–

Google LLC ved avocats P. Spinosi, Y. Pelosi og W. Maxwell,

–

Commission nationale de l’informatique et des libertés (CNIL) ved I. Falque-Pierrotin, J. Lessi og G. Le Grand, som befuldmægtigede,

–

Wikimedia Foundation Inc. ved avocate C. Rameix-Seguin,

–

Fondation pour la liberté de la presse ved avocat T. Haas,

–

Microsoft Corp. ved avocat E. Piwnica,

–

Reporters Committee for Freedom of the Press m.fl. ved avocat F. Louis og Rechtsanwälte H.-G. Kamann, C. Schwedler og M. Braun,

–

Article 19 m.fl. ved avocat G. Tapie, G. Facenna, QC, og barrister E. Metcalfe,

–

Internet Freedom Foundation m.fl. ved avocat T. Haas,

–

Défenseur des droits ved J. Toubon, som befuldmægtiget,

–

den franske regering ved D. Colas, R. Coesme, E. de Moustier og S. Ghiandoni, som befuldmægtigede,

–

Irland ved M. Browne, G. Hodge, J. Quaney og A. Joyce, som befuldmægtigede, bistået af M. Gray, BL,

–

den græske regering ved E.-M. Mamouna, G. Papadaki, E. Zisi og S. Papaioannou, som befuldmægtigede,

–

den italienske regering ved G. Palmieri, som befuldmægtiget, bistået af avvocato dello Stato R. Guizzi,

–

den østrigske regering ved G. Eberhard og G. Kunnert, som befuldmægtigede,

–

den polske regering ved B. Majczyna, M. Pawlicka og J. Sawicka, som befuldmægtigede,

–

Europa-Kommissionen ved A. Buchet, H. Kranenborg og D. Nardi, som befuldmægtigede,

1

Anmodningen om præjudiciel afgørelse vedrører fortolkningen af Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (EFT 1995, L 281, s. 31).

2

Denne anmodning er indgivet i forbindelse med en tvist mellem Google LLC, indtrådt i Google Inc.’s rettigheder, og Commission nationale de l’informatique et des libertés (CNIL) (Den nationale kommission for databehandling og frihedsrettigheder) (Frankrig) vedrørende en sanktion på 100000 EUR, som sidstnævnte har pålagt Google grundet dette selskabs nægtelse af, når det efterkommer en anmodning om at få fjernet links, at gennemføre denne fjernelse for alle dets søgemaskines domænenavne.

3

Direktiv 95/46 har ifølge dette direktivs artikel 1 til formål at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder, især retten til privatlivets fred, i forbindelse med behandling af personoplysninger samt at fjerne hindringer for den frie udveksling af disse oplysninger.

4

2., 7., 10., 18., 20. og 37. betragtning til direktiv 95/46 har følgende ordlyd:

[…]

[…]

[…]

[…]

[…]

5

Direktivets artikel 2 bestemmer:

»I dette direktiv forstås ved:

[…]

[…]«

6

Nævnte direktivs artikel 4 med overskriften »Gældende national ret« bestemmer:

»1.   Medlemsstaterne anvender de nationale bestemmelser, de vedtager til gennemførelse af dette direktiv, på behandling af personoplysninger:

2.   I det i stk. 1, litra c), omhandlede tilfælde udpeger den registeransvarlige en repræsentant, der er etableret på den pågældende medlemsstats område, uden at dette i øvrigt berører eventuelle retslige skridt mod den registeransvarlige selv.«

7

Artikel 9 i direktiv 95/46 med overskriften »Behandling af personoplysninger og ytringsfriheden« fastsætter:

»Medlemsstaterne fastsætter i forbindelse med behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, kun fritagelser eller undtagelser fra bestemmelserne i dette kapitel og i kapitel IV og VI, for så vidt som de er nødvendige for at forene retten til privatlivets fred med reglerne for ytringsfrihed.«

8

Dette direktivs artikel 12 med overskriften »Ret til indsigt« bestemmer:

»Medlemsstaterne sikrer enhver registreret ret til hos den registeransvarlige

[…]

[…]«

9

Nævnte direktivs artikel 14 med overskriften »Den registreredes indsigelsesret« fastsætter:

»Medlemsstaterne indrømmer den registrerede ret til

[…]«

10

Artikel 24 i direktiv 95/46 med overskriften »Sanktioner« bestemmer:

»Medlemsstaterne træffer de nødvendige foranstaltninger til at sikre, at dette direktiv gennemføres i fuldt omfang, og de fastsætter bl. a. de sanktioner, der skal finde anvendelse i tilfælde af overtrædelse af de bestemmelser, der vedtages til dette direktivs gennemførelse.«

11

Direktivets artikel 28 med overskriften »Tilsynsmyndighed« har følgende ordlyd:

»1.   Hver medlemsstat drager omsorg for, at der udpeges en eller flere offentlige myndigheder, der har til opgave på dens område at påse overholdelsen af de bestemmelser, medlemsstaten vedtager til gennemførelse af dette direktiv.

[…]

3.   Hver tilsynsmyndighed skal bl.a. kunne:

[…]

Afgørelser truffet af tilsynsmyndigheden, som går en involveret part imod, kan indbringes for en retsinstans.

4.   Enhver kan, eventuelt repræsenteret ved en sammenslutning, til tilsynsmyndigheden indgive en anmodning om beskyttelse af sine rettigheder og frihedsrettigheder i forbindelse med behandling af personoplysninger. Den pågældende underrettes om, hvorledes sagen følges op.

[…]

6.   Den enkelte tilsynsmyndighed er, uanset hvilken national lov der måtte gælde for den pågældende behandling, kompetent til på sin medlemsstats område at udøve de beføjelser, der tillægges den i overensstemmelse med stk. 3 i denne artikel. Myndigheden kan blive anmodet om at udøve sine beføjelser af en myndighed i en anden medlemsstat.

