1.

La présente demande de décision préjudicielle émanant du Conseil d’État (France) fait suite à l’arrêt Google Spain et Google ( 2 ) et offrira notamment à la Cour l’occasion de préciser le champ d’application territorial de la directive 95/46/CE ( 3 ). Il est bien connu que, dans cette affaire, la Cour a consacré un « droit à l’oubli » en ce que, sous certaines conditions, un individu peut voir des liens internet déréférencés par l’exploitant d’un moteur de recherche. Dans la présente affaire, la Cour est invitée à préciser la portée territoriale d’un déréférencement et à déterminer si les dispositions de la directive 95/46 exigent un déréférencement à l’échelle nationale, européenne ou mondiale.

2.

Dans la présente affaire, je proposerai à la Cour un déréférencement européen : l’exploitant d’un moteur de recherche devrait être tenu de supprimer les liens de résultats affichés à la suite d’une recherche effectuée à partir d’un lieu situé dans l’Union européenne.

3.

Selon son article 1er, la directive 95/46 a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données.

4.

L’article 2 de la directive 95/46 dispose que, « [a]ux fins de [celle-ci], on entend par :

[...]

[...]

5.

L’article 3 de cette directive, intitulé « Champ d’application », énonce à son paragraphe 1 :

« La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier. »

6.

L’article 4 de ladite directive, intitulé « Droit national applicable », prévoit :

« 1.   Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque :

[...] »

7.

Sous le chapitre II, section I, intitulée « Principes relatifs à la qualité des données », de la directive 95/46, l’article 6 dispose :

« 1.   Les États membres prévoient que les données à caractère personnel doivent être :

2.   Il incombe au responsable du traitement d’assurer le respect du paragraphe 1. »

8.

Sous le chapitre II, section II, intitulée « Principes relatifs à la légitimation des traitements de données », de la directive 95/46, l’article 7 dispose :

« Les États membres prévoient que le traitement de données à caractère personnel ne peut être effectué que si :

[...]

9.

L’article 12 de cette directive, intitulé « Droit d’accès », prévoit :

« Les États membres garantissent à toute personne concernée le droit d’obtenir du responsable du traitement :

[...]

[...] »

10.

L’article 14 de ladite directive, intitulé « Droit d’opposition de la personne concernée », dispose :

« Les États membres reconnaissent à la personne concernée le droit :

[...] »

11.

L’article 28 de la même directive, intitulé « Autorité de contrôle », est libellé comme suit :

« 1.   Chaque État membre prévoit qu’une ou plusieurs autorités publiques sont chargées de surveiller l’application, sur son territoire, des dispositions adoptées par les États membres en application de la présente directive.

[...]

3.   Chaque autorité de contrôle dispose notamment :

[...]

Les décisions de l’autorité de contrôle faisant grief peuvent faire l’objet d’un recours juridictionnel.

4.   Chaque autorité de contrôle peut être saisie par toute personne, ou par une association la représentant, d’une demande relative à la protection de ses droits et libertés à l’égard du traitement de données à caractère personnel. La personne concernée est informée des suites données à sa demande.

[...]

6.   Indépendamment du droit national applicable au traitement en cause, chaque autorité de contrôle a compétence pour exercer, sur le territoire de l’État membre dont elle relève, les pouvoirs dont elle est investie conformément au paragraphe 3. Chaque autorité peut être appelée à exercer ses pouvoirs sur demande d’une autorité d’un autre État membre.

Les autorités de contrôle coopèrent entre elles dans la mesure nécessaire à l’accomplissement de leurs missions, notamment en échangeant toute information utile.

[...] »

12.

Le règlement (UE) 2016/679 ( 4 ) est applicable, en vertu de son article 99, paragraphe 2, à partir du 25 mai 2018. L’article 94, paragraphe 1, de ce règlement dispose que la directive 95/46 est abrogée avec effet à cette même date.

13.

