Délibération 2016-054 du 10 mars 2016

Commission Nationale de l'Informatique et des Libertés
Délibération n°2016-054 du 10 mars 2016
Délibération de la formation restreinte n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l’encontre de la société X
Etat: VIGUEUR

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de M. Jean-François CARREZ, Président, M. Alexandre LINDEN, Vice-président, Mme Marie-Hélène MITJAVILE, Mme Dominique CASTERA, M. Maurice RONAI, membres ;

Vu la Convention n° 108 du Conseil de l’Europe du 28 janvier 1981 pour la protection des personnes à l’égard du traitement automatisé des données à caractère personnel ;

Vu les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000 ;

Vu la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 45 et suivants ;

Vu le décret n° 2005-1309 du 20 octobre 2005 modifié pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération n° 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu l’arrêt rendu par la Cour de justice de l’Union européenne le 13 mai 2014 dans l’affaire C-131/12 Google Inc. Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González ;

Vu les saisines n °14020486 reçue le 14 juillet 2014 ; n °14021808 reçue le 28 juillet 2014 ; n°14021787 reçue le 28 juillet 2014 ; n °13023478 reçue le 26 juillet 2014 ; n °14022964 reçue le 7 août 2014 ; n °14024210 reçue le 22 août 2014 ; n °14025050 reçue le 2 septembre 2014 ; n °14025413 reçue le 8 septembre 2014 ;

Vu la décision de la Présidente de la Commission nationale de l’informatique et des libertés portant désignation d’un rapporteur, en date du 25 septembre 2015 ;

Vu le rapport de M. Philippe LEMOINE, commissaire rapporteur, adressé à la société X le 17 novembre 2015 ;

Vu les observations écrites versées par la société X le 18 janvier 2016, la lettre reçue le 21 janvier 2016 ainsi que les observations orales formulées lors de la séance de la formation restreinte ;

Vu les autres pièces du dossier.

Etaient présents, lors de la séance de la formation restreinte du 28 janvier 2016 :

- Monsieur Philippe LEMOINE, commissaire, entendu en son rapport ;

En qualité de représentants de la société X :

XXXX

En qualité de conseils de la société X, avocats au cabinet :

XXXX

Monsieur Jean-Alexandre SILVY, commissaire du Gouvernement, n’ayant pas formulé d’observation ;

Les représentants de la société X ayant eu la parole en dernier ;

Après en avoir délibéré, a adopté la décision suivante :

  1. Faits et procédure

La société X (ci-après la société), créée en 1998 et dont le siège social est […], est implantée dans une quarantaine de pays et compte environ 40 000 salariés à travers le monde.

L’une de ses activités majeures consiste en l’exploitation du moteur de recherche sur Internet […], outil le plus utilisé au monde avec plus de trente milliards d’adresses URL indexées début 2013.

Par décision du 13 mai 2014 (affaire n° C-131/12), la Cour de justice de l’Union européenne (ci-après la Cour de justice ou la CJUE ) a jugé que l’activité d’un moteur de recherche consistant à trouver des informations publiées ou placées sur Internet par des tiers, à les indexer de manière automatique, à les stocker temporairement et, enfin, à les mettre à la disposition des internautes selon un ordre de préférence, constitue un traitement de données à caractère personnel au sens de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (ci-après la directive ).

La Cour de justice a également jugé que l’exploitant du moteur de recherche était responsable de ce traitement et soumis à ce titre à la directive susmentionnée.

En conséquence, celui-ci est tenu de respecter les droits d’effacement et d’opposition prévus aux articles 12 et 14 de la directive en procédant, lorsque les conditions d’application de ces dispositions sont réunies, au déréférencement de certains liens Internet. Cette technique consiste à supprimer de la liste des résultats affichés à la suite d’une recherche portant sur le nom d’une personne, des liens renvoyant vers des pages web publiées par des tiers et contenant des informations relatives à cette personne.

La Cour a précisé que la demande de déréférencement, directement introduite auprès de l’exploitant du moteur de recherche sans recours préalable auprès des éditeurs de sites Internet, pouvait être accueillie alors même que la publication des informations sur les sites concernés était, en elle-même, licite.

