EUR-Lex Access to European Union law

Back to EUR-Lex homepage

This document is an excerpt from the EUR-Lex website

Document 62017CJ0507

Hotărârea Curții (Marea Cameră) din 24 septembrie 2019.
Google LLC împotriva Commission nationale de l'informatique et des libertés (CNIL).
Cerere de decizie preliminară formulată de Conseil d'État (Franța).
Trimitere preliminară – Date cu caracter personal – Protecția persoanelor fizice în ceea ce privește prelucrarea acestor date – Directiva 95/46/CE – Regulamentul (UE) 2016/679 – Motoare de căutare pe internet – Prelucrarea datelor care figurează pe pagini web – Întinderea teritorială a dreptului la dezindexare.
Cauza C-507/17.

Digital reports (Court Reports - general - 'Information on unpublished decisions' section)

ECLI identifier: ECLI:EU:C:2019:772

HOTĂRÂREA CURȚII (Marea Cameră)

24 septembrie 2019 ( *1 )

„Trimitere preliminară – Date cu caracter personal – Protecția persoanelor fizice în ceea ce privește prelucrarea acestor date – Directiva 95/46/CE – Regulamentul (UE) 2016/679 – Motoare de căutare pe internet – Prelucrarea datelor care figurează pe pagini web – Întinderea teritorială a dreptului la dezindexare”

În cauza C‑507/17,

având ca obiect o cerere de decizie preliminară formulată în temeiul articolului 267 TFUE de Conseil d’État (Consiliul de Stat, Franța), prin decizia din 19 iulie 2017, primită de Curte la 21 august 2017, în procedura

Google LLC, succesoare în drepturi a Google Inc.,

împotriva

Commission nationale de l’informatique et des libertés (CNIL),

cu participarea:

Wikimedia Foundation Inc.,

Fondation pour la liberté de la presse,

Microsoft Corp.,

Reporters Committee for Freedom of the Press și alții,

Article 19 și alții,

Internet Freedom Foundation și alții,

Défenseur des droits,

CURTEA (Marea Cameră),

compusă din domnul K. Lenaerts, președinte, domnii A. Arabadjiev, E. Regan și T. von Danwitz, doamna C. Toader și domnul F. Biltgen, președinți de cameră, și domnii M. Ilešič (raportor), L. Bay Larsen, M. Safjan, D. Šváby, C. G. Fernlund, C. Vajda și S. Rodin, judecători,

avocat general: domnul M. Szpunar,

grefier: doamna V. Giacobbo‑Peyronnel, administratoare,

având în vedere procedura scrisă și în urma ședinței din 11 septembrie 2018,

luând în considerare observațiile prezentate:

pentru Google LLC, de P. Spinosi, de Y. Pelosi și de W. Maxwell, avocats;

pentru Commission nationale de l’informatique et des libertés (CNIL), de I. Falque‑Pierrotin, de J. Lessi și de G. Le Grand, în calitate de agenți;

pentru Wikimedia Foundation Inc., de C. Rameix‑Seguin, avocate;

pentru Fondation pour la liberté de la presse, de T. Haas, avocat;

pentru Microsoft Corp., de E. Piwnica, avocat;

pentru Reporters Committee for Freedom of the Press și alții, de F. Louis, avocat, de H.‑G. Kamann, de C. Schwedler și de M. Braun, Rechtsanwälte;

pentru Article 19 și alții, de G. Tapie, avocat, de G. Facenna, QC, și de E. Metcalfe, barrister;

pentru Internet Freedom Foundation și alții, de T. Haas, avocat;

pentru Défenseur des droits, de J. Toubon, în calitate de agent;

pentru guvernul francez, de D. Colas, de R. Coesme, de E. de Moustier și de S. Ghiandoni, în calitate de agenți;

pentru Irlanda, de M. Browne, de G. Hodge, de J. Quaney și de A. Joyce, în calitate de agenți, asistați de M. Gray, BL;

pentru guvernul elen, de E.‑M. Mamouna, de G. Papadaki, de E. Zisi și de S. Papaioannou, în calitate de agenți;

pentru guvernul italian, de G. Palmieri, în calitate de agent, asistată de R. Guizzi, avvocato dello Stato;

pentru guvernul austriac, de G. Eberhard și de G. Kunnert, în calitate de agenți;

pentru guvernul polonez, de B. Majczyna, de M. Pawlicka și de J. Sawicka, în calitate de agenți;

pentru Comisia Europeană, de A. Buchet, de H. Kranenborg și de D. Nardi, în calitate de agenți,

după ascultarea concluziilor avocatului general în ședința din 10 ianuarie 2019,

pronunță prezenta

Hotărâre

1

Cererea de decizie preliminară privește interpretarea Directivei 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (JO 1995, L 281, p. 31, Ediție specială, 13/vol. 17, p. 10).

2

Această cerere a fost formulată în cadrul unui litigiu între Google LLC, succesoare în drepturi a Google Inc., pe de o parte, și Commission nationale de l’informatique et des libertés (Comisia Națională pentru Informatică și Libertăți) (CNIL) (Franța), pe de altă parte, în legătură cu o sancțiune de 100000 de euro pronunțată de aceasta din urmă împotriva Google ca urmare a refuzului respectivei societăți, atunci când admite o cerere de dezindexare, de a o aplica la ansamblul extensiilor numelui de domeniu al motorului său de căutare.

Cadrul juridic

Dreptul Uniunii

Directiva 95/46

3

Directiva 95/46 are ca obiect, potrivit articolului 1 alineatul (1) din aceasta, protejarea drepturilor și libertăților fundamentale ale persoanei și în special a dreptului la viață privată în ceea ce privește prelucrarea datelor cu caracter personal, precum și eliminarea obstacolelor din calea liberei circulații a acestor date.

4

Considerentele (2), (7), (10), (18), (20) și (37) ale Directivei 95/46 au următorul cuprins:

„(2)

întrucât sistemele de prelucrare a datelor sunt în serviciul omului; întrucât, acestea trebuie, indiferent de naționalitatea sau reședința persoanelor fizice, să le respecte drepturile și libertățile fundamentale, în special dreptul la viață privată, și să contribuie la […] bunăstarea persoanelor;

[…]

(7)

întrucât diferența dintre nivelurile de protecție a drepturilor și libertăților persoanelor, în special a dreptului la viață privată, în ceea ce privește prelucrarea datelor cu caracter personal permisă în statele membre poate împiedica transmiterea unor astfel de date de pe teritoriul unui stat membru pe cel al altui stat membru; întrucât această diferență poate constitui, prin urmare, un obstacol în desfășurarea unor activități economice la nivel comunitar, […]

[…]

(10)

întrucât obiectivul legislației interne privind prelucrarea datelor cu caracter personal este de a proteja drepturile și libertățile fundamentale, inclusiv dreptul la viață privată care este recunoscut atât prin articolul 8 din Convenția Europeană pentru apărarea drepturilor omului și a libertăților fundamentale[, semnată la Roma la 4 noiembrie 1950,] cât și în principiile generale ale dreptului comunitar; întrucât, din acest motiv, apropierea acestor legislații nu trebuie să aibă ca rezultat scăderea protecției pe care o oferă, ci trebuie, dimpotrivă, să încerce să asigure un nivel înalt de protecție în Comunitate;

[…]

(18)

întrucât, pentru a garanta că persoanele nu sunt private de protecția la care au dreptul în conformitate cu prezenta directivă, orice prelucrare a datelor cu caracter personal în Comunitate trebuie efectuată în conformitate cu legislația unuia dintre statele membre; […]

[…]

(20)

întrucât faptul că prelucrarea datelor este efectuată de o persoană stabilită într‑o țară terță nu trebuie să împiedice protecția persoanelor prevăzută în prezenta directivă; întrucât, în aceste cazuri, prelucrarea este reglementată de legislația statelor membre în care sunt amplasate mijloacele de prelucrare și trebuie să existe garanții că drepturile și obligațiile prevăzute în prezenta directivă sunt respectate în practică;

[…]

(37)