L’article 17 de ce règlement, intitulé « Droit à l’effacement (“droit à l’oubli”) », est libellé comme suit :

« 1.   La personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais, lorsque l’un des motifs suivants s’applique :

2.   Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

3.   Les paragraphes 1 et 2 ne s’appliquent pas dans la mesure où ce traitement est nécessaire :

14.

L’article 18 du règlement 2016/679, intitulé « Droit à la limitation du traitement », dispose :

« 1.   La personne concernée a le droit d’obtenir du responsable du traitement la limitation du traitement lorsque l’un des éléments suivants s’applique :

[...]

2.   Lorsque le traitement a été limité en vertu du paragraphe 1, ces données à caractère personnel ne peuvent, à l’exception de la conservation, être traitées qu’avec le consentement de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice, ou pour la protection des droits d’une autre personne physique ou morale, ou encore pour des motifs importants d’intérêt public de l’Union ou d’un État membre.

3.   Une personne concernée qui a obtenu la limitation du traitement en vertu du paragraphe 1 est informée par le responsable du traitement avant que la limitation du traitement ne soit levée. »

15.

L’article 21 de ce règlement, intitulé « Droit d’opposition », prévoit à son paragraphe 1 :

« La personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant fondé sur l’article 6, paragraphe 1, point e) ou f), y compris un profilage fondé sur ces dispositions. Le responsable du traitement ne traite plus les données à caractère personnel, à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée, ou pour la constatation, l’exercice ou la défense de droits en justice. »

16.

L’article 85 dudit règlement, intitulé « Traitement et liberté d’expression et d’information », énonce :

« 1.   Les États membres concilient, par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire.

2.   Dans le cadre du traitement réalisé à des fins journalistiques ou à des fins d’expression universitaire, artistique ou littéraire, les États membres prévoient des exemptions ou des dérogations au chapitre II (principes), au chapitre III (droits de la personne concernée), au chapitre IV (responsable du traitement et sous-traitant), au chapitre V (transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales), au chapitre VI (autorités de contrôle indépendantes), au chapitre VII (coopération et cohérence) et au chapitre IX (situations particulières de traitement) si celles-ci sont nécessaires pour concilier le droit à la protection des données à caractère personnel et la liberté d’expression et d’information.

3.   Chaque État membre notifie à la Commission les dispositions légales qu’il a adoptées en vertu du paragraphe 2 et, sans tarder, toute disposition légale modificative ultérieure ou toute modification ultérieure les concernant. »

17.

La mise en œuvre en droit français de la directive 95/46 est assurée par la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (ci-après la « loi du 6 janvier 1978).

18.

Par décision du 21 mai 2015, la présidente de la Commission nationale de l’informatique et des libertés (CNIL) a mis la société Google LLC en demeure, lorsqu’elle faisait droit à une demande d’une personne physique tendant à la suppression de la liste de résultats, affichée à la suite d’une recherche effectuée à partir de son nom, de liens menant vers des pages web, d’appliquer cette suppression sur toutes les extensions de nom de domaine de son moteur de recherche.

19.

Google a refusé de donner suite à cette mise en demeure, se bornant à supprimer les liens en cause des seuls résultats affichés en réponse à des recherches effectuées sur les déclinaisons de son moteur dont le nom de domaine correspond à un État membre de l’Union.

20.

La CNIL a par ailleurs estimé insuffisante la proposition complémentaire dite de « géo-blocage », faite par Google après l’expiration du délai de mise en demeure, consistant à supprimer la possibilité d’accéder, depuis une adresse IP réputée localisée dans l’État de résidence de la personne concernée, aux résultats litigieux obtenus à la suite d’une recherche effectuée à partir de son nom, quelle que soit la déclinaison du moteur de recherche sollicitée par l’internaute.

21.

Après avoir constaté que Google ne s’était pas, dans le délai imparti, conformée à ladite mise en demeure, la CNIL, par une délibération en date du 10 mars 2016, a prononcé à son égard une sanction, rendue publique, de 100000 euros.

22.

Par requête introduite devant le Conseil d’État (France), Google demande l’annulation de cette délibération.

23.