La Cour de justice a jugé que, pour apprécier le bien-fondé d’une demande de déréférencement, les droits fondamentaux au respect de la vie privée et à la protection des données personnelle, prévalent, en principe, non seulement sur l’intérêt économique de l’exploitant du moteur de recherche, mais également sur l’intérêt [du] public à trouver ladite information lors d’une recherche portant sur le nom de cette personne. Cependant, tel ne serait pas le cas s’il apparaissait, pour des raisons particulières, telles que le rôle joué par ladite personne dans la vie publique, que l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant dudit public à avoir, du fait de cette inclusion, accès à l’information en question (point 99).

La Cour a en outre rappelé que le traitement en cause, permettant à tout internaute d’obtenir un aperçu structuré des informations relatives à une personne sur Internet, constituant un profil plus ou moins détaillé de cette dernière, est susceptible d’affecter significativement les droits fondamentaux des personnes tels que garantis par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne.

Enfin, la Cour de justice a précisé que les refus de déréférencement ou les réponses insatisfaisantes de l’exploitant pouvaient être contestés, notamment, devant l’autorité de protection des données nationale.

Le 26 novembre 2014, les autorités européennes de protection des données personnelles réunies au sein du Groupe de l’article 29 ont adopté des lignes directrices destinée à assurer une application harmonisée de l’arrêt de la CJUE. Celles-ci contiennent une interprétation commune de l’arrêt ainsi que des critères ayant vocation à guider les autorités nationales dans le traitement des plaintes reçues suite à des refus de déréférencement.

Depuis cette décision, et afin de respecter l’obligation mise à sa charge, la société X a mis en ligne un formulaire spécifique intitulé demande de suppression de résultat de recherche au titre de la législation européenne en matière de protection des données à destination des internautes européens, leur permettant de solliciter la suppression de résultats de recherche les concernant.

Pour la France, la société a traité environ 80.000 demandes, dont 51,5% ont reçu, selon les données accessibles sur le site Internet de la société, un accueil favorable de sa part.

La Commission nationale de l’informatique et des libertés (ci-après CNIL ou la Commission) est régulièrement saisie par des internautes résidant en France contestant les refus de la société X de faire droit à leur demande de déréférencement.

Dans le cadre de l’instruction de ces plaintes, la Commission a rappelé à la société, par lettre du 9 avril 2015, que pour être effectifs, les déréférencements ne devaient pas être limités aux seules extensions européennes de son moteur de recherche.

Par lettre du 24 avril 2015, la société a indiqué poursuivre ses réflexions sans apporter de modifications à son dispositif, le jugeant à même de garantir, en l’état, l’effectivité du droit au déréférencement.

En conséquence, la Présidente de la CNIL a adopté, le 21 mai 2015, une mise en demeure enjoignant à la société X de procéder aux déréférencements sur toutes les extensions du nom de domaine de son moteur de recherche sous un délai de quinze jours.

Conformément à l’article 46 de la loi n°78-17 du 6 janvier 1978 modifiée (ci-après loi Informatique et Libertés), la Présidente a demandé au bureau de la Commission de se prononcer sur l’opportunité de rendre publique cette décision de mise en demeure.

Le 8 juin 2015, le bureau, régulièrement composé de la Présidente et des deux Vice-présidents de la Commission, a décidé de la publicité de la mise en demeure, conformément aux dispositions de l’article 13-I de la loi Informatique et Libertés. Il a tenu compte de la nécessité, d’une part, d’informer les exploitants de moteurs de recherche, les internautes et les éditeurs de contenus, de l’étendue et de la portée des droits d’opposition et d’effacement des données et, d’autre part, d’assurer la pleine effectivité de ces droits en permettant d’étendre les déréférencements d’ores et déjà accordés par la société à l’ensemble des noms de domaine du moteur de recherche.

La mise en demeure et la délibération du bureau, en versions française et anglaise, ont été notifiées à la société X par lettre du 9 juin 2015 et adressées, pour information, à la société Y le 11 juin suivant.

Le 18 juin 2015, une réunion s’est tenue dans les locaux de la CNIL à la demande de la société. Elle était destinée à préciser les modalités de conformité attendues.

Par lettre du 23 juin 2015, la société a sollicité l’octroi d’un délai complémentaire afin de mener à bien les analyses juridiques et techniques nécessaires. Le 30 juin suivant, la Commission lui a accordé une prorogation de délai jusqu’au 31 juillet 2015.