întrucât prelucrarea datelor cu caracter personal în scopuri jurnalistice, literare sau artistice, în special în domeniul audiovizualului, trebuie să beneficieze de derogări sau de restricții de la cerințele anumitor dispoziții ale prezentei directive în măsura în care ele sunt necesare în vederea punerii drepturilor fundamentale ale persoanei în acord cu libertatea de exprimare și în special cu libertatea a primi sau de a difuza informații, așa cum este garantată în special prin articolul 10 din Convenția europeană de apărare a drepturilor omului și a libertăților fundamentale; întrucât statele membre, în scopul menținerii unui echilibru între drepturile fundamentale, trebuie să stabilească derogările și restricțiile necesare în ceea ce privește măsurile generale privind legalitatea prelucrării datelor, […]”

5

Articolul 2 din această directivă prevede:

„În sensul prezentei directive:

(a)

«date cu caracter personal» înseamnă orice informație referitoare la o persoană fizică identificată sau identificabilă (persoana vizată); […]

(b)

«prelucrarea datelor cu caracter personal» (prelucrare) înseamnă orice operațiune sau serie de operațiuni care se efectuează asupra datelor cu caracter personal, prin mijloace automate sau neautomate, cum ar fi colectarea, înregistrarea, organizarea, stocarea, adaptarea sau modificarea, extragerea, consultarea, utilizarea, dezvăluirea prin transmitere, diseminare sau în orice alt mod, alăturarea ori combinarea, blocarea, ștergerea sau distrugerea;

[…]

(d)

«operator» înseamnă persoana fizică sau juridică, autoritatea publică, agenția sau orice alt organism care, singur sau împreună cu altele, stabilește scopurile și mijloacele de prelucrare a datelor cu caracter personal; […]

[…]”

6

Articolul 4 din directiva menționată, intitulat „Dreptul intern aplicabil”, prevede:

„(1)   Fiecare stat membru aplică dispozițiile de drept intern pe care le adoptă în temeiul prezentei directive pentru prelucrarea datelor cu caracter personal atunci când:

(a)

prelucrarea este efectuată în cadrul activităților operatorului cu sediul pe teritoriul statului membru; dacă același operator este stabilit pe teritoriul mai multor state membre, acesta trebuie să ia măsurile necesare pentru a se asigura că fiecare din sedii respectă obligațiile prevăzute în dreptul intern aplicabil;

(b)

operatorul nu este stabilit pe teritoriul statului membru, ci într‑un loc în care se aplică dreptul intern al acestuia, în temeiul dreptului internațional public;

(c)

operatorul nu este stabilit pe teritoriul Comunității, dar în scopul prelucrării datelor cu caracter personal recurge la mijloace automate sau neautomate, situate pe teritoriul statului membru respectiv, cu excepția cazului în care aceste mijloace sunt folosite numai în vederea tranzitului pe teritoriul Comunității.

(2)   În situațiile menționate la alineatul (1) litera (c), operatorul trebuie să desemneze un reprezentant stabilit pe teritoriul statului membru în cauză, fără să aducă atingere acțiunilor în justiție care ar putea fi introduse împotriva operatorului însuși.”

7

Articolul 9 din Directiva 95/46, intitulat „Prelucrarea datelor cu caracter personal și libertatea de exprimare”, prevede:

„Statele membre prevăd exonerări și derogări de la dispozițiile prezentului capitol, ale capitolului IV și ale capitolului VI pentru prelucrarea datelor cu caracter personal efectuată numai în scopuri jurnalistice, artistice sau literare, în măsura în care se dovedesc necesare pentru a pune dreptul la viață privată în acord cu normele care reglementează libertatea de exprimare.”

8

Articolul 12 din această directivă, intitulat „Dreptul de acces”, prevede:

„Statele membre garantează oricărei persoane vizate dreptul de a obține de la operator:

[…]

(b)

după caz, rectificarea, ștergerea sau blocarea datelor a căror prelucrare nu respectă dispozițiile prezentei directive, în special datorită caracterului incomplet sau inexact al datelor;

[…]”

9

Articolul 14 din directiva menționată, intitulat „Dreptul de opoziție al persoanei vizate”, prevede:

„Statele membre acordă persoanei vizate dreptul:

(a)

cel puțin în cazurile prevăzute în articolul 7 literele (e) și (f), să se opună în orice moment, din considerente întemeiate și legitime legate de situația sa particulară, prelucrării datelor în cauză, exceptând cazul când dreptul intern prevede altfel. Dacă opoziția este justificată, prelucrarea efectuată de operator nu se mai aplică acestor date;

[…]”

10

Articolul 24 din Directiva 95/46, intitulat „Sancțiuni”, prevede:

„Statele membre adoptă măsurile adecvate pentru a asigura aplicarea integrală a dispozițiilor prezentei directive și, în special, stabilesc sancțiunile care urmează să fie aplicate în caz de încălcare a dispozițiilor adoptate în temeiul prezentei directive.”

11

Articolul 28 din această directivă, intitulat „Autoritatea de supraveghere”, are următorul cuprins:

„(1)   Fiecare stat membru prevede ca una sau mai multe autorități publice să fie responsabile de supravegherea aplicării pe teritoriul său a dispozițiilor adoptate de statele membre în temeiul prezentei directive.

[…]

(3)   Fiecare autoritate este, în special, învestită cu:

competențe de investigare, cum ar fi cea de acces la datele care fac obiectul unei prelucrări și cea de a colecta toate informațiile necesare pentru îndeplinirea îndatoririlor de supraveghere;

competențe efective de intervenție, cum ar fi, de exemplu, competența […] de a ordona blocarea, ștergerea sau distrugerea datelor, de a impune interdicția temporară sau definitivă de prelucrare […]

[…]

Deciziile autorităților de supraveghere care dau naștere unor plângeri pot face obiectul unei acțiuni în justiție.

(4)   Fiecare autoritate de supraveghere poate fi sesizată de orice persoană sau de orice asociație care o reprezintă printr‑o cerere de protecție a drepturilor și libertăților sale în ceea ce privește prelucrarea datelor cu caracter personal. Persoana vizată este informată despre soluția dată plângerii sale.

[…]

(6)   Fiecare autoritate de supraveghere are competența, indiferent de dreptul intern aplicabil prelucrării în cauză, să exercite pe teritoriul statului membru din care provine competențele conferite în conformitate cu alineatul (3). Fiecare autoritate este chemată să își exercite competențele la cererea unei autorități a unui alt stat membru.

Autoritățile de supraveghere cooperează în măsura necesară îndeplinirii îndatoririlor lor, în special prin schimburi de informații utile.

[…]”

Regulamentul (UE) 2016/679

12

Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor) (JO 2016, L 119, p. 1, rectificare în JO 2018, L 127, p. 2), care se întemeiază pe articolul 16 TFUE, este aplicabil, în temeiul articolului 99 alineatul (2), de la 25 mai 2018. Articolul 94 alineatul (1) din acest regulament prevede că Directiva 95/46 se abrogă cu efect de la aceeași dată.

13

Considerentele (1), (4), (9)-(11), (13), (22)-(25) și (65) ale regulamentului menționat au următorul cuprins:

„(1)

Protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal este un drept fundamental. Articolul 8 alineatul (1) din Carta drepturilor fundamentale a Uniunii Europene («carta») și articolul 16 alineatul (1) [TFUE] prevăd dreptul oricărei persoane la protecția datelor cu caracter personal care o privesc.

[…]

(4)

Prelucrarea datelor cu caracter personal ar trebui să fie în serviciul cetățenilor. Dreptul la protecția datelor cu caracter personal nu este un drept absolut; acesta trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității. Prezentul regulament respectă toate drepturile fundamentale și libertățile și principiile recunoscute în cartă astfel cum sunt consacrate în tratate, în special respectarea vieții private și de familie, […] a protecției datelor cu caracter personal, a libertății de gândire, de conștiință și de religie, a libertății de exprimare și de informare, a libertății de a desfășura o activitate comercială, […]

[…]

(9)

[…] Directiv[a] 95/46 […] nu a prevenit fragmentarea modului în care protecția datelor este pusă în aplicare în Uniune […] Diferențele dintre nivelurile de protecție […] din statele membre pot împiedica libera circulație a datelor cu caracter personal în întreaga Uniune. Aceste diferențe pot constitui, prin urmare, un obstacol în desfășurarea de activități economice la nivelul Uniunii […]

(10)

Pentru a se asigura un nivel consecvent și ridicat de protecție a persoanelor fizice și pentru a se îndepărta obstacolele din calea circulației datelor cu caracter personal în cadrul Uniunii, nivelul protecției drepturilor și libertăților persoanelor fizice în ceea ce privește prelucrarea unor astfel de date ar trebui să fie echivalent în toate statele membre. […]

(11)

Protecția efectivă a datelor cu caracter personal în întreaga Uniune necesită nu numai consolidarea și stabilirea în detaliu a drepturilor persoanelor vizate și a obligațiilor celor care prelucrează și decid prelucrarea datelor cu caracter personal, ci și competențe echivalente pentru monitorizarea și asigurarea conformității cu normele de protecție a datelor cu caracter personal și sancțiuni echivalente pentru infracțiuni în statele membre.