Dans le cadre de cette procédure, le Conseil d’État a retenu comme recevables les interventions de Wikimedia Foundation Inc., de la Fondation pour la liberté de la presse, de Microsoft Corp., de Reporters Committee for Freedom of the Press e.a., d’Article 19 e.a. ainsi que d’Internet Freedom Foundation e.a., celles-ci justifiant d’un intérêt suffisant à l’annulation de la délibération attaquée.

24.

Le Conseil d’État relève que le traitement de données à caractère personnel effectué par le moteur de recherche exploité par Google, compte tenu des activités de promotion et de vente des espaces publicitaires exercées, en France, par sa filiale Google France, relève du champ d’application de la loi du 6 janvier 1978, qui assure la transposition de la directive 95/46 en droit français.

25.

Le Conseil d’État constate, par ailleurs, que le moteur de recherche exploité par Google est décliné en différents noms de domaine par des extensions géographiques, afin d’adapter les résultats affichés aux spécificités, notamment linguistiques, des différents pays dans lesquels cette société exerce son activité. Lorsque la recherche est effectuée depuis « google.com », Google procède, en principe, à une redirection automatique de cette recherche vers le nom de domaine correspondant au pays à partir duquel cette recherche est, grâce à l’identification de l’adresse IP de l’internaute, réputée être effectuée. Toutefois, indépendamment de sa localisation, il reste loisible à l’internaute d’effectuer ses recherches sur les autres noms de domaine du moteur de recherche. Par ailleurs, si les résultats peuvent différer selon le nom de domaine à partir duquel la recherche est effectuée sur le moteur, il est constant que les liens affichés en réponse à une recherche proviennent de bases de données et d’un travail d’indexation communs.

26.

Le Conseil d’État estime que, compte tenu, d’une part, du fait que les noms de domaine du moteur de recherche de Google sont tous accessibles depuis le territoire français et, d’autre part, de l’existence de passerelles entre ces différents noms de domaine, qu’illustrent notamment la redirection automatique et, au surplus, la présence de cookies (témoins de connexion) sur d’autres extensions du moteur que celle sur laquelle ils ont été initialement déposés, ce moteur, lequel au demeurant n’a fait l’objet que d’une seule déclaration auprès de la CNIL, doit être regardé comme effectuant un traitement de données à caractère personnel unique pour l’application de la loi du 6 janvier 1978. Il en résulterait que le traitement de données à caractère personnel par le moteur de recherche exploité par Google est effectué dans le cadre d’une de ses installations, Google France, établie sur le territoire français, et qu’il est, à ce titre, soumis à la loi du 6 janvier 1978.

27.

Devant le Conseil d’État, Google soutient que la sanction litigieuse repose sur une interprétation erronée des dispositions de la loi du 6 janvier 1978 qui transposent l’article 12, sous b), et l’article 14, sous a), de la directive 95/46, sur le fondement desquels la Cour, dans l’arrêt Google Spain et Google ( 5 ), a reconnu un « droit au déréférencement ». Google fait valoir que ce droit n’implique pas nécessairement que les liens litigieux soient supprimés, sans limitation géographique, sur l’ensemble des noms de domaine de son moteur. En outre, en retenant une telle interprétation, la CNIL aurait méconnu les principes de courtoisie et de non-ingérence reconnus par le droit international public et porté une atteinte disproportionnée aux libertés d’expression, d’information, de communication et de la presse garanties, notamment, à l’article 11 de la charte des droits fondamentaux de l’Union européenne (ci-après la « Charte »).

28.

Ayant constaté que cette argumentation soulève plusieurs difficultés sérieuses d’interprétation de la directive 95/46, le Conseil d’État a décidé de surseoir à statuer et de poser à la Cour les questions préjudicielles suivantes :

29.

Des observations écrites ont été déposées par Google, la CNIL, Wikimedia Foundation, la Fondation pour la liberté de la presse, Reporters Committee for Freedom of the Press e.a., Article 19 e.a., Internet Freedom Foundation e.a., le Défenseur des droits, les gouvernements français, irlandais, hellénique, italien, autrichien et polonais ainsi que par la Commission européenne.