Le 30 juillet 2015, la société a formé un recours gracieux auprès de la Présidente de la CNIL afin d’obtenir le retrait de la décision de mise en demeure et de la mesure de publicité associée. Ce recours a été rejeté par lettre du 16 septembre 2015, communiquée à l’établissement français du responsable de traitement par lettre du 21 septembre suivant.

En l’absence d’éléments de réponse de nature à attester d’une mise en conformité avec l’injonction visée par la mise en demeure dans le délai imparti, la Présidente de la Commission a décidé, le 25 septembre 2015, sur le fondement de l’article 46 de la loi n°78-17 du 6 janvier 1978 modifiée, d’engager une procédure de sanction à l’encontre de la société X en désignant M. Philippe LEMOINE en qualité de rapporteur.

A l’issue de son instruction, celui-ci a notifié à la société, le 17 novembre 2015, un rapport détaillant les manquements à la loi Informatique et Libertés qu’il estimait constitués et sollicitant le prononcé d’une sanction pécuniaire publique.

Etait également jointe au rapport une convocation à la séance de la formation restreinte du 28 janvier 2016 indiquant à l’organisme qu’il disposait d’un délai d’un mois pour communiquer ses observations écrites.

La société a produit, le 18 janvier 2016, des observations écrites sur le rapport, réitérées oralement lors de la séance du 28 janvier 2016.

  1. Motifs de la décision

Sur l’existence d’un manquement à l’obligation de respecter les droits d’opposition des personnes et de suppression des données

La protection de la vie privée et des données à caractère personnel des résidents européens est garantie, notamment, par les articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne et par l’article 1er de la directive 95/46/CE.

Dans ce cadre, et afin de protéger leur vie privée et leurs données à caractère personnel, les personnes physiques disposent du droit de solliciter du responsable de traitement l’effacement de leurs données en raison, notamment, de leur caractère incomplet ou inexact (article 12 de la directive) et de s’opposer, pour motifs légitimes, au traitement de leurs données (article 14 de la directive).

Ces dispositions européennes ont été transposées en droit interne aux articles 38 (Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement) et 40 de la loi Informatique et Libertés (Toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient selon les cas, rectifiées, complétées, mise à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite).

Ces articles doivent être interprétés à la lumière de la décision précitée de la CJUE du 13 mai 2014, laquelle exige que la mise en œuvre concrète des droits d’opposition et de suppression, via la procédure de déréférencement, garantisse l’effectivité des droits fondamentaux des personnes concernées, à savoir le droit au respect de la vie privée et à la protection des données à caractère personnel, sans contournement possible.

La Cour de justice précise en effet à plusieurs reprises que l’objet de la directive est de garantir une protection pleine et entière des droits fondamentaux au titre desquels figure le droit au respect de la vie privée :

  • l’objectif de la directive 95/46 [est] d’assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel (point 53),

  • la directive 95/46 vise à garantir un niveau élevé de protection des libertés et des droits fondamentaux des personnes physiques, notamment de leur vie privée, à l’égard du traitement des données à caractère personnel (point 66).

  • l’exploitant de ce moteur en tant que personne déterminant les finalités et les moyens de cette activité doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que celle-ci satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée . (point 38)

Elle affirme également que la protection accordée par la directive 95/46/CE doit s’appliquer à tous les résidents européens sans possibilité de contournement :

  • il ressort notamment des considérants 18 à 20 et de l’article 4 de la directive 95/46 que le législateur de l’Union a entendu éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée, en prévoyant un champ d’application territorial particulièrement large (point 54).

  • il ne saurait être accepté que le traitement de données à caractère personnel effectué pour les besoins du fonctionnement dudit moteur de recherche soit soustrait aux obligations et aux garanties prévues par la directive 95/46, ce qui porterait atteinte à l’effet utile de celle-ci et à la protection efficace et complète des libertés et des droits fondamentaux des personnes physiques qu’elle vise à assurer (voir, par analogie, arrêt L’Oréal e.a., EU:C:2011:474, points 62 et 63), notamment celui au respect de leur vie privée (point 58).

La Cour ajoute que la personne concernée doit pouvoir eu égard à ses droits fondamentaux au titre des articles 7 et 8 de la Charte, demander que l’information en question ne soit plus mise à la disposition du grand public du fait de son inclusion dans une telle liste de résultats (point 99).