[…]

(13)

În vederea asigurării unui nivel uniform de protecție pentru persoanele fizice în întreaga Uniune și a preîntâmpinării discrepanțelor care împiedică libera circulație a datelor în cadrul pieței interne, este necesar un regulament în scopul de a furniza securitate juridică și transparență pentru operatorii economici, […] precum și de a oferi persoanelor fizice în toate statele membre același nivel de drepturi, obligații și responsabilități opozabile din punct de vedere juridic pentru operatori și persoanele împuternicite de aceștia, pentru a se asigura o monitorizare coerentă a prelucrării datelor cu caracter personal, sancțiuni echivalente în toate statele membre, precum și cooperarea eficace a autorităților de supraveghere ale diferitelor state membre. Pentru buna funcționare a pieței interne, este necesar ca libera circulație a datelor cu caracter personal în cadrul Uniunii să nu fie restricționată sau interzisă din motive legate de protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. […]

[…]

(22)

Orice prelucrare a datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator din Uniune ar trebui efectuată în conformitate cu prezentul regulament, indiferent dacă procesul de prelucrare în sine are loc sau nu în cadrul Uniunii. […]

(23)

Pentru a se asigura că persoanele fizice nu sunt lipsite de protecția la care au dreptul în temeiul prezentului regulament, prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune ar trebui să facă obiectul prezentului regulament în cazul în care activitățile de prelucrare au legătură cu oferirea de bunuri sau servicii unor astfel de persoane vizate, indiferent dacă acestea sunt sau nu legate de o plată. Pentru a determina dacă un astfel de operator sau o astfel de persoană împuternicită de operator oferă bunuri sau servicii unor persoane vizate care se află pe teritoriul Uniunii, ar trebui să se stabilească dacă reiese că operatorul sau persoana împuternicită de operator intenționează să furnizeze servicii persoanelor vizate din unul sau mai multe state membre din Uniune. […]

(24)

Prelucrarea datelor cu caracter personal ale persoanelor vizate care se află pe teritoriul Uniunii de către un operator sau o persoană împuternicită de acesta care nu își are sediul în Uniune ar trebui, de asemenea, să facă obiectul prezentului regulament în cazul în care este legată de monitorizarea comportamentului unor astfel de persoane vizate, în măsura în care acest comportament se manifestă pe teritoriul Uniunii. Pentru a se determina dacă o activitate de prelucrare poate fi considerată ca «monitorizare a comportamentului» persoanelor vizate, ar trebui să se stabilească dacă persoanele fizice sunt urmărite pe internet, inclusiv posibila utilizare ulterioară a unor tehnici de prelucrare a datelor cu caracter personal care constau în crearea unui profil al unei persoane fizice, în special în scopul de a lua decizii cu privire la aceasta sau de a analiza sau de a face previziuni referitoare la preferințele personale, comportamentele și atitudinile acesteia.

(25)

În cazul în care dreptul unui stat membru se aplică în temeiul dreptului internațional public, prezentul regulament ar trebui să se aplice, de asemenea, unui operator care nu este stabilit în Uniune, ci, de exemplu, într‑o misiune diplomatică sau într‑un oficiu consular al unui stat membru.

[…]

(65)

O persoană vizată ar trebui să aibă […] «dreptul de a fi uitată», în cazul în care păstrarea acestor date încalcă prezentul regulament sau dreptul Uniunii sau dreptul intern sub incidența căruia intră operatorul. […] Cu toate acestea, păstrarea în continuare a datelor cu caracter personal ar trebui să fie legală în cazul în care este necesară pentru exercitarea dreptului la libertatea de exprimare și de informare […]”

14

Articolul 3 din Regulamentul 2016/679, intitulat „Domeniul de aplicare teritorial”, are următorul cuprins:

„(1)   Prezentul regulament se aplică prelucrării datelor cu caracter personal în cadrul activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.

(2)   Prezentul regulament se aplică prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit(ă) în Uniune, atunci când activitățile de prelucrare sunt legate de:

(a)

oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată sau

(b)

monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.

(3)   Prezentul regulament se aplică prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într‑un loc în care dreptul intern se aplică în temeiul dreptului internațional public.”

15

Articolul 4 punctul 23 din acest regulament definește noțiunea de „prelucrare transfrontalieră” după cum urmează:

„(a)

fie prelucrarea datelor cu caracter personal care are loc în contextul activităților sediilor din mai multe state membre ale unui operator sau ale unei persoane împuternicite de operator pe teritoriul Uniunii, dacă operatorul sau persoana împuternicită de operator are sedii în cel puțin două state membre,

(b)

fie prelucrarea datelor cu caracter personal care are loc în contextul activităților unui singur sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, dar care afectează în mod semnificativ sau este susceptibilă de a afecta în mod semnificativ persoane vizate din cel puțin două state membre”.

16

Articolul 17 din regulamentul menționat, intitulat „Dreptul la ștergerea datelor («dreptul de a fi uitat»)”, are următorul cuprins:

„(1)   Persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre următoarele motive:

(a)

datele cu caracter personal nu mai sunt necesare pentru îndeplinirea scopurilor pentru care au fost colectate sau prelucrate;

(b)

persoana vizată își retrage consimțământul pe baza căruia are loc prelucrarea, în conformitate cu articolul 6 alineatul (1) litera (a) sau cu articolul 9 alineatul (2) litera (a), și nu există niciun alt temei juridic pentru prelucrare;

(c)

persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (1) și nu există motive legitime care să prevaleze în ceea ce privește prelucrarea sau persoana vizată se opune prelucrării în temeiul articolului 21 alineatul (2);

(d)

datele cu caracter personal au fost prelucrate ilegal;

(e)

datele cu caracter personal trebuie șterse pentru respectarea unei obligații legale care revine operatorului în temeiul dreptului Uniunii sau al dreptului intern sub incidența căruia se află operatorul;

(f)

datele cu caracter personal au fost colectate în legătură cu oferirea de servicii ale societății informaționale menționate la articolul 8 alineatul (1).

[…]

(3)   Alineatele (1) și (2) nu se aplică în măsura în care prelucrarea este necesară:

(a)

pentru exercitarea dreptului la liberă exprimare și la informare;

[…]”

17

Articolul 21 din același regulament, intitulat „Dreptul la opoziție”, prevede la alineatul (1):

„În orice moment, persoana vizată are dreptul de a se opune, din motive legate de situația particulară în care se află, prelucrării în temeiul articolului 6 alineatul (1) litera (e) sau (f) a datelor cu caracter personal care o privesc, inclusiv creării de profiluri pe baza respectivelor dispoziții. Operatorul nu mai prelucrează datele cu caracter personal, cu excepția cazului în care operatorul demonstrează că are motive legitime și imperioase care justifică prelucrarea și care prevalează asupra intereselor, drepturilor și libertăților persoanei vizate sau că scopul este constatarea, exercitarea sau apărarea unui drept în instanță.”

18

Articolul 55 din Regulamentul 2016/679, intitulat „Competența”, care face parte din capitolul VI din acest regulament, intitulat, la rândul său, „Autorități de supraveghere independente”, prevede la alineatul (1):

„Fiecare autoritate de supraveghere are competența să îndeplinească sarcinile și să exercite competențele care îi sunt conferite în conformitate cu prezentul regulament pe teritoriul statului membru de care aparține.”

19

Articolul 56 din regulamentul menționat, intitulat „Competența autorității de supraveghere principale”, prevede:

„(1)   Fără a aduce atingere articolului 55, autoritatea de supraveghere a sediului principal sau a sediului unic al operatorului sau al persoanei împuternicite de operator este competentă să acționeze în calitate de autoritate de supraveghere principală pentru prelucrarea transfrontalieră efectuată de respectivul operator sau respectiva persoană împuternicită în cauză în conformitate cu procedura prevăzută la articolul 60.