30.

Toutes ces parties, à l’exception du Défenseur des droits et du gouvernement italien, ainsi que Microsoft ont été entendues lors de l’audience qui s’est tenue le 11 septembre 2018.

31.

Les questions posées par la juridiction de renvoi portent sur l’interprétation non pas des dispositions du règlement 2016/679 mais de celles de la directive 95/46. Or ce règlement, qui est applicable depuis le 25 mai 2018 ( 7 ), a abrogé la directive avec effet à cette même date ( 8 ).

32.

Dans la mesure où il apparaît que, en droit de procédure administrative français, la loi applicable à un litige est celle du jour d’une décision attaquée, il ne fait pas de doute que c’est la directive 95/46 qui est applicable au litige au principal. Par conséquent, ce sont les dispositions de cette directive que la Cour est appelée à interpréter.

33.

Par sa première question préjudicielle, le Conseil d’État demande à la Cour, en substance, si l’exploitant d’un moteur de recherche est tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée.

34.

La CNIL, le Défenseur des droits ainsi que les gouvernements français, italien et autrichien invoquent la nécessité d’une protection efficace et complète du droit à la protection des données à caractère personnel, garanti à l’article 8 de la Charte, et l’effet utile du droit au déréférencement, découlant de l’article 12, sous b), et de l’article 14, premier alinéa, sous a), de la directive 95/46, en faisant valoir qu’une obligation de déréférencement mondial serait nécessaire pour assurer l’effectivité de ces droits. Telle semble également être la position exprimée par le « groupe de travail “article 29” sur la protection des données» ( 9 ) dans ses « Lignes directrices relatives à l’exécution de l’arrêt [Google Spain et Google ( 10 )] » du 26 novembre 2014 ( 11 ) (ci-après les « lignes directrices »). En effet, ce groupe relève « [qu’]afin de donner pleinement effet aux droits des personnes concernées définis dans l’arrêt de la Cour, les décisions de déréférencement doivent être exécutées de manière à garantir la protection efficace et complète des droits des personnes concernées et à ce que la législation européenne ne puisse pas être contournée. En ce sens, la limitation du déréférencement aux domaines de l’Union européenne au motif que les utilisateurs ont tendance à accéder aux moteurs de recherche par l’intermédiaire de leurs domaines nationaux ne peut donc pas être envisagée comme moyen suffisant pour garantir de manière satisfaisante les droits des personnes concernées conformément à l’arrêt de la Cour. En pratique, cela signifie que tout déréférencement devrait également être appliqué à tous les domaines concernés, y compris les domaines.com» ( 12 ).

35.

En revanche, Google, Wikimedia Foundation, la Fondation pour la liberté de la presse, Reporters Committee for Freedom of the Press e.a., Article 19 e.a., Internet Freedom Foundation e.a., les gouvernements irlandais, hellénique et polonais ainsi que la Commission soutiennent, en substance, que l’instauration d’un droit de déréférencement mondial sur le fondement du droit de l’Union ne serait compatible ni avec celui-ci, ni avec le droit international public et constituerait un précédent dangereux invitant des régimes autoritaires à exiger également la mise en œuvre à l’échelle mondiale de leurs décisions de censure.

36.

L’idée d’un déréférencement mondial peut paraître séduisante par sa radicalité, sa clarté, sa simplicité et son efficacité. Néanmoins, cette solution ne me convainc pas, car elle tient compte d’un seul côté de la médaille, à savoir la protection des données d’un individu.

37.

Le point de départ de mon analyse est l’arrêt Google Spain et Google ( 13 ).

38.

Cet arrêt ne détermine pas la portée géographique de la mise en œuvre d’un déréférencement. Il contient néanmoins une série d’éléments, en particulier sur la question du champ d’application territoriale de la directive 95/46, qui mérite d’être rappelée ici.

39.

Une des questions était celle de savoir dans quelles conditions la directive 95/46 s’applique territorialement au traitement des données à caractère personnel effectué dans le cadre de l’activité d’un moteur de recherche tel que Google Search, qui est exploité par Google Inc., société mère du groupe Google dont le siège social est établi aux États-Unis.