Tilsynsmyndighederne samarbejder med hinanden i det omfang, det er nødvendigt for at opfylde deres pligter, navnlig ved at udveksle alle nyttige oplysninger.

[…]«

12

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT 2016, L 119, s. 1, og berigtigelse EUT 2018, L 127, s. 2), som er vedtaget på grundlag af artikel 16 TEUF, finder i henhold til forordningens artikel 99, stk. 2, anvendelse fra den 25. maj 2018. Denne forordnings artikel 94, stk. 1, bestemmer, at direktiv 95/46 ophæves med virkning fra samme dato.

13

Følgende fremgår af 1., 4., 9.-11., 13., 22.-25. og 65. betragtning til denne forordning:

[…]

[…]

[…]

[…]

[…]

14

Artikel 3 i forordning 2016/679 med overskriften »Territorialt anvendelsesområde« har følgende ordlyd:

»1.   Denne forordning finder anvendelse på behandling af personoplysninger, som foretages som led i aktiviteter, der udføres for en dataansvarlig eller en databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen eller ej.

2.   Denne forordning finder anvendelse på behandling af personoplysninger om registrerede, der er i Unionen, og som foretages af en dataansvarlig eller databehandler, der ikke er etableret i Unionen, hvis behandlingsaktiviteterne vedrører:

3.   Denne forordning anvendes på behandling af personoplysninger, som foretages af en dataansvarlig, der ikke er etableret i Unionen, men et sted, hvor medlemsstaternes nationale ret gælder i medfør af folkeretten.«

15

Forordningens artikel 4, nr. 23), definerer begrebet »grænseoverskridende behandling« som følger:

16

Nævnte forordnings artikel 17 med overskriften »Ret til sletning (»retten til at blive glemt«)« har følgende ordlyd:

»1.   Den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af følgende forhold gør sig gældende:

[…]

3.   Stk. 1 og 2 finder ikke anvendelse, i det omfang denne behandling er nødvendig:

[…]«

17

Samme forordnings artikel 21 med overskriften »Ret til indsigelse« bestemmer i stk. 1:

»Den registrerede har til enhver tid ret til af grunde, der vedrører den pågældendes særlige situation, at gøre indsigelse mod behandling af sine personoplysninger baseret på artikel 6, stk. 1, litra e) eller f), herunder profilering baseret på disse bestemmelser. Den dataansvarlige må ikke længere behandle personoplysningerne, medmindre den dataansvarlige påviser vægtige legitime grunde til behandlingen, der går forud for registreredes interesser, rettigheder og frihedsrettigheder, eller behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.«

18

Artikel 55 i forordning 2016/679 med overskriften »Kompetence«, som er indeholdt i denne forordnings kapitel VI, der har overskriften »Uafhængige tilsynsmyndigheder«, bestemmer i stk. 1:

»Hver tilsynsmyndighed er kompetent til at udføre de opgaver og udøve de beføjelser, der tillægges den i overensstemmelse med denne forordning, på sin egen medlemsstats område.«

19

Denne forordnings artikel 56 med overskriften »Den ledende tilsynsmyndigheds kompetence« har følgende ordlyd:

»1.   Uden at det berører artikel 55, er tilsynsmyndigheden for den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering kompetent til at fungere som ledende tilsynsmyndighed for den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler efter proceduren i artikel 60.

2.   Uanset stk. 1 er hver tilsynsmyndighed kompetent til at behandle en indgivet klage eller en eventuel overtrædelse af denne forordning, hvis genstanden alene vedrører en etablering i dens medlemsstat eller alene i væsentlig grad påvirker registrerede i dens medlemsstat.

3.   I de i denne artikels stk. 2 omhandlede tilfælde underretter tilsynsmyndigheden straks den ledende tilsynsmyndighed om dette forhold. Den ledende tilsynsmyndighed beslutter inden for en frist på tre uger efter at være blevet underrettet, om den vil behandle sagen efter proceduren i artikel 60 under hensyntagen til, hvorvidt den dataansvarlige eller databehandleren er etableret i den underrettende tilsynsmyndigheds medlemsstat.

4.   Hvis den ledende tilsynsmyndighed beslutter at behandle sagen, finder proceduren i artikel 60 anvendelse. Den tilsynsmyndighed, der underrettede den ledende tilsynsmyndighed, kan forelægge den ledende tilsynsmyndighed et udkast til afgørelse. Den ledende tilsynsmyndighed tager størst muligt hensyn til dette udkast, når den udarbejder udkastet til afgørelse, jf. artikel 60, stk. 3.

5.   Beslutter den ledende tilsynsmyndighed ikke at behandle sagen, behandler den tilsynsmyndighed, der forelagde sagen for den ledende tilsynsmyndighed, sagen i overensstemmelse med artikel 61 og 62.

6.   Den ledende tilsynsmyndighed er den dataansvarliges eller databehandlerens eneste kontakt i forbindelse med den grænseoverskridende behandling, der foretages af denne dataansvarlige eller databehandler.«

20

Samme forordnings artikel 58 med overskriften »Beføjelser« fastsætter i stk. 2:

»Hver tilsynsmyndighed har alle af følgende korrigerende beføjelser:

[…]

[…]

21

I kapitel VII i forordning 2016/679 med overskriften »Samarbejde og sammenhæng« indeholder afdeling I med overskriften »Samarbejde« denne forordnings artikel 60-62. Denne artikel 60 med overskriften »Samarbejde mellem den ledende tilsynsmyndighed og de andre berørte tilsynsmyndigheder« bestemmer:

»1.   Den ledende tilsynsmyndighed samarbejder i henhold til denne artikel med de andre berørte tilsynsmyndigheder med henblik på at nå til enighed. Den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder udveksler alle relevante oplysninger med hinanden.