(2)   Prin derogare de la alineatul (1), fiecare autoritate de supraveghere este competentă să trateze o plângere depusă în atenția sa sau o eventuală încălcare a prezentului regulament, în cazul în care obiectul acesteia se referă numai la un sediu aflat în statul său membru sau afectează în mod semnificativ persoane vizate numai în statul său membru.

(3)   În cazurile menționate la alineatul (2) din prezentul articol, autoritatea de supraveghere informează fără întârziere autoritatea de supraveghere principală cu privire la această chestiune. În termen de trei săptămâni de la momentul informării, autoritatea de supraveghere principală decide dacă tratează sau nu cazul respectiv în conformitate cu procedura prevăzută la articolul 60, luând în considerare dacă există sau nu un sediu al operatorului sau al persoanei împuternicite de operator pe teritoriul statului membru a cărui autoritate de supraveghere a informat‑o.

(4)   În cazul în care autoritatea de supraveghere principală decide să trateze cazul, se aplică procedura prevăzută la articolul 60. Autoritatea de supraveghere care a informat autoritatea de supraveghere principală poate înainta un proiect de decizie acesteia din urmă. Autoritatea de supraveghere principală ține seama în cea mai mare măsură posibilă de proiectul respectiv atunci când pregătește proiectul de decizie prevăzut la articolul 60 alineatul (3).

(5)   În cazul în care autoritatea de supraveghere principală decide să nu trateze cazul, autoritatea de supraveghere care a informat autoritatea de supraveghere principală tratează cazul în conformitate cu articolele 61 și 62.

(6)   Autoritatea de supraveghere principală este singurul interlocutor al operatorului sau al persoanei împuternicite de operator în ceea ce privește prelucrarea transfrontalieră efectuată de respectivul operator sau de respectiva persoană împuternicită de operator.”

20

Articolul 58 din același regulament, intitulat „Competențe”, prevede la alineatul (2):

„Fiecare autoritate de supraveghere are toate următoarele competențe corective:

[…]

(g)

de a dispune […] ștergerea datelor cu caracter personal […] în temeiul articolelor […] 17 […];

[…]

(i)

de a impune amenzi administrative […] în completarea sau în locul măsurilor menționate la prezentul alineat, în funcție de circumstanțele fiecărui caz în parte.”

21

În capitolul VII din Regulamentul 2016/679, intitulat „Cooperare și coerență”, secțiunea I, intitulată „Cooperare”, cuprinde articolele 60-62 din acest regulament. Acest articol 60, intitulat „Cooperarea dintre autoritatea de supraveghere principală și celelalte autorități de supraveghere vizate”, prevede:

„(1)   Autoritatea de supraveghere principală cooperează cu celelalte autorități de supraveghere vizate, în conformitate cu prezentul articol, în încercarea de a ajunge la un consens. Autoritatea de supraveghere principală și autoritățile de supraveghere vizate își comunică reciproc toate informațiile relevante.

(2)   Autoritatea de supraveghere principală poate solicita în orice moment altor autorități de supraveghere vizate să ofere asistență reciprocă în temeiul articolului 61 și poate desfășura operațiuni comune în temeiul articolului 62, în special în vederea efectuării de investigații sau a monitorizării punerii în aplicare a unei măsuri referitoare la un operator sau o persoană împuternicită de operator, stabilit(ă) în alt stat membru.

(3)   Autoritatea de supraveghere principală comunică fără întârziere informațiile relevante referitoare la această chestiune celorlalte autorități de supraveghere vizate. Autoritatea de supraveghere principală transmite fără întârziere un proiect de decizie celorlalte autorități de supraveghere vizate, pentru a obține avizul lor, și ține seama în mod corespunzător de opiniile acestora.

(4)   În cazul în care oricare dintre celelalte autorități de supraveghere vizate exprimă, în termen de patru săptămâni după ce a fost consultată în conformitate cu alineatul (3) din prezentul articol, o obiecție relevantă și motivată la proiectul de decizie, autoritatea de supraveghere principală, în cazul în care nu dă curs obiecției relevante și motivate sau consideră că obiecția nu este relevantă sau motivată, sesizează mecanismul pentru asigurarea coerenței menționat la articolul 63.

(5)   În cazul în care intenționează să dea curs obiecției relevante și motivate formulate, autoritatea de supraveghere principală transmite celorlalte autorități de supraveghere vizate un proiect revizuit de decizie pentru a obține avizul acestora. Acest proiect revizuit de decizie face obiectul procedurii menționate la alineatul (4) pe parcursul unei perioade de două săptămâni.

(6)   În cazul în care niciuna dintre celelalte autorități de supraveghere vizate nu a formulat obiecții la proiectul de decizie transmis de autoritatea de supraveghere principală în termenul menționat la alineatele (4) și (5), se consideră că autoritatea de supraveghere principală și autoritățile de supraveghere vizate sunt de acord cu proiectul de decizie respectiv, care devine obligatoriu pentru acestea.

(7)   Autoritatea de supraveghere principală adoptă decizia și o notifică sediului principal sau sediului unic al operatorului sau al persoanei împuternicite de operator, după caz, și informează celelalte autorități de supraveghere vizate și comitetul cu privire la decizia în cauză, incluzând un rezumat al elementelor și motivelor relevante. Autoritatea de supraveghere la care a fost depusă plângerea informează reclamantul cu privire la decizie.

(8)   Prin derogare de la alineatul (7), în cazul în care o plângere este refuzată sau respinsă, autoritatea de supraveghere la care s‑a depus plângerea adoptă decizia, o notifică reclamantului și informează operatorul cu privire la acest lucru.

(9)   În cazul în care autoritatea de supraveghere principală și autoritățile de supraveghere vizate sunt de acord să refuze sau să respingă anumite părți ale unei plângeri și să dea curs altor părți ale plângerii respective, se adoptă o decizie separată pentru fiecare dintre aceste părți. […]

(10)   În urma notificării deciziei autorității de supraveghere principale în temeiul alineatelor (7) și (9), operatorul sau persoana împuternicită de operator ia măsurile necesare pentru a se asigura că activitățile de prelucrare sunt în conformitate cu decizia în toate sediile sale din Uniune. Operatorul sau persoana împuternicită de operator notifică măsurile luate în vederea respectării deciziei autorității de supraveghere principale, care informează celelalte autorități de supraveghere vizate.

(11)   În cazul în care, în circumstanțe excepționale, o autoritate de supraveghere vizată are motive să considere că există o nevoie urgentă de a acționa în vederea protejării intereselor persoanelor vizate, se aplică procedura de urgență prevăzută la articolul 66.

[…]”

22

Articolul 61 din regulamentul menționat, intitulat „Asistență reciprocă”, prevede la alineatul (1):

„Autoritățile de supraveghere își furnizează reciproc informații relevante și asistență pentru a pune în aplicare prezentul regulament în mod coerent și instituie măsuri de cooperare eficace între ele. Asistența reciprocă se referă, în special, la cereri de informații și măsuri de supraveghere, cum ar fi cereri privind autorizări și consultări prealabile, inspecții și investigații.”

23

Articolul 62 din același regulament, intitulat „Operațiuni comune ale autorităților de supraveghere”, prevede:

„(1)   După caz, autoritățile de supraveghere desfășoară operațiuni comune, inclusiv investigații comune și măsuri comune de aplicare a legii, în care sunt implicați membri sau personal din autoritățile de supraveghere ale altor state membre.

(2)   În cazul în care operatorul sau persoana împuternicită de operator deține sedii în mai multe state membre sau dacă un număr semnificativ de persoane vizate din mai multe state membre sunt susceptibile de a fi afectate în mod semnificativ de operațiuni de prelucrare, o autoritate de supraveghere din fiecare dintre statele membre respective are dreptul de a participa la operațiunile comune. […]”

24

Secțiunea 2, intitulată „Asigurarea coerenței”, din capitolul VII din Regulamentul 2016/679 cuprinde articolele 63-67 din acest regulament. Acest articol 63, intitulat „Mecanismul pentru asigurarea coerenței”, are următorul cuprins:

„Pentru a contribui la aplicarea coerentă a prezentului regulament în întreaga Uniune, autoritățile de supraveghere cooperează între ele și, după caz, cu Comisia prin mecanismul pentru asigurarea coerenței, astfel cum se prevede în prezenta secțiune.”