40.

À cet égard, la Cour a jugé, – sur le fondement de l’article 4, paragraphe 1, sous a), de la directive 95/46, qui prévoit comme critère que le « traitement [de données à caractère personnel] est effectué dans le cadre des activités d’un établissement du responsable [de ce] traitement sur le territoire [d’un] État membre » – que le champ d’application territorial de la directive 95/46 couvre des cas où l’exploitant d’un moteur de recherche crée dans un État membre une succursale ou une filiale destinée à assurer la promotion et la vente des espaces publicitaires proposés par ce moteur et dont l’activité vise les habitants de cet État membre (telles que Google Spain ou, en l’occurrence, Google France) ( 14 ).

41.

Ce faisant, la Cour a rejeté l’argument avancé par Google Spain et Google Inc. par lequel elles faisaient valoir que le traitement de données à caractère personnel en cause était effectué non pas « dans le cadre des activités » de Google Spain, mais exclusivement par Google Inc., qui apparemment exploitait Google Search sans aucune intervention de la part de Google Spain, dont l’activité se limitait à la fourniture d’un soutien à l’activité publicitaire du groupe Google qui était distincte de son service de moteur de recherche.

42.

À cet égard la Cour a clarifié que l’objectif de la directive 95/46 est d’assurer une protection efficace et complète des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel et que l’expression « dans le cadre des activités » ne saurait recevoir une interprétation restrictive ( 15 ). En outre, il ressortirait de l’article 4 de la directive 95/46 que le législateur de l’Union a entendu éviter qu’une personne soit exclue de la protection garantie par celle-ci et que cette protection soit contournée en prévoyant un champ d’application territorial particulièrement large ( 16 ).

43.

Tout comme dans la présente affaire, dans l’affaire Google Spain et Google ( 17 ), le litige au principal opposait Google ( 18 ) en tant que requérant à une agence étatique de protection de données ( 19 ) au sujet d’une décision de cette agence.

44.

Néanmoins, la personne au centre de l’arrêt Google Spain et Google ( 20 ) est clairement celle dont les données à caractère personnel doivent être protégées. C’est aux droits de cette personne que la Cour donne une prééminence. L’optique de celui qui cherche des informations n’apparait dans cet arrêt que de manière incidente ( 21 ). Dès lors, en ne mentionnant que « la liste des résultats affichée à la suite d’une recherche effectuée à partir du nom d’une personne », la Cour n’a pas précisé le cadre dans lequel cette recherche a été effectuée, par qui et à partir d’où.

45.

Si les dispositions de la directive 95/46 visent donc à protéger les droits fondamentaux, au titre des articles 7 et 8 de la Charte, de la personne « recherchée » et, par la suite, « référencée », elles restent cependant muettes sur la question de la territorialité du déréférencement. À titre d’exemple, ni ces dispositions ni l’arrêt Google Spain et Google ( 22 ) ne précisent s’il convient de traiter différemment une demande de recherche effectuée à partir de Singapour qu’une demande effectuée à partir de Paris ou de Katowice.

46.

À mon avis, une différenciation s’impose selon le lieu à partir duquel la recherche est effectuée. Les demandes de recherche faites en dehors du territoire de l’Union ne devraient pas souffrir d’un déréférencement des résultats de recherche.

47.

En vertu de l’article 52, paragraphe 1, TUE, les traités s’appliquent aux 28 États membres ( 23 ). Le territoire d’un État membre est défini par le droit national et par le droit international public ( 24 ). L’article 52, paragraphe 2, TUE ajoute que le champ d’application territoriale des traités est précisé à l’article 355 TFUE ( 25 ). En dehors de ce territoire, le droit de l’Union ne saurait, en principe, s’appliquer ni, par conséquent, créer des droits et des obligations.

48.

La question se pose donc de savoir si, pour une raison exceptionnelle, le champ d’application de la directive 95/46 s’étend au‑delà des frontières territoriales précitées, c’est-à-dire si les dispositions de cette directive doivent être interprétées de manière large au point d’avoir des effets au-delà ces frontières.