2.   Den ledende tilsynsmyndighed kan til enhver tid anmode andre berørte tilsynsmyndigheder om at yde gensidig bistand i henhold til artikel 61 og kan gennemføre fælles aktiviteter i henhold til artikel 62, navnlig med henblik på at foretage undersøgelser eller overvåge gennemførelsen af en foranstaltning vedrørende en dataansvarlig eller en databehandler, der er etableret i en anden medlemsstat.

3.   Den ledende tilsynsmyndighed underretter straks de andre berørte tilsynsmyndigheder om sagens relevante oplysninger. Den forelægger straks de andre berørte tilsynsmyndigheder et udkast til afgørelse med henblik på deres udtalelse og tager behørigt hensyn til deres synspunkter.

4.   Hvis en af de andre berørte tilsynsmyndigheder inden for fire uger efter at være blevet hørt, jf. denne artikels stk. 3, fremkommer med en relevant og begrundet indsigelse mod udkastet til afgørelse, forelægger den ledende tilsynsmyndighed, hvis den ikke følger den relevante og begrundede indsigelse eller er af den opfattelse, at indsigelsen ikke er relevant eller begrundet, sagen for den sammenhængsmekanisme, der er omhandlet i artikel 63.

5.   Agter den ledende tilsynsmyndighed at følge den relevante og begrundede indsigelse, forelægger den de andre berørte tilsynsmyndigheder et revideret udkast til afgørelse med henblik på deres udtalelse. Dette reviderede udkast til afgørelse er underlagt den i stk. 4 omhandlede procedure inden for en frist på to uger.

6.   Har ingen af de andre berørte tilsynsmyndigheder gjort indsigelse mod udkastet til afgørelse, som den ledende tilsynsmyndighed har forelagt inden for den frist, der er omhandlet i stk. 4 og 5, anses den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder for at være enige i dette udkast til afgørelse og er bundet af det.

7.   Den ledende tilsynsmyndighed vedtager og meddeler afgørelsen til den dataansvarliges eller databehandlerens hovedvirksomhed eller eneste etablering, alt efter omstændighederne, og underretter de andre berørte tilsynsmyndigheder og Databeskyttelsesrådet om den pågældende afgørelse, herunder et resumé af de relevante faktiske omstændigheder og begrundelser. Den tilsynsmyndighed, til hvilken der er indgivet klage, underretter klageren om afgørelsen.

8.   Hvis en klage er blevet afslået eller afvist, vedtager den tilsynsmyndighed, til hvilken klagen er indgivet, uanset stk. 7, afgørelsen og meddeler denne til klageren og underretter den dataansvarlige herom.

9.   Hvis den ledende tilsynsmyndighed og de berørte tilsynsmyndigheder er enige om at afslå eller afvise dele af en klage og at behandle andre dele af klagen, vedtages der en særskilt afgørelse for hver af disse dele af sagen. […]

10.   Den dataansvarlige eller databehandleren træffer efter at være blevet underrettet om den ledende tilsynsmyndigheds afgørelse i henhold til stk. 7 og 9 de nødvendige foranstaltninger til at sikre overholdelse af afgørelsen for så vidt angår behandlingsaktiviteter i forbindelse med alle vedkommendes etableringer i Unionen. Den dataansvarlige eller databehandleren underretter den ledende tilsynsmyndighed, der underretter de andre berørte tilsynsmyndigheder, om de foranstaltninger, der er truffet for at overholde afgørelsen.

11.   Hvis en berørt tilsynsmyndighed under ekstraordinære omstændigheder har grund til at mene, at det er nødvendigt at handle omgående for at beskytte registreredes interesser, finder den i artikel 66 omhandlede hasteprocedure anvendelse.

[…]«

22

Nævnte forordnings artikel 61 med overskriften »Gensidig bistand« fastsætter i stk. 1:

»Tilsynsmyndighederne udveksler relevante oplysninger og yder hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde og træffer foranstaltninger med henblik på et effektivt samarbejde med hinanden. Gensidig bistand omfatter navnlig anmodninger om oplysninger og tilsynsforanstaltninger, som f.eks. anmodninger om gennemførelse af forudgående godkendelser og høringer, inspektioner og undersøgelser.«

23

Samme forordnings artikel 62 med overskriften »Tilsynsmyndigheders fælles aktiviteter« bestemmer:

»1.   Hvis det er hensigtsmæssigt, gennemfører tilsynsmyndighederne fælles aktiviteter, herunder fælles undersøgelses- og håndhævelsesforanstaltninger, som medlemmer eller medarbejdere fra andre medlemsstaters tilsynsmyndigheder deltager i.

2.   Hvis den dataansvarlige eller databehandleren har etableringer i flere medlemsstater, eller hvor et betydeligt antal registrerede i mere end én medlemsstat sandsynligvis påvirkes i væsentlig grad af behandlingsaktiviteter, har tilsynsmyndigheden i hver af disse medlemsstater ret til at deltage i fælles aktiviteter. […]«

24

Afdeling 2 med overskriften »Sammenhæng«, som indgår i kapitel VII i forordning 2016/679, indeholder denne forordnings artikel 63-67. Denne artikel 63 med overskriften »Sammenhængsmekanisme« har følgende ordlyd:

»Med henblik på at bidrage til en ensartet anvendelse af denne forordning i hele Unionen samarbejder tilsynsmyndighederne med hinanden og, hvis det er relevant, med Kommissionen gennem den sammenhængsmekanisme, der er omhandlet i denne afdeling.«

25

Nævnte forordnings artikel 65 med overskriften »Tvistbilæggelse ved Databeskyttelsesrådet« bestemmer i stk. 1:

»Med henblik på at sikre korrekt og konsekvent anvendelse af denne forordning i hvert enkelt tilfælde vedtager Databeskyttelsesrådet en bindende afgørelse i følgende tilfælde:

[…]«

26

Samme forordnings artikel 66 med overskriften »Hasteprocedure« bestemmer i stk. 1:

»Når en berørt tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, kan den uanset den i artikel 63, 64 og 65 omhandlede sammenhængsmekanisme eller den i artikel 60 omhandlede procedure omgående træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet gyldighedsperiode, som ikke må overstige tre måneder. Tilsynsmyndigheden meddeler straks de andre berørte tilsynsmyndigheder, Databeskyttelsesrådet og Kommissionen disse foranstaltninger og en begrundelse for vedtagelsen heraf.«

27

Artikel 85 i forordning 2016/679 med overskriften »Behandling og ytrings- og informationsfriheden« bestemmer:

»1.   Medlemsstaterne forener ved lov retten til beskyttelse af personoplysninger i henhold til denne forordning med retten til ytrings- og informationsfrihed, herunder behandling i journalistisk øjemed og med henblik på akademisk, kunstnerisk eller litterær virksomhed.

2.   Til behandling i journalistisk øjemed eller med henblik på akademisk, kunstnerisk eller litterær virksomhed fastsætter medlemsstaterne undtagelser eller fravigelser fra kapitel II (principper), kapitel III (den registreredes rettigheder), kapitel IV (dataansvarlig og databehandler), kapitel V (overførsel af personoplysninger til tredjelande eller internationale organisationer), kapitel VI (uafhængige tilsynsmyndigheder), kapitel VII (samarbejde og sammenhæng) og kapitel IX (specifikke databehandlingssituationer), hvis de er nødvendige for at forene retten til beskyttelse af personoplysninger med ytrings- og informationsfriheden.

[…]«

28

Direktiv 95/46 er blevet gennemført i fransk ret ved loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (lov nr. 78-17 af 6.1.1978 om informationsteknologi, registre og frihedsrettigheder) i den affattelse, der finder anvendelse på de faktiske omstændigheder i hovedsagen (herefter »lov af 6. januar 1978«).

29

Denne lovs artikel 45 præciserer, at når en registeransvarlig ikke overholder de forpligtelser, der følger af nævnte lov, kan formanden for CNIL pålægge vedkommende at ophøre med den konstaterede overtrædelse inden for en fastsat frist. Hvis den registeransvarlige ikke efterkommer det påbud, der er blevet udstedt til denne, kan CNIL i ordinær sammensætning efter en kontradiktorisk procedure bl.a. pålægge en økonomisk sanktion.

30

Ved afgørelse af 21. maj 2015 udstedte formanden for CNIL et pålæg til Google om, at selskabet, når det efterkommer en anmodning fra en fysisk person om at få fjernet links til websider fra den resultatliste, der vises efter en søgning på den anmodende persons navn, skal foretage fjernelsen på alle selskabets søgemaskines domæneendelser.

31

Google nægtede at efterkomme dette pålæg og nøjedes med alene at slette de omhandlede links fra den resultatliste, der vises efter søgninger foretaget fra domænenavne, der svarer til de forskellige udgaver af dens søgemaskine i medlemsstaterne.

32

Endvidere fandt CNIL, at det supplerende forslag om såkaldt »geoblokering«, som Google fremsatte efter udløbet af fristen for pålægget, og som bestod i at fjerne muligheden for fra en IP-adresse (Internet Protokol), der antages at være lokaliseret i den stat, hvor den omhandlede person er bosat, at få adgang til de omtvistede resultater efter en søgning foretaget på den pågældendes navn, uanset hvilken udgave af søgemaskinen internetbrugeren benytter, var utilstrækkeligt.

33

Efter at have fastslået, at Google ikke inden den fastsatte frist havde efterkommet pålægget, udstedte CNIL ved afgørelse af 10. marts 2016 en bøde til Google på 100000 EUR og offentliggjorde denne sanktion.

34

Ved stævning indgivet til Conseil d’État (øverste domstol i forvaltningsretlige sager) (Frankrig) har Google nedlagt påstand om annullation af denne afgørelse.

35

Conseil d’État (øverste domstol i forvaltningsretlige sager) har fastslået, at den behandling af personoplysninger, som den af Google udbudte søgemaskine udfører, er omfattet af anvendelsesområdet for lov af 6. januar 1978, når henses til den reklame og det salg af reklameplads, som dets datterselskab Google France varetager i Frankrig.

36

Conseil d’État (øverste domstol i forvaltningsretlige sager) har i øvrigt anført, at Google driver sin søgemaskine med forskellige domænenavne ved hjælp af geografiske domæneendelser for at tilpasse de viste resultater til de særlige træk, især sproglige, der kendetegner de forskellige stater, hvori dette selskab driver virksomhed. Når søgningen foretages fra »google.com«, foretager Google i princippet en automatisk omdirigering af denne søgning til det domænenavn, hvis endelse svarer til den stat, hvorfra søgningen takket være identificeringen af internetbrugerens IP-adresse antages at være foregået. Uafhængigt af denne lokalisering har internetbrugeren imidlertid mulighed for at foretage sine søgninger på søgemaskinens andre domænenavne. Selv om resultaterne kan variere, alt efter hvilket af søgemaskinens domænenavne søgningen er foregået på, er det imidlertid ubestridt, at de links, der vises som resultat af en søgning, hidrører fra fælles databaser og en fælles indeksering.