25

Articolul 65 din regulamentul menționat, intitulat „Soluționarea litigiilor de către comitet”, prevede la alineatul (1):

„Pentru a asigura aplicarea corectă și coerentă a prezentului regulament în cazuri individuale, comitetul adoptă o decizie obligatorie în următoarele cazuri:

(a)

atunci când, în unul dintre cazurile menționate la articolul 60 alineatul (4), o autoritate de supraveghere vizată a formulat o obiecție relevantă și motivată la un proiect de decizie a autorității principale sau autoritatea principală a respins o astfel de obiecție ca nefiind relevantă sau motivată. Decizia obligatorie se referă la toate chestiunile vizate de obiecția relevantă și motivată, în special la chestiunea dacă prezentul regulament a fost încălcat;

(b)

în cazul în care există opinii divergente cu privire la care dintre autoritățile de supraveghere vizate deține competența pentru sediul principal;

[…]”

26

Articolul 66 din același regulament, intitulat „Procedura de urgență”, prevede la alineatul (1):

„În circumstanțe excepționale, atunci când o autoritate de supraveghere vizată consideră că există o necesitate urgentă de a acționa în scopul protejării drepturilor și libertăților persoanelor vizate, aceasta poate, prin derogare de la mecanismul pentru asigurarea coerenței menționat la articolele 63, 64 și 65 sau de la procedura menționată la articolul 60, să adopte de îndată măsuri provizorii menite să producă efecte juridice pe propriul său teritoriu, cu o perioadă de valabilitate determinată, care să nu depășească trei luni. Autoritatea de supraveghere comunică fără întârziere aceste măsuri și motivele adoptării lor celorlalte autorități de supraveghere vizate, comitetului și Comisiei.”

27

Articolul 85 din Regulamentul 2016/679, intitulat „Prelucrarea și libertatea de exprimare și de informare”, prevede:

„(1)   Prin intermediul dreptului intern, statele membre asigură un echilibru între dreptul la protecția datelor cu caracter personal în temeiul prezentului regulament și dreptul la libertatea de exprimare și de informare, inclusiv prelucrarea în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare.

(2)   Pentru prelucrarea efectuată în scopuri jurnalistice sau în scopul exprimării academice, artistice sau literare, statele membre prevăd exonerări sau derogări de la dispozițiile capitolului II (principii), ale capitolului III (drepturile persoanei vizate), ale capitolului IV (operatorul și persoana împuternicită de operator), ale capitolului V (transferul datelor cu caracter personal către țări terțe sau organizații internaționale), ale capitolului VI (autorități de supraveghere independente), ale capitolului VII (cooperare și coerență) și ale capitolului IX (situații specifice de prelucrare a datelor) în cazul în care acestea sunt necesare pentru a asigura un echilibru între dreptul la protecția datelor cu caracter personal și libertatea de exprimare și de informare.

[…]”

Dreptul francez

28

Punerea în aplicare a Directivei 95/46 în dreptul francez este asigurată de loi no 78-17, du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (Legea nr. 78-17 din 6 ianuarie 1978 privind informatica, fișierele electronice și libertățile), în versiunea aplicabilă faptelor din litigiul principal (denumită în continuare „Legea din 6 ianuarie 1978”).

29

Articolul 45 din această lege precizează că, atunci când un operator nu respectă obligațiile care decurg din legea menționată, președintele CNIL poate să îl pună în întârziere pentru a pune capăt neîndeplinirii obligațiilor constatate într‑un termen pe care îl stabilește. În cazul în care operatorul nu se conformează punerii în întârziere care îi este adresată, formațiunea restrânsă a CNIL poate pronunța, după o procedură în contradictoriu, în special o sancțiune pecuniară.

Litigiul principal și întrebările preliminare

30

Printr‑o decizie din 21 mai 2015, președinta CNIL a pus în întârziere Google ca, atunci când admite cererea unei persoane fizice având ca obiect eliminarea din lista de rezultate, afișată în urma unei căutări efectuate plecând de la numele său, a unor linkuri care duc spre pagini web, să aplice această eliminare în privința tuturor extensiilor numelui de domeniu al motorului său de căutare.

31

Google a refuzat să se conformeze acestei puneri în întârziere, limitându‑se la eliminarea linkurilor în cauză doar din rezultatele afișate ca răspuns la căutări efectuate plecând de la numele de domeniu care corespund declinărilor motorului său de căutare în statele membre.

32

Pe de altă parte, CNIL a considerat insuficientă propunerea complementară denumită de „geoblocare” făcută de Google după expirarea termenului punerii în întârziere, constând în eliminarea posibilității de acces, de la o adresă IP (Internet Protocol) considerată a fi localizată în statul de reședință al persoanei vizate, la rezultatele în litigiu în urma unei căutări efectuate plecând de la numele acesteia, indiferent de declinarea motorului de căutare solicitată de utilizatorul de internet.

33

După ce a constatat că Google nu s‑a conformat punerii în întârziere menționate în termenul acordat, CNIL, printr‑o deliberare din data de 10 martie 2016, a aplicat acestei societăți o sancțiune de 100000 de euro, care a fost adusă la cunoștința publicului.

34

Prin cererea formulată în fața Conseil d’État (Consiliul de Stat, Franța), Google solicită anularea acestei deliberări.

35

Conseil d’État (Consiliul de Stat) arată că prelucrarea de date cu caracter personal efectuată de motorul de căutare operat de Google, având în vedere activitățile de promovare și de vânzare a spațiului publicitar desfășurate, în Franța, de filiala sa Google France, intră în domeniul de aplicare al Legii din 6 ianuarie 1978.

36

Conseil d’État (Consiliul de Stat) constată, pe de altă parte, că motorul de căutare operat de Google este declinat în diverse nume de domeniu prin extensii geografice, în vederea adaptării rezultatelor afișate la specificitățile, în special lingvistice, ale diferitor țări în care această societate își desfășoară activitatea. Atunci când căutarea este efectuată în domeniul „google.com”, Google procedează în principiu la o redirecționare automată a acestei căutări spre numele de domeniu corespunzător statului din care se consideră că se efectuează această căutare, ca urmare a identificării adresei IP a utilizatorului de internet. Cu toate acestea, indiferent de localizarea sa, utilizatorul de internet are posibilitatea de a efectua căutări pe celelalte nume de domeniu ale motorului de căutare. Pe de altă parte, deși rezultatele pot să difere în funcție de numele de domeniu plecând de la care se efectuează căutarea respectivă în motorul de căutare, este cert că linkurile afișate ca răspuns la o căutare provin din baze de date și din operațiuni de indexare comune.

37

Conseil d’État (Consiliul de Stat) apreciază că, ținând seama, pe de o parte, de faptul că toate numele de domeniu ale motorului de căutare al Google sunt accesibile de pe teritoriul francez și, pe de altă parte, de existența unor pasarele între aceste diferite nume de domeniu, puse în evidență tocmai de redirecționarea automată și de prezența identificatorilor „cookies” în alte extensii ale motorului decât cea în care au fost depuși inițial, trebuie să se considere că acest motor de căutare, care, de altfel, a făcut obiectul doar unei singure declarații la CNIL, efectuează o prelucrare de date cu caracter personal unică în sensul Legii din 6 ianuarie 1978. Ar rezulta că prelucrarea datelor cu caracter personal prin motorul de căutare operat de Google se efectuează în cadrul uneia dintre unitățile sale, Google France, stabilită pe teritoriul francez, și că este, în acest temei, supusă Legii din 6 ianuarie 1978.

38

În fața Conseil d’État (Consiliul de Stat), Google susține că sancțiunea în litigiu se întemeiază pe o interpretare eronată a dispozițiilor Legii din 6 ianuarie 1978, care transpun articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46, în temeiul cărora Curtea a recunoscut, în Hotărârea din 13 mai 2014, Google Spain și Google (C‑131/12, EU:C:2014:317), un „drept la dezindexare”. Google arată că acest drept nu implică în mod necesar eliminarea linkurilor în litigiu, fără limitare geografică, din ansamblul numelor de domeniu ale motorului său. În plus, reținând o astfel de interpretare, CNIL ar fi încălcat principiile curtoaziei și neamestecului recunoscute de dreptul internațional public și ar fi adus o atingere disproporționată libertății de exprimare, de informare, de comunicare și a presei garantate în special de articolul 11 din cartă.