49.

Je pense que non.

50.

Il est vrai qu’il existe certaines situations dans lesquelles des effets extraterritoriaux sont admis en droit de l’Union.

51.

Ainsi que le souligne également le gouvernement français, en vertu d’une jurisprudence constante en droit de la concurrence, le fait pour une entreprise participant à un accord anticoncurrentiel ou mettant en œuvre une pratique d’une telle nature d’être située dans un pays tiers ne fait pas obstacle à l’application des règles de concurrence de l’Union en vertu des articles 101 et 102 TFUE, dès lors qu’un tel accord ou qu’une telle pratique produit ses effets sur le territoire de l’Union ( 26 ).

52.

En matière de droit de marque, la Cour a jugé qu’il serait porté atteinte à l’effectivité des règles relatives à la protection des droits de marque ( 27 ) si l’usage, dans une offre à la vente ou une publicité sur Internet destinée à des consommateurs situés dans l’Union, d’un signe identique ou similaire à une marque enregistrée dans l’Union échappait à l’application de celles-ci du seul fait que le tiers à l’origine de cette offre ou de cette publicité est établi dans un État tiers, que le serveur du site Internet qu’il utilise se situe dans un tel État, ou encore que le produit faisant l’objet de ladite offre ou de ladite publicité se situe dans un État tiers ( 28 ).

53.

Ces deux types de situation constituent à mon avis des situations extrêmes de nature exceptionnelle. Ce qui est crucial dans les deux situations, c’est l’effet sur le marché intérieur (même si d’autres marchés peuvent également être affectés). Le marché intérieur est un territoire clairement délimité par les traités. En revanche, l’internet est, par nature, mondial et, d’une certaine manière, est présent partout. Il est donc difficile de faire des analogies et des comparaisons.

54.

On ne peut pas non plus, à mon avis, invoquer, comme le fait le Défenseur des droits, la jurisprudence de la Cour européenne des droits de l’homme sur les effets extraterritoriaux de la convention de sauvegarde des droits de l’homme et des libertés fondamentales, signée à Rome le 4 novembre 1950, dans le cadre de l’extradition d’une personne vers un pays tiers ( 29 ), et ce pour deux raisons.

55.

Premièrement, le champ d’application de la Charte suit le champ d’application du droit de l’Union et non l’inverse, ce qui est expressément spécifié à l’article 51, paragraphe 2, de la Charte ( 30 ).

56.

Deuxièmement, cette jurisprudence concerne les cas spécifiques de la peine de mort ou de l’interdiction de la torture, des droits de l’homme qui sont à la base de tout État de droit et auxquels aucune dérogation n’est possible ( 31 ).

57.

En revanche, et c’est en quelque sorte le nœud de la présente affaire, le « droit à l’oubli » doit être mis en balance avec d’autres droits fondamentaux.

58.

L’argument clé contre une obligation de déréférencement à l’échelle mondiale est celui de la mise en balance des droits fondamentaux et des enseignements s’y rapportant de l’arrêt Google Spain et Google ( 32 ). Dans cette affaire, la Cour a accordé une grande importance à la mise en balance entre, d’une part, le droit à la protection des données et à la vie privée et, d’autre part, l’intérêt légitime du public à accéder à l’information recherchée.

59.

Il est établi que les droits à la protection des données et à la vie privée sont des droits découlant des articles 7 et 8 de la Charte et doivent présenter un lien de rattachement avec le droit de l’Union et sa territorialité. Il en va de même pour l’intérêt légitime du public à accéder à l’information recherchée. Pour ce qui est de l’Union, ce droit découle de l’article 11 de la Charte. Le public visé n’est pas un public mondial mais se trouve dans le champ d’application de la Charte, donc européen.

60.

Si l’on admettait un déréférencement mondial, les autorités de l’Union ne seraient pas en mesure de définir et de déterminer un droit à recevoir des informations, et encore moins de le mettre en balance avec les autres droits fondamentaux de la protection des données, et à la vie privée. D’autant plus qu’un tel intérêt du public à accéder à une information va forcément varier selon sa localisation géographique, d’un État tiers à l’autre.

