Décision 2015-047 du 21 mai 2015

Commission Nationale de l'Informatique et des Libertés
Décision n°2015-047 du 21 mai 2015
Décision n° 2015-047 du 21 mai 2015 mettant en demeure la société X
Etat: VIGUEUR

La Présidente de la Commission nationale de l’informatique et des libertés,

Vu la Convention n° 108 du Conseil de l’Europe pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu le code pénal ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment son article 45 ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu l’arrêt rendu par la Cour de justice de l’Union européenne le 13 mai 2014 dans l’affaire C-131/12 Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González ;

Vu les saisines n° 14020486 reçue le 14 juillet 2014 ; n° 14021808 reçue le 28 juillet 2014 ; n° 14021787 reçue le 28 juillet 2014 ; n° 13023478 reçue le 26 juillet 2014 ; n° 14022964 reçue le 7 août 2014 ; n° 14024210 reçue le 22 août 2014 ; n° 14025050 reçue le 2 septembre 2014 ; n° 14025413 reçue le 8 septembre 2014 ;

Vu les autres pièces du dossier ;

I- Constate les faits suivants

La société X (ci-après X ou la société ) a été créée en 1998 et a son siège social […].

Depuis sa création, la société a développé de nombreux services à destination des particuliers et des entreprises dont le moteur de recherche sur Internet […], outil le plus utilisé au monde avec plus de mille milliards d’adresses URL indexées en 2008.

La société possède plus de 70 bureaux implantés dans une quarantaine de pays et compte environ 40 000 salariés à travers le monde.

Par décision du 13 mai 2014, la Cour de justice de l’Union européenne (ci-après la Cour de justice ou la CJUE ) a qualifié de traitement de données à caractère personnel l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence.

Elle en a déduit que l’exploitant du moteur de recherche était le responsable de ce traitement.

S’agissant du champ d’application territorial de la directive, la Cour considère que, lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers, dispose d’un établissement dans un État membre, le traitement est effectué dans le cadre des activités de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier.

En l’espèce, la Cour de justice a jugé que le responsable du moteur de recherche, à savoir la société X, était donc soumis au respect de la directive 95/46/CE du 24 octobre 1995 susvisée. La Cour a également jugé qu’en application des articles 12 et 14 de cette directive, un moteur de recherche est tenu de respecter les droits d’effacement et d’opposition des données en procédant au déréférencement de certains liens, c’est-à-dire en retirant, sous certaines conditions, de la liste des résultats affichés à la suite d’une recherche associée au nom d’une personne, des liens renvoyant vers des pages web publiées par des tiers et contenant des informations relatives à cette personne.

La Cour de justice a précisé que le refus du responsable de traitement de procéder au déréférencement sollicité pouvait être contesté auprès de l’autorité de contrôle de protection des données ou de l’autorité judiciaire compétente au sein de chaque Etat membre.

Dans ces conditions, la Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission ) a été saisie par de nombreux particuliers s’étant vu refuser le déréférencement de liens Internet (ou adresses URL) par X.

Lors de l’instruction de ces saisines, la Commission a notamment identifié 21 plaintes pour lesquelles les demandes de déréférencement lui paraissaient fondées.

Par courrier du 20 décembre 2014, elle a demandé à la société Z de procéder au déréférencement des liens évoqués par chaque plaignant.

Par courriel du 13 janvier 2015, la société Z a indiqué avoir satisfait à 9 demandes sur les 21 précitées par le blocage de l’affichage des URL mises en cause au sein des résultats affichés par les extensions européennes du moteur de recherche […].

Dans un courrier du 9 avril 2015, la Commission a notamment rappelé, suite à une réunion avec la société en date du 17 mars 2015, que les déréférencements intervenus pour être effectifs devaient être mis en œuvre sur toutes les extensions du moteur de recherche sans être limités aux seuls noms de domaine européens.

La Commission a ainsi demandé qu’il soit procédé, dans un délai de 15 jours, au déréférencement des demandes favorablement accueillies, sur l’ensemble du traitement et donc sur toutes les extensions du moteur de recherche.

Dans un courrier en réponse daté du 24 avril 2015, la société Z a renvoyé, s’agissant de la portée territoriale des déréférencements, à la position qu’elle avait exprimée dans un courrier du 31 juillet 2014 adressé au groupe de travail de l’article 29 sur la protection des données (ci-après le G29 ).

Elle y indique qu’après avoir limité les déréférencements à la version du moteur de recherche correspondant à la nationalité ou au lieu de résidence du demandeur, il a été décidé, s’agissant des demandeurs européens et à la suite de l’arrêt rendu par la Cour de justice, d’en étendre le périmètre aux extensions géographiques européennes de son moteur de recherche.

En revanche, le déréférencement mis en œuvre intervient exclusivement si la recherche est effectuée sur l’une des extensions géographiques européennes du moteur de recherche. En particulier, il ne s’applique pas sur des recherches effectuées à partir de […], au motif, notamment, que cette extension ne serait que très peu utilisée par les internautes européens.

II- Sur le manquement constaté au regard des dispositions de la loi du 6 janvier 1978 modifiée

Un manquement à l’obligation de respecter les droits d’opposition des personnes et de suppression des données

L’article 38 de la loi du 6 janvier 1978 modifiée dispose : Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement.