39

Întrucât a constatat că această argumentație ridică mai multe dificultăți serioase de interpretare a Directivei 95/46, Conseil d’État (Consiliul de Stat) a hotărât să suspende judecarea cauzei și să adreseze Curții următoarele întrebări preliminare:

„1)

«Dreptul la dezindexare», astfel cum a fost consacrat de [Curte] prin Hotărârea din 13 mai 2014 [Google Spain și Google (C‑131/12, EU:C:2014:317)] în temeiul dispozițiilor articolului 12 litera (b) și ale articolului 14 [primul paragraf] litera (a) din Directiva [95/46], trebuie interpretat în sensul că operatorul unui motor de căutare are obligația, în cazul în care admite o cerere de dezindexare, să efectueze această dezindexare din toate numele de domeniu ale motorului său de căutare, astfel încât linkurile în litigiu să nu mai fie afișate indiferent de locul de unde este lansată căutarea privind numele solicitantului, inclusiv atunci când acest loc se află în afara domeniului de aplicare teritorial al Directivei [95/46]?

2)

În cazul unui răspuns negativ la această primă întrebare, «dreptul la dezindexare», astfel cum a fost consacrat de [Curte] prin hotărârea citată anterior, trebuie interpretat în sensul că operatorul unui motor de căutare are obligația, în cazul în care admite o cerere de dezindexare, să elimine linkurile în litigiu din lista rezultatelor afișate în urma unei căutări efectuate plecând de la numele solicitantului doar din numele de domeniu corespunzător statului în care se consideră că s‑a efectuat căutarea sau, în sens mai general, din numele de domeniu ale motorului de căutare corespunzătoare extensiilor naționale ale acestui motor în toate statele membre […]?

3)

În plus, pe lângă obligația menționată [în cea de a doua întrebare], «dreptul la dezindexare», astfel cum a fost consacrat de [Curte] prin hotărârea citată anterior, trebuie interpretat în sensul că operatorul unui motor de căutare are obligația, în cazul în care admite o cerere de dezindexare, să elimine prin tehnica denumită de «geoblocare», pornind de la o adresă IP considerată a fi localizată în statul de reședință al beneficiarului «dreptului la dezindexare», rezultatele în litigiu ale căutărilor efectuate plecând de la numele acestui beneficiar sau chiar, în sens mai general, de la o adresă IP considerată a fi localizată în unul dintre statele membre care intră sub incidența Directivei [95/46], indiferent de numele de domeniu folosit de utilizatorul de internet care efectuează căutarea?”

Cu privire la întrebările preliminare

40

Cauza principală își are originea într‑un litigiu între Google și CNIL cu privire la modul în care operatorul unui motor de căutare, atunci când constată că persoana vizată are dreptul ca unul sau mai multe linkuri către paginile web pe care figurează date cu caracter personal care o privesc să fie șterse de pe lista de rezultate, care este afișată în urma unei căutări efectuate plecând de la numele său, trebuie să pună în aplicare acest drept la dezindexare. Deși, la data introducerii cererii de decizie preliminară, era aplicabilă Directiva 95/46, aceasta a fost abrogată cu efect de la 25 mai 2018, dată de la care este aplicabil Regulamentul 2016/679.

41

Curtea va examina întrebările adresate atât în raport cu această directivă, cât și cu acest regulament, pentru a se asigura că răspunsurile sale sunt, în orice caz, utile pentru instanța de trimitere.

42

În cadrul procedurii în fața Curții, Google a arătat că, după introducerea cererii de decizie preliminară, a instituit o nouă prezentare a versiunilor naționale ale motorului său de căutare, în cadrul căreia numele de domeniu introdus de utilizatorul de internet nu ar mai determina versiunea națională a motorului de căutare la care acesta are acces. Astfel, utilizatorul de internet ar fi în prezent în mod automat direcționat către versiunea națională a motorului de căutare al Google care corespunde locului de unde se prezumă că efectuează cercetarea, iar rezultatele acesteia ar fi afișate în funcție de acest loc, care ar fi determinat de Google cu ajutorul unui procedeu de geolocalizare.

43

În aceste condiții, este necesar să se înțeleagă întrebările adresate, care trebuie analizate împreună, în sensul că urmăresc să se stabilească în esență dacă articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46, precum și articolul 17 alineatul (1) din Regulamentul 2016/679 trebuie interpretate în sensul că, atunci când operatorul unui motor de căutare admite o cerere de dezindexare în temeiul acestor dispoziții, el este obligat să efectueze această dezindexare în ansamblul versiunilor motorului său sau dacă, dimpotrivă, este obligat să o realizeze doar în versiunile acestuia care corespund ansamblului statelor membre sau chiar numai în cea care corespunde statului membru în care a fost formulată cererea de dezindexare, dacă este cazul, în combinație cu recurgerea la tehnica denumită a „geoblocajului” pentru a garanta că un utilizator de internet nu poate avea acces la linkurile vizate de dezindexare, oricare ar fi versiunea națională a motorului de căutare utilizată, în cadrul unei căutări efectuate de la o adresă IP considerată localizată în statul membru de reședință al beneficiarului dreptului la dezindexare sau, în mod mai larg, într‑un stat membru.

44

Cu titlu introductiv, trebuie amintit că Curtea a statuat că articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46 trebuie interpretate în sensul că, pentru respectarea drepturilor prevăzute de aceste dispoziții și în măsura în care condițiile prevăzute de acestea sunt îndeplinite efectiv, operatorul unui motor de căutare este obligat să elimine de pe lista de rezultate, afișată în urma unei căutări efectuate plecând de la numele unei persoane, linkurile către paginile web publicate de terți și care conțin informații referitoare la această persoană și în ipoteza în care acest nume sau aceste informații nu sunt șterse în prealabil sau simultan de pe paginile web respective, iar aceasta, dacă este cazul, chiar dacă publicarea lor în sine pe paginile menționate este legală (Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 88).

45

Curtea a precizat, în plus, că, în cadrul aprecierii condițiilor de aplicare a acelorași dispoziții, trebuie să se examineze în special dacă persoana vizată are dreptul ca informația în discuție referitoare la persoana sa să nu mai fie, în stadiul actual, asociată cu numele său prin intermediul unei liste de rezultate, afișată în urma unei căutări efectuate plecând de la numele său, fără însă ca constatarea unui asemenea drept să presupună că includerea informației în discuție pe această listă cauzează un prejudiciu acestei persoane. Întrucât aceasta din urmă poate, având în vedere drepturile sale fundamentale întemeiate pe articolele 7 și 8 din cartă, să solicite ca informația în discuție să nu mai fie pusă la dispoziția marelui public prin intermediul includerii sale într‑o asemenea listă de rezultate, aceste drepturi prevalează în principiu nu numai asupra interesului economic al operatorului motorului de căutare, ci și asupra interesului acestui public de a avea acces la informația respectivă cu ocazia unei căutări referitoare la numele acestei persoane. Nu aceasta ar fi însă situația dacă ar reieși că, din motive speciale, precum rolul jucat de persoana respectivă în viața publică, ingerința în drepturile sale fundamentale este justificată de interesul preponderent al publicului menționat de a avea acces, prin intermediul acestei includeri, la informația în discuție (Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 99).

46

În cadrul Regulamentului 2016/679, acest drept la dezindexare al persoanei vizate își găsește în prezent temeiul la articolul 17 din acesta, care reglementează în mod specific „dreptul la ștergerea datelor”, denumit de asemenea, în titlul acestui articol, „dreptul de a fi uitat”.

47

În temeiul articolului 17 alineatul (1) din Regulamentul 2016/679, persoana vizată are dreptul de a obține din partea operatorului ștergerea datelor cu caracter personal care o privesc, fără întârzieri nejustificate, iar operatorul are obligația de a șterge datele cu caracter personal fără întârzieri nejustificate în cazul în care se aplică unul dintre motivele enumerate de această dispoziție. Articolul 17 alineatul (3) din acest regulament precizează că respectivul articol 17 alineatul (1) nu se aplică în măsura în care prelucrarea în cauză este necesară pentru unul dintre motivele enumerate la această primă dispoziție. Aceste motive acoperă în special, în temeiul articolului 17 alineatul (3) litera (a) din regulamentul menționat, exercitarea dreptului referitor printre altele la libertatea de informare a utilizatorilor de internet.