61.

Par ailleurs, il y existerait alors un danger que l’Union empêche des personnes dans des pays tiers à accéder à l’information. Si une autorité au sein de l’Union pouvait ordonner un déréférencement à l’échelle mondiale, un signal fatal serait envoyé aux pays tiers, lesquels pourraient ordonner également un déréférencement en vertu de leurs propres lois. Imaginons que, pour une raison quelconque, des pays tiers interprètent certains de leurs droits de manière à empêcher les personnes situées dans un État membre de l’Union d’accéder à une information recherchée. Il existerait un risque réel d’un nivellement vers le bas, au détriment de la liberté d’expression, à l’échelle européenne et mondiale ( 33 ).

62.

Les enjeux en cause n’exigent donc pas que les dispositions de la directive 95/46 soient d’application au-delà du territoire de l’Union. Cela ne signifie pas pour autant que le droit de l’Union ne saurait jamais imposer à un exploitant de moteur de recherche tel que Google qu’il entreprenne des actions au niveau mondial. Je n’exclus pas qu’il puisse y avoir des situations dans lesquelles l’intérêt de l’Union exige une application des dispositions de la directive 95/46 au-delà du territoire de l’Union. Mais dans une situation telle que celle de la présente affaire, il n’y a pas de raison d’appliquer les dispositions de la directive 95/46 d’une telle manière.

63.

Je propose dès lors à la Cour de répondre à la première question préjudicielle que les dispositions de l’article 12, sous b), et de l’article 14, sous a), de la directive 95/46 doivent être interprétées en ce sens que l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur de telle sorte que les liens litigieux n’apparaissent plus, quel que soit le lieu à partir duquel la recherche lancée sur le nom du demandeur est effectuée.

64.

Étant donné que je propose de répondre à la première question par la négative, il convient de poursuivre l’analyse en traitant ensemble les deuxième et troisième questions.

65.

Par sa deuxième question, la juridiction de renvoi cherche à savoir si l’exploitant d’un moteur de recherche est seulement tenu, lorsqu’il fait droit à une demande de déréférencement, de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur sur le nom de domaine correspondant à l’État où la demande est réputée avoir été effectuée ou, plus généralement, sur les noms de domaine du moteur de recherche qui correspondent aux extensions nationales de ce moteur pour l’ensemble des États membres de l’Union.

66.

La troisième question, qui est posée « en complément » à la deuxième question, vise à établir si l’exploitant d’un moteur de recherche faisant droit à une demande de déréférencement est tenu de supprimer, par la technique dite du « géo-blocage », depuis une adresse IP réputée localisée dans l’État de résidence du bénéficiaire du « droit au déréférencement », les résultats litigieux des recherches effectuées à partir de son nom, ou même, plus généralement, depuis une adresse IP réputée localisée dans l’un des États membres soumis à la directive 95/46, ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche.

67.

Dans ses questions préjudicielles, la juridiction de renvoi fait un lien indissociable entre, d’une part, le nom de domaine d’un moteur de recherche ( 34 ) et, d’autre part, le lieu à partir duquel une recherche Internet sur le nom d’une personne est effectuée ( 35 ).

68.

En ce qui concerne la première question préjudicielle, un tel lien est naturel : si l’exploitant d’un moteur de recherche rend inaccessible les résultats d’une recherche sur l’ensemble de ses noms de domaine, les liens litigieux n’apparaissent évidemment plus, quel que soit le lieu à partir duquel la recherche est lancée.

69.

En revanche, dès lors que l’on répond à la première question par la négative, comme je propose de le faire, un tel lien ne s’impose plus. En effet, comme le relève elle-même la juridiction de renvoi, il reste loisible à une personne d’effectuer ses recherches sur n’importe quel nom de domaine du moteur de recherche. Par exemple, l’extension google.fr n’est pas limitée aux recherches effectuées depuis la France.

70.