37

I betragtning af den omstændighed, dels at domænenavnene for Googles søgemaskine alle kan tilgås fra fransk område, dels at der findes gateways mellem disse domænenavne, hvilket navnlig illustreres af den automatiske omdirigering og forekomsten af beviser for forbindelserne, navnlig »cookies«, på andre af søgemaskinens domæneendelser end den, hvor de først blev lagret, er det Conseil d’États (øverste domstol i forvaltningsretlige sager) opfattelse, at denne søgemaskine, som i øvrigt kun har været genstand for en enkelt anmeldelse over for CNIL, i henhold til lov af 6. januar 1978 bør anses for at foretage én enkelt behandling af personoplysninger. Det følger heraf, at den behandling af personoplysninger, som foretages af Googles søgemaskine, foregår hos en af selskabets enheder, Google France, som er etableret på fransk område og dermed er omfattet af lov af 6. januar 1978.

38

Google har for Conseil d’État (øverste domstol i forvaltningsretlige sager) gjort gældende, at den omtvistede sanktion er baseret på en fejlagtig fortolkning af bestemmelserne i lov af 6. januar 1978, som gennemfører artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46, på grundlag af hvilke bestemmelser Domstolen i sin dom af 13. maj 2014, Google Spain og Google (C-131/12, EU:C:2014:317), anerkendte en »ret til at få fjernet links«. Google har gjort gældende, at denne ret ikke nødvendigvis indebærer, at de omtvistede links uden geografisk begrænsning skal fjernes fra alle søgemaskinens domænenavne. Derudover har CNIL ved at vælge en sådan fortolkning tilsidesat princippet om venskabeligt samkvem og princippet om ikke-indblanding som anerkendt i folkeretten og har foretaget et uforholdsmæssigt indgreb i ytrings-, informations-, kommunikations- og pressefriheden, som navnlig garanteres af bestemmelserne i chartrets artikel 11.

39

Efter at have konstateret, at denne argumentation frembyder flere alvorlige vanskeligheder med hensyn til fortolkningen af direktiv 95/46, har Conseil d’État (øverste domstol i forvaltningsretlige sager) besluttet at udsætte sagen og forelægge Domstolen følgende præjudicielle spørgsmål:

40

Hovedsagen har sit udspring i en tvist mellem Google og CNIL vedrørende spørgsmålet om, på hvilken måde en søgemaskineudbyder, når denne udbyder konstaterer, at den registrerede har ret til at få slettet et eller flere links til websider med personoplysninger vedrørende den pågældende fra den resultatliste, der vises efter en søgning på denne persons navn, skal gennemføre denne ret til at få slettet links. Selv om direktiv 95/46 fandt anvendelse på det tidspunkt, hvor anmodningen om præjudiciel afgørelse blev indgivet, er dette direktiv blevet ophævet med virkning fra den 25. maj 2018, fra hvilken dato at regne forordning 2016/679 finder anvendelse.

41

Domstolen vil undersøge de forelagte spørgsmål såvel med hensyn til dette direktiv som denne forordning med henblik på at sikre, at dens besvarelser under alle omstændigheder er fyldestgørende for den forelæggende ret.

42

Under retsforhandlingerne for Domstolen har Google anført, at selskabet efter indgivelsen af anmodningen om præjudiciel afgørelse har indført en ny udformning af de nationale udgaver af dets søgemaskine, i forbindelse med hvilken det domænenavn, som internetbrugeren anvender, ikke længere er afgørende for, hvilken national udgave af søgemaskinen internetbrugeren får adgang til. Således bliver internetbrugeren nu automatisk ledt til den nationale udgave af Googles søgemaskine, som svarer til det sted, hvorfra internetbrugeren antages at foretage sin søgning, og resultaterne af denne søgning vises som en funktion af dette sted, som Google bestemmer ved hjælp af en geolokaliseringsprocedure.

43

Under disse omstændigheder skal de forelagte spørgsmål, som behandles samlet, forstås således, at det nærmere bestemt ønskes oplyst, om artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 og artikel 17, stk. 1, i forordning 2016/679 skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse for alle udgaver af søgemaskineudbyderens søgemaskiner, eller om udbyderen derimod kun er forpligtet til at foretage denne fjernelse for de udgaver af søgemaskinen, der svarer til alle medlemsstaterne, henholdsvist udelukkende fra den udgave, der svarer til den medlemsstat, hvor anmodningen om at få fjernet links er blevet indgivet, efter omstændighederne i forbindelse med anvendelse af den teknik, der kaldes »geoblokering«, med henblik på at sikre, at en internetbruger, uanset hvilken national udgave af søgemaskinen der anvendes, ikke i forbindelse med en søgning fra en IP-adresse, der antages at være lokaliseret i den medlemsstat, hvor den person, der har ret til at få fjernet links, er bosat, eller mere generelt i en medlemsstat, kan få adgang til de links, der er omfattet af retten til at få fjernet links.

44

Det bemærkes indledningsvis, at Domstolen har fastslået, at artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 skal fortolkes således, at en søgemaskineudbyder med henblik på at overholde de rettigheder, der er fastsat i bestemmelserne, og for så vidt som de betingelser, der er fastsat i direktivet, faktisk er opfyldt, er forpligtet til fra den resultatliste, der vises efter en søgning på en persons navn, at fjerne link til websider, som er offentliggjort af tredjemand og indeholder oplysninger vedrørende denne person, også i det tilfælde, hvor dette navn eller disse oplysninger ikke forudgående eller samtidig slettes fra disse websider, og i givet fald selv når offentliggørelsen på disse sider i sig selv er lovlig (dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 88).