48

Din articolul 4 alineatul (1) litera (a) din Directiva 95/46 și din articolul 3 alineatul (1) din Regulamentul 2016/679 rezultă că atât această directivă, cât și acest regulament permit persoanelor vizate să își valorifice dreptul la dezindexare împotriva operatorului unui motor de căutare care dispune de unul sau de mai multe sedii pe teritoriul Uniunii, în cadrul activităților cărora el efectuează o prelucrare de date cu caracter personal referitoare la aceste persoane, și aceasta independent de aspectul dacă această prelucrare are sau nu are loc în Uniune.

49

În această privință, Curtea a statuat că o prelucrare de date cu caracter personal este efectuată în cadrul activităților unui sediu al operatorului acestei prelucrări pe teritoriul unui stat membru în cazul în care operatorul unui motor de căutare înființează într‑un stat membru o sucursală sau o filială destinată să asigure promovarea și vânzarea spațiilor publicitare propuse de acest motor și a cărei activitate este orientată către locuitorii acestui stat membru (Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 60).

50

Astfel, în asemenea împrejurări, activitățile operatorului motorului de căutare și cele ale sediului său situat în Uniune sunt indisolubil legate din moment ce activitățile referitoare la spațiile publicitare constituie mijlocul de a asigura rentabilitatea din punct de vedere economic a motorului de căutare în cauză, iar acest motor este, în același timp, mijlocul care permite realizarea acestor activități, întrucât afișarea listei de rezultate este însoțită, pe aceeași pagină, de afișarea publicității legate de termenii de căutare (a se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctele 56 și 57).

51

În aceste condiții, împrejurarea că acest motor de căutare este operat de o întreprindere dintr‑un stat terț nu poate avea drept consecință faptul că prelucrarea datelor cu caracter personal efectuată pentru nevoile funcționării motorului de căutare menționat în cadrul activității publicitare și comerciale a unui sediu al operatorului acestei prelucrări pe teritoriul unui stat membru este exceptată de la obligațiile și de la garanțiile prevăzute de Directiva 95/46 și de Regulamentul 2016/679 (a se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 58).

52

În speță, din indicațiile furnizate de decizia de trimitere reiese, pe de o parte, că sediul de care dispune Google pe teritoriul francez desfășoară activități, în special comerciale și publicitare, care sunt indisolubil legate de prelucrarea datelor cu caracter personal efectuată pentru nevoile funcționării motorului de căutare vizat și, pe de altă parte, că trebuie să se considere că acest motor de căutare, ținând seama printre altele de existența unor pasarele între diferitele sale versiuni naționale, efectuează o prelucrare de date cu caracter personal unică. Instanța de trimitere consideră că, în aceste condiții, prelucrarea menționată este efectuată în cadrul sediului Google situat pe teritoriul francez. Rezultă astfel că o asemenea situație intră în domeniul de aplicare teritorial al Directivei 95/46 și al Regulamentului 2016/679.

53

Prin intermediul întrebărilor formulate, instanța de trimitere urmărește să se stabilească întinderea teritorială care trebuie conferită unei dezindexări într‑o asemenea situație.

54

În această privință, reiese din considerentul (10) al Directivei 95/46 și din considerentele (10), (11) și (13) ale Regulamentului 2016/679, care a fost adoptat în temeiul articolului 16 TFUE, că obiectivul acestei directive și al acestui regulament este de a garanta un nivel ridicat de protecție a datelor cu caracter personal în întreaga Uniune.

55

Desigur, o dezindexare realizată în ansamblul versiunilor unui motor de căutare este de natură să satisfacă pe deplin acest obiectiv.

56

Astfel, internetul este o rețea mondială fără frontiere, iar motoarele de căutare conferă un caracter ubicuu informațiilor și linkurilor conținute într‑o listă de rezultate afișată în urma unei cercetări efectuate plecând de la numele unei persoane fizice (a se vedea în acest sens Hotărârea din 13 mai 2014, Google Spain și Google, C‑131/12, EU:C:2014:317, punctul 80, precum și Hotărârea din 17 octombrie 2017, Bolagsupplysningen și Ilsjan, C‑194/16, EU:C:2017:766, punctul 48).

57

Într‑o lume globalizată, accesul utilizatorilor de internet, în special al celor care se află în afara Uniunii, la indexarea unui link care trimite la informații cu privire la o persoană al cărei centru de interese este situat în Uniune este astfel susceptibil să producă asupra acesteia efecte imediate și substanțiale chiar în cadrul Uniunii.

58

Asemenea considerații sunt de natură să justifice existența unei competențe a legiuitorului Uniunii de a prevedea obligația operatorului unui motor de căutare de a efectua, atunci când admite o cerere de dezindexare formulată de o asemenea persoană, o dezindexare în ansamblul versiunilor motorului său.

59

Cu toate acestea, trebuie subliniat că numeroase state terțe nu cunosc dreptul la dezindexare sau adoptă o abordare diferită față de acest drept.

60

Pe de altă parte, dreptul la protecția datelor cu caracter personal nu este un drept absolut, ci trebuie luat în considerare în raport cu funcția pe care o îndeplinește în societate și trebuie echilibrat cu alte drepturi fundamentale, în conformitate cu principiul proporționalității [a se vedea în acest sens Hotărârea din 9 noiembrie 2010, Volker und Markus Schecke și Eifert, C‑92/09 și C‑93/09, EU:C:2010:662, punctul 48, precum și Avizul 1/15 (Acordul PNR UE‑Canada) din 26 iulie 2017, EU:C:2017:592, punctul 136]. La aceasta se adaugă faptul că echilibrul dintre dreptul la respectarea vieții private și la protecția datelor cu caracter personal, pe de o parte, și libertatea de informare a utilizatorilor de internet, pe de altă parte, este susceptibil să varieze în mod semnificativ la nivel mondial.

61

Or, deși legiuitorul Uniunii a efectuat, la articolul 17 alineatul (3) litera (a) din Regulamentul 2016/679, o evaluare comparativă între acest drept și această libertate în ceea ce privește Uniunea [a se vedea în acest sens Hotărârea, pronunțată astăzi, GC și alții (Dezindexarea unor date sensibile), C‑136/17, punctul 59], trebuie să se constate că, în schimb, în stadiul actual, el nu a procedat la o asemenea evaluare comparativă în ceea ce privește întinderea unei dezindexări în afara Uniunii.

62

În special, nu reiese nicidecum din termenii articolului 12 litera (b) și ai articolului 14 primul paragraf litera (a) din Directiva 95/46 sau ai articolului 17 din Regulamentul 2016/679 că, pentru a garanta realizarea obiectivului menționat la punctul 54 din prezenta hotărâre, legiuitorul Uniunii ar fi ales să confere drepturilor consacrate la aceste dispoziții o întindere care ar depăși teritoriul statelor membre și că ar fi intenționat să impună unui operator care, precum Google, intră în domeniul de aplicare al acestei directive sau al acestui regulament o obligație de dezindexare care privește de asemenea versiunile naționale ale motorului său de căutare care nu corespund statelor membre.

63

De altfel, în timp ce Regulamentul 2016/679 furnizează, la articolele 56 și 60-66 din acesta, autorităților de supraveghere din statele membre instrumentele și mecanismele care le permit, dacă este cazul, să coopereze pentru a ajunge la o decizie comună întemeiată pe o evaluare comparativă între dreptul persoanei vizate la respectarea vieții sale private și la protecția datelor cu caracter personal care o privesc și interesul publicului din diferite state membre de a avea acces la o informație, trebuie să se constate că dreptul Uniunii nu prevede în prezent asemenea instrumente și mecanisme de cooperare în ceea ce privește întinderea unei dezindexări în afara Uniunii.

64

Rezultă că, în stadiul actual, nu există pentru operatorul unui motor de căutare care admite o cerere de dezindexare formulată de persoana vizată, eventual ca urmare a unei somații a unei autorități de supraveghere sau a unei autorități judiciare dintr‑un stat membru, o obligație care decurge din dreptul Uniunii de a efectua o asemenea dezindexare în ansamblul versiunilor motorului său.