Cette possibilité peut néanmoins être limitée par la technologie dite de « géo-blocage ».

71.

Le géo-blocage est une technique qui limite l’accès au contenu Internet en fonction de la situation géographique de l’utilisateur. Dans un système de géo-blocage, la localisation de l’utilisateur est déterminée à l’aide de techniques de géolocalisation, telles que la vérification de l’adresse IP de l’utilisateur. Le géo-blocage, qui constitue une forme de censure, est réputé injustifié dans le droit du marché intérieur de l’Union où il fait l’objet, notamment, d’un règlement qui vise à empêcher des professionnels exerçant leurs activités dans un État membre de bloquer ou de limiter l’accès de clients originaires d’autres États membres désireux de réaliser des transactions transfrontalières à leurs interfaces en ligne ( 36 ).

72.

Une fois qu’un géo-blocage est admis, peu importe le nom de domaine de l’exploitant du moteur de recherche utilisé. Je propose donc d’aborder la troisième question avant la deuxième.

73.

Dans l’arrêt Google Spain et Google ( 37 ), la Cour a dit pour droit que l’exploitant d’un moteur de recherche doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que l’activité dudit moteur satisfait aux exigences de la directive 95/46 pour que les garanties prévues par celle-ci puissent développer leur plein effet et qu’une protection efficace et complète des personnes concernées, notamment de leur droit au respect de leur vie privée, puisse effectivement être réalisée ( 38 ).

74.

Une fois qu’un droit au déréférencement est constaté, il revient donc à l’exploitant d’un moteur de recherche de prendre toute mesure à sa disposition afin d’assurer un déréférencement efficace et complet ( 39 ). Cet exploitant doit entreprendre toutes les démarches qui lui sont techniquement possibles. Pour ce qui est de l’affaire au principal, cela inclut, notamment, la technique dite du « géo-blocage », et ce indépendamment du nom de domaine utilisé par l’internaute qui effectue la recherche.

75.

Un déréférencement doit être effectué non pas au niveau national, ainsi que je l’expliquerai dans les lignes qui suivent, mais au niveau de l’Union européenne.

76.

La directive 95/46 ayant pour « objectif de garantir un niveau élevé de protection dans [l’Union]» ( 40 ), elle vise à instaurer un système complet de protection de données qui dépasse les frontières nationales. Fondé sur l’ancien article 100a TCE ( 41 ), elle s’inscrit dans une logique de marché intérieur qui comporte, faut-il le rappeler, un espace sans frontières intérieures ( 42 ). Il s’ensuit qu’un déréférencement au niveau national irait à l’encontre de cet objectif d’harmonisation et de l’effet utile des dispositions de la directive 95/46 ( 43 ).

77.

Par ailleurs, il convient de relever que, sous l’empire du règlement 2016/679, cette question ne se poserait même pas, étant donné que ce règlement est, en tant que tel, « directement applicable dans tout État membre» ( 44 ). Fondé sur l’article 16 FUE, le règlement 2016/679 transcende l’approche du marché intérieur de la directive 95/46 et vise à assurer un système complet de protection des données à caractère personnel dans l’Union ( 45 ). Ce règlement se réfère systématiquement à l’Union, au territoire de l’Union ou aux États membres ( 46 ).

78.

Je propose donc de répondre aux deuxième et troisième questions préjudicielles que l’exploitant d’un moteur de recherche est tenu de supprimer les liens litigieux des résultats affichés à la suite d’une recherche effectuée à partir du nom du demandeur effectuée dans un lieu situé dans l’Union européenne. Dans ce contexte, cet exploitant est tenu de prendre toute mesure à sa disposition afin d’assurer un déréférencement efficace et complet. Cela inclut, notamment, la technique dite du « géo-blocage », depuis une adresse IP réputée localisée dans l’un des États membres soumis à la directive 95/46, et ce quel que soit le nom de domaine utilisé par l’internaute qui effectue la recherche.

79.

Eu égard à l’ensemble des considérations qui précèdent, je propose à la Cour de répondre aux questions préjudicielles posées par le Conseil d’État (France) comme suit :