45

Domstolen har derudover præciseret, at det inden for rammerne af bedømmelsen af betingelserne for disse samme bestemmelsers anvendelse bl.a. skal undersøges, om den berørte person har ret til, at den pågældende oplysning vedrørende personen på nuværende tidspunkt ikke længere knyttes til personens navn på en resultatliste, der vises efter en søgning på dette navn, uden at det med henblik på konstateringen af, at en sådan ret findes, herved er et krav, at inklusionen af den pågældende oplysning på resultatlisten skader den berørte person. Da den berørte person, henset til den pågældendes grundlæggende rettigheder i medfør af artikel 7 og 8 i Den Europæiske Unions charter om grundlæggende rettigheder, kan anmode om, at den pågældende oplysning ikke længere stilles til rådighed for den brede offentlighed ved sin inklusion på en sådan resultatliste, går disse rettigheder i princippet forud for ikke blot søgemaskineudbyderens økonomiske interesse, men også for offentlighedens interesse i at få adgang til nævnte oplysning ved en søgning på denne persons navn. Dette er imidlertid ikke tilfældet, såfremt det af særlige grunde, såsom den rolle, som nævnte person har i det offentlige liv, fremgår, at indgrebet i personens grundlæggende rettigheder er begrundet i offentlighedens vægtige interesse i at have adgang til den pågældende oplysning via inklusionen på resultatlisten (dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 99).

46

Inden for rammerne af forordning 2016/679 finder den registreredes ret til at få fjernet links nu sit grundlag i denne forordnings artikel 17, som specifikt regulerer »retten til sletning«, som ligeledes i denne artikels overskrift benævnes »retten til at blive glemt«.

47

I henhold til artikel 17, stk. 1, i forordning 2016/679 har den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette disse oplysninger uden unødig forsinkelse, hvis et af de forhold, der opregnes i denne bestemmelse, gør sig gældende. Denne forordnings artikel 17, stk. 3, præciserer, at artikel 17, stk. 1, ikke finder anvendelse, for så vidt som den omhandlede behandling er nødvendig af en af de grunde, der opregnes i denne førstnævnte bestemmelse. Disse grunde omfatter navnlig, jf. nævnte forordnings artikel 17, stk. 3, litra a), internetbrugernes udøvelse af bl.a. retten til informationsfrihed.

48

Det følger af artikel 4, stk. 1, litra a), i direktiv 95/46 og artikel 3, stk. 1, i forordning 2016/679, at såvel dette direktiv som denne forordning giver de registrerede ret til at gøre deres ret til at få links fjernet gældende over for en søgemaskineudbyder, der råder over et eller flere etableringssteder på Unionens område, når søgemaskineudbyderen som led i disse etableringssteders aktiviteter foretager en behandling af personoplysninger vedrørende de registrerede, og det uafhængigt af, hvorvidt denne behandling finder sted inden for Unionen.

49

I denne forbindelse har Domstolen fastslået, at en behandling af personoplysninger foretages som led i aktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ, når en søgemaskineudbyder etablerer en filial eller et datterselskab i en medlemsstat, der skal sørge for reklame og salg af reklameplads i søgemaskinen, og hvis aktivitet er rettet mod indbyggerne i denne medlemsstat (dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 60).

50

Under sådanne omstændigheder er søgemaskineudbyderens aktiviteter og de aktiviteter, der foretages af søgemaskineudbyderens virksomhed eller organ i Unionen, nemlig uløseligt forbundne, eftersom aktiviteterne vedrørende reklameplads udgør midlet, der gør den omhandlede søgemaskine økonomisk rentabel, og denne søgemaskine samtidig er det middel, der gør det muligt at gennemføre aktiviteterne, idet resultatvisningen på den samme side ledsages af reklamer, der er knyttet til søgeordene (jf. i denne retning dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 56 og 57).

51

Under disse omstændigheder kan det forhold, at denne søgemaskine drives af en virksomhed fra et tredjeland, ikke have til følge, at en behandling af personoplysninger, der foretages med henblik på denne søgemaskines funktion i forbindelse med reklame- og forretningsaktiviteter, der inden for en medlemsstats område udføres af en registeransvarligs virksomhed eller organ, falder uden for de forpligtelser og garantier, der er fastsat i direktiv 95/46 og forordning 2016/679 (jf. i denne retning dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 58).

52

I den foreliggende sag fremgår det dels af de oplysninger, den forelæggende ret har fremlagt, at Googles etableringssted i Frankrig udøver aktiviteter, navnlig forretningsmæssige og reklamemæssige, som er uløseligt knyttet til behandling af personoplysninger, som foretages med henblik på den pågældende søgemaskines funktion, dels at denne søgemaskine, henset til bl.a. eksistensen af gateways mellem de forskellige nationale udgaver, skal anses for at foretage én enkelt behandling af personoplysninger. Den forelæggende ret er af den opfattelse, at denne behandling under disse omstændigheder foretages inden for rammerne af Googles etableringssted på fransk område. Det fremgår således, at en sådan situation er omfattet af det territoriale anvendelsesområde for direktiv 95/46 og forordning 2016/679.

53

Med sine spørgsmål søger den forelæggende ret at få fastlagt den territoriale rækkevidde, som skal tillægges en ret til at få fjernet links i en tilsvarende situation.

54

Det fremgår i denne henseende af 10. betragtning til direktiv 95/46 og 10., 11. og 13. betragtning til forordning 2016/679, som blev vedtaget på grundlag af artikel 16 TEUF, at dette direktivs og denne forordnings formål er at sikre et højt niveau for beskyttelse af personoplysninger i hele Unionen.

55

Ganske vist vil en fjernelse af links fra alle udgaver af en søgemaskine efter sin karakter fuldt ud opfylde dette formål.

56

Internettet er således et verdensomspændende netværk uden grænser, og søgemaskinerne giver de oplysninger og links, der er indeholdt i en resultatliste, der vises efter en søgning på en fysisk persons navn, en allestedsnærværende karakter (jf. i denne retning dom af 13.5.2014, Google Spain og Google, C-131/12, EU:C:2014:317, præmis 80, og af 17.10.2017, Bolagsupplysningen og Ilsjan, C-194/16, EU:C:2017:766, præmis 48).