Dans ses écritures, la société conteste le bien-fondé de l’injonction qui lui a été adressée par la Présidente de la Commission de procéder au déréférencement sur toutes les extensions du nom de domaine du moteur de recherche.

En premier lieu, la société soutient, d’une part, que la mise en demeure est dépourvue de base légale en ce qu’elle repose sur une règle juridique imprécise et imprévisible et, d’autre part, qu’elle n’est pas fondée sur des plaintes spécifiques.

Sur le premier point, la formation restreinte considère qu’en exigeant un déréférencement sur toutes les terminaisons du moteur de recherche, la Présidente de la CNIL a fait application des articles 38 et 40 de la loi Informatique et Libertés, qui transposent les articles de la directive de 1995, tels qu’interprétés par la CJUE dans sa décision précitée et a ainsi rempli la mission générale que lui a confiée le législateur de veiller au respect de cette loi (article 11 de la loi Informatique et Libertés). Le grief d’imprévisibilité doit donc être écarté.

Elle retient également que la demande formulée par la mise en demeure du 21 mai 2015, qui avait été précédemment énoncée par lettre du 9 avril 2015 et lui accordait un délai pour se mettre en conformité, était dépourvue d’ambiguïté.

Sur le second point, la formation restreinte relève que la mise en demeure est fondée sur huit plaintes expressément visées par la décision. En tout état de cause, la mise en œuvre des pouvoirs répressifs de la CNIL n’est pas subordonnée à l’existence d’une plainte et ne vise pas à réparer le préjudice éventuel d’un plaignant, mais uniquement à faire corriger ou à sanctionner un manquement à la loi du 6 janvier 1978 modifiée.

En deuxième lieu, la société soutient que la CNIL excède ses pouvoirs en lui imposant une mesure ayant une portée extraterritoriale.

Elle soutient que la loi n°78-17 du 6 janvier 1978 modifiée n’est pas applicable aux requêtes effectuées sur le moteur de recherche hors de France, lesquelles correspondent à une activité qui n’est ni dirigée vers les internautes français ni indissociablement liée à celle de sa filiale française.

Sur ce point, la formation restreinte considère que la société part du postulat qu’il existerait autant de traitements liés au service […] que d’extensions locales du moteur de recherche, alors qu’il s’agit d’un traitement unique doté de multiples chemins d’accès techniques.

Les modalités de consultation du moteur de recherche, qu’il s’agisse de l’origine géographique de l’internaute effectuant la recherche, de la langue utilisée pour afficher les résultats, du classement des résultats dans la liste et des termes mêmes de la recherche, constituent autant d’opérations relevant d’un même traitement. A cet égard, il convient de rappeler que les différentes extensions géographiques du moteur de recherche ont été créées au fil du temps par la société afin de proposer un service adapté à la langue nationale de chaque pays alors qu’elle n’exploitait initialement son service que par l’intermédiaire de l’unique nom de domaine […].

C’est également la position retenue par la CJUE qui précise dans sa décision du 13 mai 2014 : il convient de constater que, en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées, l’exploitant d’un moteur de recherche collecte de telles données qu’il extrait, enregistre et organise par la suite dans le cadre de ses programmes d’indexation, conserve sur ses serveurs et, le cas échéant, communique à et met à disposition de ses utilisateurs sous forme de listes des résultats de leurs recherches. Ces opérations étant visées de manière explicite et inconditionnelle à l’article 2, sous b), de la directive 95/46, elles doivent être qualifiées de traitement au sens de cette disposition (...) (point 28).

En conséquence, la loi Informatique et Libertés est applicable à l’intégralité du traitement lié au service […] dans la mesure où, au sens de l’article 5-I-1° de cette loi Informatique et Libertés, la société Y participe, sur le territoire national, à l’activité de l’exploitant du moteur de recherche installé […], ainsi que l’a énoncé la décision précitée : Il découle de ce qui précède qu’il convient de répondre à la première question, sous a), que l’article 4, paragraphe 1, sous a), de la directive 95/46 doit être interprété en ce sens qu’un traitement de données à caractère personnel est effectué dans le cadre des activités d’un établissement du responsable de ce traitement sur le territoire d’un État membre, au sens de cette disposition, lorsque l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre (point 60).