65

Ținând seama de ansamblul acestor considerații, operatorul unui motor de căutare nu poate fi obligat, în temeiul articolului 12 litera (b) și al articolului 14 primul paragraf litera (a) din Directiva 95/46, precum și al articolului 17 alineatul (1) din Regulamentul 2016/679, să efectueze o dezindexare în ansamblul versiunilor motorului său.

66

În ceea ce privește aspectul dacă o asemenea dezindexare trebuie să se efectueze în versiunile motorului de căutare care corespund statelor membre sau numai în versiunea acestui motor ce corespunde statului membru de reședință al beneficiarului dezindexării, rezultă în special din faptul că legiuitorul Uniunii a ales în prezent să stabilească normele în materie de protecție a datelor prin intermediul unui regulament, care este direct aplicabil în toate statele membre, și aceasta, astfel cum subliniază considerentul (10) al Regulamentului 2016/679, pentru a se asigura un nivel consecvent și ridicat de protecție în întreaga Uniune și pentru a se înlătura obstacolele din calea circulației datelor din cadrul acesteia, că se presupune că dezindexarea în cauză este în principiu efectuată pentru ansamblul statelor membre.

67

Cu toate acestea, trebuie să se constate că interesul publicului de a avea acces la o informație poate, chiar în cadrul Uniunii, să varieze de la un stat membru la altul, astfel încât rezultatul evaluării comparative care trebuie efectuată între acesta, pe de o parte, și drepturile la respectarea vieții private și la protecția datelor cu caracter personal ale persoanei vizate, pe de altă parte, nu este în mod necesar același pentru toate statele membre, cu atât mai mult cu cât, în temeiul articolului 9 din Directiva 95/46 și al articolului 85 din Regulamentul 2016/679, este de competența statelor membre să prevadă, în special în cazul prelucrărilor efectuate numai în scopuri jurnalistice, artistice sau literare, exonerări și derogări necesare pentru a pune aceste drepturi în acord, printre altele, cu libertatea de informare.

68

Rezultă în special din articolele 56 și 60 din Regulamentul 2016/679 că, pentru prelucrările transfrontaliere, în sensul articolului 4 punctul 23 din acesta, și sub rezerva acestui articol 56 alineatul (2), diferitele autorități de supraveghere naționale vizate trebuie să coopereze, potrivit procedurii prevăzute de aceste dispoziții, pentru a ajunge la un consens și la o decizie unică ce leagă ansamblul acestor autorități și a cărei respectare trebuie asigurată de operator în ceea ce privește activitățile de prelucrare desfășurate în cadrul tuturor sediilor sale din Uniune. Pe de altă parte, articolul 61 alineatul (1) din Regulamentul 2016/679 obligă autoritățile de supraveghere în special să își furnizeze reciproc informații relevante și asistență pentru a pune în aplicare acest regulament în mod coerent în întreaga Uniune, iar articolul 63 din regulamentul menționat precizează că acesta este scopul în care este prevăzut mecanismul pentru asigurarea coerenței, stabilit la articolele 64 și 65 din același regulament. În sfârșit, procedura de urgență prevăzută la articolul 66 din Regulamentul 2016/679 permite, în circumstanțe excepționale, atunci când o autoritate de supraveghere vizată consideră că există o necesitate urgentă de a acționa în scopul protejării drepturilor și libertăților persoanelor vizate, să se adopte de îndată măsuri provizorii menite să producă efecte juridice pe propriul său teritoriu, cu o perioadă de valabilitate determinată, care să nu depășească trei luni.

69

Acest cadru normativ furnizează astfel autorităților naționale de supraveghere instrumentele și mecanismele necesare pentru a pune în acord drepturile la respectarea vieții private și la protecția datelor cu caracter personal ale persoanei vizate cu interesul ansamblului publicului din statele membre de a avea acces la informația în discuție și, astfel, pentru a putea adopta, dacă este cazul, o decizie de dezindexare care să acopere ansamblul căutărilor efectuate pe baza numelui acestei persoane de pe teritoriul Uniunii.

70

Revine, în plus, operatorului motorului de căutare sarcina de a lua, dacă este necesar, măsuri suficient de eficiente pentru a asigura o protecție efectivă a drepturilor fundamentale ale persoanei vizate. Aceste măsuri trebuie, ele însele, să îndeplinească toate cerințele legale și să aibă ca efect împiedicarea sau, cel puțin, descurajarea în mod serios a utilizatorilor de internet din statele membre de la a avea acces la linkurile în cauză plecând de la o căutare efectuată pe baza numelui acestei persoane (a se vedea prin analogie Hotărârea din 27 martie 2014, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, punctul 62, și Hotărârea din 15 septembrie 2016, Mc Fadden, C‑484/14, EU:C:2016:689, punctul 96).

71

Revine instanței de trimitere sarcina de a verifica dacă, având în vedere și modificările recente ale motorului său de căutare, expuse la punctul 42 din prezenta hotărâre, măsurile adoptate sau propuse de Google îndeplinesc aceste cerințe.

72

În sfârșit, trebuie să se sublinieze că, deși, astfel cum s‑a arătat la punctul 64 din prezenta hotărâre, dreptul Uniunii nu impune, în stadiul actual, ca dezindexarea care s‑ar admite să privească ansamblul versiunilor motorului de căutare în cauză, nici nu o interzice. Prin urmare, o autoritate de supraveghere sau o autoritate judiciară dintr‑un stat membru rămâne competentă să efectueze, în raport cu standardele naționale de protecție a drepturilor fundamentale (a se vedea în acest sens Hotărârea din 26 februarie 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punctul 29, și Hotărârea din 26 februarie 2013, Melloni, C‑399/11, EU:C:2013:107, punctul 60), o evaluare comparativă între, pe de o parte, dreptul persoanei vizate la respectarea vieții sale private și la protecția datelor cu caracter personal care o privesc și, pe de altă parte, dreptul la libertatea de informare și, în urma acestei evaluări comparative, să impună, dacă este cazul, operatorului acestui motor de căutare să procedeze la o dezindexare privind ansamblul versiunilor acestui motor.

73

Având în vedere tot ceea ce precedă, este necesar să se răspundă la întrebările adresate că articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46, precum și articolul 17 alineatul (1) din Regulamentul 2016/679 trebuie interpretate în sensul că, atunci când operatorul unui motor de căutare admite o cerere de dezindexare în temeiul acestor dispoziții, el nu este obligat să efectueze această dezindexare în ansamblul versiunilor motorului său, ci în versiunile acestuia care corespund ansamblului statelor membre, iar aceasta, dacă este necesar, în combinație cu măsuri care, îndeplinind totodată cerințele legale, permit efectiv să îi împiedice sau, cel puțin, să îi descurajeze în mod serios pe utilizatorii de internet care efectuează o căutare pe baza numelui persoanei vizate din unul dintre statele membre de la a avea acces, prin intermediul listei de rezultate afișate în urma acestei căutări, la linkurile care fac obiectul acestei cereri.

Cu privire la cheltuielile de judecată

74

Întrucât, în privința părților din litigiul principal, procedura are caracterul unui incident survenit la instanța de trimitere, este de competența acesteia să se pronunțe cu privire la cheltuielile de judecată. Cheltuielile efectuate pentru a prezenta observații Curții, altele decât cele ale părților menționate, nu pot face obiectul unei rambursări.

 

Pentru aceste motive, Curtea (Marea Cameră) declară:

 

Articolul 12 litera (b) și articolul 14 primul paragraf litera (a) din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date, precum și articolul 17 alineatul (1) din Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și privind libera circulație a acestor date și de abrogare a Directivei 95/46 (Regulamentul general privind protecția datelor) trebuie interpretate în sensul că, atunci când operatorul unui motor de căutare admite o cerere de dezindexare în temeiul acestor dispoziții, el nu este obligat să efectueze această dezindexare în ansamblul versiunilor motorului său, ci în versiunile acestuia care corespund ansamblului statelor membre, iar aceasta, dacă este necesar, în combinație cu măsuri care, îndeplinind totodată cerințele legale, permit efectiv să îi împiedice sau, cel puțin, să îi descurajeze în mod serios pe utilizatorii de internet care efectuează o căutare pe baza numelui persoanei vizate din unul dintre statele membre de la a avea acces, prin intermediul listei de rezultate afișate în urma acestei căutări, la linkurile care fac obiectul acestei cereri.

 

Semnături


( *1 ) Limba de procedură: franceza.

Top