57

I en globaliseret verden kan internetbrugernes adgang, herunder for dem, der befinder sig uden for Unionen, til links til en forbindelse, der henviser til oplysninger om en person, hvis centrum for interesser befinder sig i Unionen, således have umiddelbare og væsentlige virkninger inden for selve Unionen.

58

Sådanne betragtninger kan begrunde eksistensen af en kompetence for EU-lovgiver til at fastsætte en pligt for en søgemaskineudbyder til, når denne efterkommer en anmodning om at få fjernet links indgivet af en sådan person, at foretage denne fjernelse fra alle udgaver af søgemaskineudbyderens søgemaskiner.

59

Selv om dette er tilfældet, bør det understreges, at talrige tredjelande ikke anerkender retten til at få fjernet links eller har en anden tilgang til denne ret.

60

I øvrigt er retten til beskyttelse af personoplysninger ikke en absolut ret, men skal ses i sammenhæng med sin funktion i samfundet og afvejes i forhold til andre grundlæggende rettigheder i overensstemmelse med proportionalitetsprincippet (jf. i denne retning dom af 9.11.2010, Volker und Markus Schecke og Eifert, C-92/09 og C-93/09, EU:C:2010:662, præmis 48, og udtalelse 1/15 (PNR-aftalen mellem EU og Canada) af 26.7.2017, EU:C:2017:592, præmis 136). Hertil kommer, at afvejningen mellem retten til respekt for privatlivet og beskyttelsen af personoplysninger på den ene side og internetbrugernes informationsfrihed på den anden side kan variere betydeligt rundt om i verden.

61

Selv om EU-lovgiver således i artikel 17, stk. 3, litra a), i forordning 2016/679 har foretaget en afvejning af denne ret og denne frihed for så vidt angår Unionen (jf. i denne retning dom af dags dato, GC m.fl. (Fjernelse af følsomme oplysninger), C-136/17, præmis 59), må det fastslås, at EU-lovgiver derimod ikke for nuværende har foretaget en sådan afvejning for så vidt angår rækkevidden af en ret til at få fjernet links uden for Unionen.

62

Navnlig fremgår det på ingen måde af ordlyden af artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 eller artikel 17 i forordning 2016/679, at EU-lovgiver med henblik på at sikre gennemførelsen af det i denne doms præmis 54 nævnte mål har valgt at tillægge de rettigheder, der er knæsat i disse bestemmelser, en rækkevidde, der går ud over medlemsstaternes område, og at lovgiver har ønsket at pålægge en økonomisk aktør som Google, der er omfattet af dette direktivs og denne forordnings anvendelsesområde, en forpligtelse til at fjerne links, som ligeledes omfatter de nationale udgaver af dennes søgemaskine, som ikke svarer til medlemsstaterne.

63

Selv om forordning 2016/679 i artikel 56 og 60-66 giver medlemsstaternes nationale tilsynsmyndigheder instrumenter og mekanismer, som efter omstændighederne giver dem mulighed for at samarbejde for at nå til en fælles afgørelse på grundlag af en afvejning mellem den registreredes ret til privatlivets fred og beskyttelsen af personoplysninger vedrørende denne, og interessen for offentligheden i de forskellige medlemsstater i at have adgang til oplysninger, må det i øvrigt fastslås, at EU-retten ikke for nuværende foreskriver sådanne samarbejdsinstrumenter og -mekanismer for så vidt angår rækkevidden af en ret til at få fjernet links uden for Unionen.

64

Det følger deraf, at der for nuværende ikke for en søgemaskineudbyder, som efterkommer en anmodning om at få fjernet links fremsat af den registrerede, eventuelt efter et påbud udstedt af en tilsynsmyndighed eller en retsinstans i en medlemsstat, foreligger nogen forpligtelse i henhold til EU-retten til at foretage en sådan fjernelse af links i alle udgaver af udbyderens søgemaskine.

65

Henset til alle disse betragtninger er en søgemaskineudbyder ikke i henhold til artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 samt artikel 17, stk. 1, i forordning 2016/679 forpligtet til at fjerne links i alle udgaver af udbyderens søgemaskine.

66

For så vidt angår spørgsmålet om, hvorvidt en sådan fjernelse skal foretages for de udgaver af søgemaskinen, der svarer til medlemsstaterne, eller kun for den ene udgave af denne søgemaskine, som svarer til den medlemsstat, hvor den person, der får fjernet links, er bosiddende, fremgår det bl.a. af den omstændighed, at EU-lovgiver nu har valgt at fastsætte reglerne om beskyttelse af oplysninger ved en forordning, som er direkte anvendelig i alle medlemsstaterne, for – som det fremgår af tiende betragtning til forordning 2016/679 – at sikre et ensartet og højt niveau for beskyttelse i hele Unionen og for at fjerne hindringerne for udveksling af oplysninger inden for Unionen, at den omhandlede fjernelse af links principielt skal foretages med hensyn til alle medlemsstaterne.

67

Det skal imidlertid fastslås, at den offentlige interesse i adgang til oplysninger selv inden for Unionen kan variere fra medlemsstat til medlemsstat, således at resultatet af den afvejning, der skal foretages mellem på den ene side denne offentlige interesse og på den anden side retten til respekt for privatlivets fred og beskyttelsen af den registreredes personoplysninger, ikke nødvendigvis er den samme i alle medlemsstaterne, så meget desto mere som det i medfør af artikel 9 i direktiv 95/46 og artikel 85 i forordning 2016/679 tilkommer medlemsstaterne at fastsætte de undtagelser og afvigelser vedrørende bl.a. behandling alene i journalistisk øjemed eller med henblik på kunstnerisk eller litterær virksomhed, som er nødvendige for at afveje disse rettigheder med navnlig informationsfriheden.