Par ailleurs, il entre dans les pouvoirs de la Commission de déterminer les modalités de déréférencement dès lors que le traitement en cause est mis en œuvre, au sens de l’article 48 de la loi Informatique et Libertés, en tout ou partie, sur le territoire national, y compris lorsque le responsable du traitement est établi sur le territoire d’un autre Etat membre de la Communauté européenne.

La société fait également valoir qu’un déréférencement sur toutes les terminaisons du moteur de recherche enfreint le principe de droit international de courtoisie et affecte la souveraineté des Etats en raison de ses effets extraterritoriaux.

En réponse à cette argumentation, la formation restreinte rappelle que seules sont en cause les personnes ayant leur résidence en France, dont il convient de faire respecter les droits de manière efficace et complète comme l’exige la Cour de justice dans sa décision (points 34, 38, 53, 58 et 84). En l’espèce, le droit au déréférencement, dérivé des droits d’opposition et de suppression des données, est attaché à la personne. Lorsqu’il trouve à s’appliquer, il doit être effectif sans restriction sur l’ensemble du traitement, quand bien même il serait susceptible d’entrer en conflit avec des droits étrangers.

En troisième lieu, la société soutient, en substance, qu’un déréférencement mondial contreviendrait de manière disproportionnée à la liberté d’expression et d’information.

D’une part, la formation restreinte rappelle que le déréférencement n’entraîne aucune suppression de contenu sur Internet, ni même de désindexation des pages des sites web concernées (ce qui consisterait en un retrait pur et simple des liens recherchés des résultats du moteur de recherche). Il consiste uniquement, à la demande d’une personne physique, à retirer de la liste des résultats d’une recherche effectuée à partir de ses seuls prénom et nom, des liens renvoyant vers des pages de sites web. Ces pages demeurent accessibles lorsque la recherche est opérée à partir d’autres termes.

D’autre part, la décision de déréférencer n’est prise, comme le précise la Cour de justice, que si les conditions d’application des droits d’opposition (soumis à la preuve d’un intérêt légitime) ou de suppression (conditionné notamment à la démonstration du caractère obsolète, incomplet ou erroné de l’information litigieuse) sont réunies. Elle intervient ainsi à l’issue d’un contrôle de proportionnalité destiné à préserver le strict équilibre entre, d’une part, le respect des droits à la vie privée et à la protection des données personnelles des personnes et, d’autre part, l’intérêt du public à accéder à l’information, notamment en cas de rôle joué dans la vie publique par le demandeur.

Une limitation des déréférencements aux extensions européennes apparaît, d’une part, infondée dans la mesure où les différents noms de domaines ([…] pour la France, […] pour l’Espagne, […] pour l’Australie etc.) ne représentent que des chemins techniques permettant d’accéder à un traitement unique, et, d’autre part, imparfaite dans la mesure où les liens déréférencés demeurent accessibles depuis les extensions non européennes du moteur de recherche.

Ainsi tout internaute, où qu’il se situe, est à même d’avoir accès à des pages web déréférencées en effectuant sa recherche à partir d’une extension non européenne du moteur de recherche.

Une telle mesure ne permet pas de répondre aux impératifs d’efficacité, de complétude, d’effectivité et de non contournement qui s’imposent au regard de la décision précitée de la CJUE en ce que l’atteinte à la vie privée et à la protection des données à caractère personnel des personnes concernées persiste.

Dès lors, seul un déréférencement sur l’ensemble du moteur de recherche est de nature à permettre une protection effective des droits des personnes.

En conséquence, la formation restreinte considère que c’est à bon droit qu’il a été reproché à la société, dans la décision de mise en demeure du 21 mai 2015, de ne pas procéder aux déréférencements sur toutes les extensions du nom de domaine du moteur de recherche.

Dans la mesure où aucune modification n’a été apportée par la société X dans le délai imparti par la mise en demeure, malgré la tenue d’une réunion explicative avec les services de la Commission et la prorogation du délai, le manquement aux articles 38 et 40 précités est caractérisé.

Dans une lettre adressée à la Présidente du G29 le 21 janvier 2016, soit postérieurement à l’échéance du délai de mise en conformité, la société a pris l’engagement d’améliorer son dispositif de déréférencement. Elle indique que celui-ci sera étendu à l’intégralité des extensions de son moteur de recherche (dont les versions déclinées pour les pays situés hors de l’Union européenne) lorsque la requête apparait comme émanant du pays du demandeur, (...), le pays étant déterminé en priorité par l’adresse IP de l’utilisateur.