L’article 40 de la loi précitée dispose : Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient selon les cas, rectifiées, complétées, mise à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Les articles précités sont la transposition en droit interne des articles 12 et 14 de la directive 95/46/CE.

Dans sa décision du 13 mai 2014, la Cour de justice de l’Union européenne relève qu’ il ressort notamment des considérants 18 à 20 et de l’article 4 de la directive 95/46 que le législateur de l’Union a entendu éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée, en prévoyant un champ d’application territorial particulièrement large [...] ; il ne saurait être accepté que le traitement de données à caractère personnel effectué pour les besoins du fonctionnement dudit moteur de recherche soit soustrait aux obligations et aux garanties prévues par la directive 95/46, ce qui porterait atteinte à l’effet utile de celle-ci et à la protection efficace et complète des libertés et des droits fondamentaux des personnes physiques qu’elle vise à assurer (voir, par analogie, arrêt L’Oréal e.a., EU:C:2011:474, points 62 et 63), notamment celui au respect de leur vie privée, à l’égard du traitement des données à caractère personnel, auquel cette directive accorde une importance particulière [...].

Or, il ressort des échanges de courriers entre la CNIL et la société que la mise en œuvre du déréférencement est limitée aux seuls noms de domaines internet accessibles à partir des extensions géographiques européennes de son moteur de recherche.

Le service proposé par la société via son moteur de recherche […] correspond à un traitement unique. En effet, les différents noms de domaine que la société a choisi d’utiliser afin de faciliter localement l’utilisation de son service ne représentent que des chemins d’accès techniques à ce traitement. Ainsi, lorsqu’elle a lancé son service en 1997, celui-ci n’était accessible que depuis le site […] et n’a été décliné en différents noms de domaine qu’au fil du temps (par exemple, création de […] le 27 juillet 2000).

Les droits garantis par les articles 38 et 40 de la loi du 6 janvier 1978, qui transposent les articles 12 et 14 de la directive, s’exercent auprès d’un responsable de traitement, à l’égard d’un traitement, sans qu’ait d’incidence, ni la configuration de ce traitement, ni la diversité de ces moyens d’accès. C’est d’ailleurs ce qu’a relevé le G29 dans son avis du 26 novembre 2014, en considérant, sur le fondement de l’arrêt de la Cour de justice, que le déréférencement doit intervenir sur toutes les extensions du moteur de recherche afin de permettre un exercice effectif des droits des personnes (Article 29 working party - 26 November 2014 - 14/EN WP 225 Guidelines on the implementation of the Court of Justice of the European Union judgment on Google Spain and Inc. V. Agencia Espanola de Proteccion de Datos (AEPD) and Mario Costeja Gonzalez C-131/12).

Il en résulte donc que, dès lors qu’une demande de déréférencement est satisfaite conformément aux dispositions susmentionnées, elle doit nécessairement porter sur l’ensemble du moteur de recherche, quelles que soient les terminaisons utilisées.

Dès lors, en l’espèce, le fait que des liens vers des sites Internet, déréférencés uniquement des noms de domaines correspondant à des extensions géographiques européennes du moteur de recherche, demeurent accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche constitue un manquement aux dispositions des articles 38 et 40 de la loi du 6 janvier 1978 modifiée précités.

Il est rappelé que, en application des articles 226-24, 131-38, 131-39 et 226-18-1 du code pénal combinés, le fait pour une personne morale de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est notamment puni d’une peine d’amende pouvant atteindre 1.500.000 €.

En outre, il est rappelé qu’en application de l’article R. 625-12 du code pénal, le fait, pour le responsable d’un traitement automatisé de données à caractère personnel, de ne pas procéder aux opérations demandées par une personne physique qui exige que soient effacées les données à caractère personnel la concernant lorsque ces données sont inexactes, incomplètes, équivoques, périmées, ou lorsque leur collecte, leur utilisation, leur communication ou leur conservation est interdite, est puni notamment d’une peine d’amende pouvant atteindre 7.500€.

En conséquence, la société X, sise […], est mise en demeure, sous un délai de quinze jours (15 jours) à compter de la notification de la présente décision et sous réserve des mesures qu’elle aurait déjà pu adopter, de :

• Pour chaque demande de déréférencement à laquelle une suite favorable est donnée, soit d’initiative, soit à la demande de la CNIL, procéder audit déréférencement sur toutes les extensions du nom de domaine du moteur de recherche ;

• Justifier auprès de la CNIL que l’ensemble des demandes précitées a bien été respecté, et ce dans le délai imparti.

À l’issue de ce délai, si la société X s’est conformée à la présente mise en demeure, il sera considéré que la procédure est close et un courrier lui sera adressé en ce sens.

À l’inverse, si la société X ne s’est pas conformée à la présente mise en demeure, un rapporteur pourra être désigné qui pourra demander à la formation restreinte de la Commission de prononcer l’une des sanctions prévues par l’article 45 de la loi du 6 janvier 1978 modifiée.

La Présidente,

Isabelle FALQUE-PIERROTIN




Nature de la délibération: AVERTISSEMENT
Date de la publication sur legifrance: 19 juin 2015