68

Det følger bl.a. af artikel 56 og 60 i forordning 2016/679, at de forskellige nationale tilsynsmyndigheder for så vidt angår grænseoverskridende behandling som omhandlet i forordningens artikel 4, nr. 23), og under forbehold af denne artikel 56, stk. 2, skal samarbejde efter den procedure, der fastsættes i disse bestemmelser, for at nå til enighed om en fælles afgørelse, som er bindende for alle disse myndigheder, og som den dataansvarlige skal sikre overholdelsen af for så vidt angår behandlingsaktiviteter i forbindelse med alle vedkommendes etableringssteder i Unionen. I øvrigt forpligter artikel 61, stk. 1, i forordning 2016/679 tilsynsmyndighederne til bl.a. at udveksle relevante oplysninger og yde hinanden gensidig bistand med henblik på at gennemføre og anvende denne forordning på en ensartet måde i hele Unionen, og forordningens artikel 63 præciserer, at det er til dette formål, at den i samme forordnings artikel 64 og 65 omhandlede sammenhængsmekanisme er fastsat. Endelig giver den hasteprocedure, der er fastsat i artikel 66 i forordning 2016/679 mulighed for, når en berørt tilsynsmyndighed under ekstraordinære omstændigheder mener, at det er nødvendigt at handle omgående for at beskytte registreredes rettigheder og frihedsrettigheder, at denne myndighed omgående kan træffe foreløbige foranstaltninger, der skal have retsvirkning på dens eget område med en angivet gyldighedsperiode, som ikke må overstige tre måneder.

69

Denne lovgivningsmæssige ramme giver således de nationale tilsynsmyndigheder de nødvendige instrumenter og mekanismer til at forene retten til privatlivets fred og beskyttelse af den registreredes personoplysninger med interessen for den samlede offentlighed i medlemsstaterne i at få adgang til de omhandlede oplysninger, og således til efter omstændighederne at kunne vedtage en afgørelse om fjernelse af links, som omfatter alle de søgninger, der foretages på denne persons navn fra Unionens område.

70

Det påhviler derudover søgemaskineudbyderen om nødvendigt at træffe tilstrækkeligt effektive foranstaltninger for at sikre en effektiv beskyttelse af den registreredes grundlæggende rettigheder. Disse foranstaltninger skal selv opfylde alle de retlige krav og have til virkning at hindre eller i det mindste i høj grad afholde internetbrugerne i medlemsstaterne fra at have adgang til de omhandlede links ud fra en søgning foretaget på denne persons navn (jf. analogt dom af 27.3.2014, UPC Telekabel Wien, C-314/12, EU:C:2014:192, præmis 62, og af 15.9.2016, Mc Fadden, C-484/14, EU:C:2016:689, præmis 96).

71

Det tilkommer den forelæggende ret at efterprøve, om de foranstaltninger Google har vedtaget eller foreslået, henset ligeledes til de nylige ændringer i selskabets søgemaskine, som nævnes i denne doms præmis 42, opfylder disse krav.

72

Det skal endeligt understreges, at selv om EU-retten, som det anføres i denne doms præmis 64, på sit nuværende udviklingstrin ikke kræver, at en ret til at få fjernet links, som efterkommes, skal omfatte alle udgaver af den omhandlede søgemaskine, forbyder den det heller ikke. Derfor er en medlemsstats tilsynsmyndighed eller retsinstans fortsat kompetent til at foretage en afvejning ud fra de nationale standarder for beskyttelse af grundlæggende rettigheder (jf. i denne retning dom af 26.2.2013, Åkerberg Fransson, C-617/10, EU:C:2013:105, præmis 29, og af 26.2.2013, Melloni, C-399/11, EU:C:2013:107, præmis 60) mellem dels den registreredes ret til respekt for sit privatliv og beskyttelse af personoplysninger, som vedrører denne, dels retten til informationsfrihed, og til efter denne afvejning i givet fald at pålægge udbyderen af denne søgemaskine at fjerne links i alle udgaver af denne søgemaskine.

73

Henset til det foregående skal de forelagte spørgsmål besvares med, at artikel 12, litra b), og artikel 14, stk. 1, litra a), i direktiv 95/46 og artikel 17, stk. 1, i forordning 2016/679 skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra –ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.

74

Da sagen i forhold til hovedsagens parter udgør et led i den sag, der verserer for den forelæggende ret, tilkommer det denne at træffe afgørelse om sagsomkostningerne. Bortset fra de nævnte parters udgifter kan de udgifter, som er afholdt i forbindelse med afgivelse af indlæg for Domstolen, ikke erstattes.

På grundlag af disse præmisser kender Domstolen (Store Afdeling) for ret:

Artikel 12, litra b), og artikel 14, stk. 1, litra a), i Europa-Parlamentets og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og artikel 17, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) skal fortolkes således, at en søgemaskineudbyder, når denne efterkommer en anmodning om at få fjernet links i henhold til disse bestemmelser, er forpligtet til at foretage denne fjernelse på de udgaver af søgemaskinen, som svarer til alle medlemsstaterne, og dette om nødvendigt i kombination med foranstaltninger, som under overholdelse af alle retlige krav gør det muligt effektivt at forhindre eller i den mindste i høj grad at afholde de internetbrugere, der foretager en søgning på den registreredes navn fra en af medlemsstaterne, fra – ud fra de resultater, der vises efter denne søgning – at få adgang til de links, som er genstand for denne anmodning, men søgemaskineudbyderen er ikke forpligtet til at foretage denne fjernelse på alle udgaver af udbyderens søgemaskine.