La formation restreinte note que cette modalité constitue une avancée.

Toutefois, elle relève que le critère de la localisation de l’adresse IP, qui fait varier la protection accordée à un résident européen en fonction de l’origine géographique de celui qui interroge le moteur de recherche, n’est par principe pas satisfaisant en ce que, d’une part, l’information déréférencée demeure consultable par tout internaute situé en dehors du territoire concerné par la mesure de filtrage et, d’autre part, qu’un contournement de cette mesure par les utilisateurs concernés demeure possible.

En effet, appliquée à la France, cette solution empêche un résident français d’accéder au contenu déréférencé depuis le territoire français mais non hors de ce territoire. Ainsi, il pourra toujours y avoir accès lors d’un séjour dans l’Union européenne en interrogeant une extension hors Union européenne du moteur de recherche depuis une connexion Wi-fi ou encore lors d’un déplacement hors Union européenne, quel que soit le type de connexion utilisée, en interrogeant la version locale du moteur de recherche.

Par ailleurs, les zones frontalières du territoire national bénéficiant souvent d’une double couverture par le réseau téléphonique français et par le réseau téléphonique étranger, un résident français pourra échapper à la mesure de filtrage par l’attribution d’une adresse IP étrangère alors même qu’il se situe sur le territoire national.

Enfin, il existe des solutions techniques qui permettent de contourner la mesure de filtrage proposée par la société en permettant à l’internaute de choisir l’origine géographique de son adresse IP (utilisation d’un VPN par exemple).

En tout état de cause, n’importe quel internaute situé en dehors du territoire français ne sera pas concerné par la mesure de filtrage et pourra continuer à avoir accès aux informations déréférencées en interrogeant les extensions non européennes du moteur de recherche s’il réside dans l’Union Européenne ou n’importe quelle version de […] s’il se situe en dehors de l’Union européenne. Or, la protection d’un droit fondamental ne peut varier en fonction du destinataire de la donnée. Le droit européen, comme le droit national, prévoit que la personne concernée peut exercer son droit à l’égard d’un traitement de données, sans que les éventuelles différences de destinataires n’aient d’incidence.

Ainsi, la solution proposée par la société demeure incomplète.

Cette mesure complémentaire ne permet pas d’atteindre l’objectif imposé par la directive, et rappelé par la Cour de justice, de permettre aux résidents européens de bénéficier d’une protection efficace et complète de leurs droits fondamentaux, dont la Commission est chargée d’assurer le respect s’agissant des demandes de déréférencement présentées par des résidents français.

Seule une mesure s’appliquant à l’intégralité du traitement lié au moteur de recherche, sans distinction entre les extensions interrogées et l’origine géographique de l’internaute effectuant une recherche est juridiquement à même de répondre à l’exigence de protection telle que consacrée par la CJUE.

La formation restreinte considère que la solution proposée après expiration du délai imparti n’aurait, en tout état de cause, pas permis de justifier d’une mise en conformité avec le dispositif de la mise en demeure ni d’assurer le plein respect des articles 38 et 40 précités.

  1. Sur la sanction et la publicité

Eu égard à la persistance des manquements aux articles 38 et 40 de la loi n°78-17 du 6 janvier 1978 modifiée, tels qu’ils ont été préalablement constatés dans la mise en demeure adoptée par la Présidente de la Commission le 21 mai 2015, il sera prononcé à l’encontre de la société X une sanction pécuniaire publique d’un montant de 100 000 € (cent mille euros).

Compte tenu de la nécessité d’informer les moteurs de recherche et les internautes de la portée respective de leurs obligations et droits en matière de déréférencement, à la suite de la décision de la CJUE du 13 mai 2014 consacrant l’existence de ce droit, la formation restreinte décide de rendre sa décision publique.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

- De prononcer une sanction pécuniaire d’un montant de 100.000 euros à l’encontre de la société X ;

- De rendre publique sa délibération.

Le Président

Jean-François CARREZ

Cette décision peut faire l’objet d’un recours devant le Conseil d’Etat dans un délai de deux mois à compter de sa notification.




Nature de la délibération: SANCTION
Date de la publication sur legifrance: 26 mars 2016