN et proxy essentiellement) permettant donc à l’internaute de se localiser virtuellement au-delà des frontières US pour fracasser le géoblocage vanté par Google...
Nécessité d’une interprétation commune à toute l’UE
Plutôt que de prendre le risque d’une solution éclatée entre les États membres, la rapporteure a finalement conclu à la transmission d’un nouveau train de questions préjudicielles vers la Cour de justice de l’Union européenne. « S’il est toujours bon que le droit de l’Union européenne fasse l’objet d’une application homogène sur l’ensemble du territoire des États membres, il en va a fortiori ainsi quand est en jeu une question de territorialité. Les risques de conflits de normes que porte en germe l’universalité du réseau qui interconnecte des individus appartenant à des systèmes juridiques différents seraient encore aggravés si, au sein d’un même ordre juridique, les façons d’appliquer le droit différaient ».
Le sujet est d’autant plus vrai qu’il n’existe pas d’application homogène de la question de la territorialité, où d’ailleurs « la position de la CNIL semble à ce jour isolée » ajoutent les conclusions.
Finalement, la rapporteure propose donc au Conseil d’État de soulever plusieurs questions préjudicielles : quelle est la portée territoriale du droit au déréférencement, un nettoyage effectué quel que soit le lieu où la recherche est effectuée ou bien seulement depuis les requêtes exprimées en Europe ? Si ce dernier cas l’emporte, faut-il que le déréférencement ne concerne que l’extension du pays de l’internaute (.fr pour un Français) ou bien toutes les extensions européennes ? Enfin, faut-il imposer un géoblocage aux moteurs et si oui sous quel périmètre ?
Prenant la parole en dernier, Me Spinosi, qui défend Google, a principalement demandé au Conseil d’État de ne pas transmettre ces questions. Ou, s’il le faisait, de bien expliquer à la CJUE la mécanique des moteurs, histoire de limiter le droit au déréférencement à la seule phase d’affichage des résultats, surtout pas en amont, notamment au niveau de l’indexation.
L’arrêt du Conseil d’État est attendu dans un à deux mois. S’il transfère ces questions, la Cour de justice rendra sa décision à compter de 2018.
