–

Google LLC, genom P. Spinosi, Y. Pelosi och W. Maxwell, avocats,

–

Commission nationale de l’informatique et des libertés (CNIL), genom I. Falque-Pierrotin, J. Lessi och G. Le Grand, samtliga i egenskap av ombud,

–

Wikimedia Foundation Inc., genom C. Rameix-Seguin, avocate,

–

Fondation pour la liberté de la presse, genom T. Haas, avocat,

–

Microsoft Corp., genom E. Piwnica, avocat,

–

Reporters Committee for Freedom of the Press m.fl., genom F. Louis, avocat, samt H.-G. Kamann, C. Schwedler och M. Braun, Rechtsanwälte,

–

Article 19 m.fl., genom G. Tapie, avocat, G. Facenna, QC, och E. Metcalfe, barrister,

–

Internet Freedom Foundation m.fl., genom T. Haas, avocat,

–

Défenseur des droits, genom J. Toubon, i egenskap av ombud,

–

Frankrikes regering, genom D. Colas, R. Coesme, E. de Moustier och S. Ghiandoni, samtliga i egenskap av ombud,

–

Irland, genom M. Browne, G. Hodge, J. Quaney och A. Joyce, samtliga i egenskap av ombud, biträdda av M. Gray, BL,

–

Greklands regering, genom E.-M. Mamouna, G. Papadaki, E. Zisi och S. Papaioannou, samtliga i egenskap av ombud,

–

Italiens regering, genom G. Palmieri, i egenskap av ombud, biträdd av R. Guizzi, avvocato dello Stato,

–

Österrikes regering, genom G. Eberhard och G. Kunnert, båda i egenskap av ombud,

–

Polens regering, genom B. Majczyna, M. Pawlicka och J. Sawicka, samtliga i egenskap av ombud,

–

Europeiska kommissionen, genom A. Buchet, H. Kranenborg och D. Nardi, samtliga i egenskap av ombud,

1

Begäran om förhandsavgörande avser tolkningen av Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (EGT L 281, 1995, s. 31).

2

Begäran har framställts i ett mål mellan å ena sidan Google LLC, som trätt i stället för Google Inc., och å andra sidan Commission nationale de l’informatique et des libertés (CNIL) (Frankrike). Målet rör den sanktionsavgift om 100000 euro som sistnämnda part påförde Google på grund av bolagets vägran att när det efterkommer en begäran om borttagande av länkar som visas vid sökningar med Googles sökmotor, ta bort dessa länkar oavsett från vilken toppdomän sökningen har gjorts.

3

Enligt artikel 1.1 i direktiv 95/46 är syftet med direktivet att skydda fysiska personers grundläggande fri- och rättigheter, särskilt rätten till privatliv, i samband med behandling av personuppgifter, samt att avskaffa hindren mot det fria flödet av personuppgifter.

4

Skälen 2, 7, 10, 18, 20 och 37 i direktiv 95/46 lyder enligt följande:

…

…

…

…

…

5

Artikel 2 i nämnda direktiv har följande lydelse:

”I detta direktiv avses med

…

…”

6

Artikel 4 i direktivet, med rubriken ”Tillämplig nationell rätt”, lyder enligt följande:

”1.   Varje medlemsstat skall tillämpa de nationella bestämmelser som den för genomförandet av detta direktiv antar för behandlingen av personuppgifter när

2.   Under de omständigheter som avses i punkt 1 c) måste den registeransvarige utse en företrädare som är etablerad inom den berörda medlemsstatens territorium, utan att detta i övrigt påverkar de eventuella rättsliga åtgärder som kan komma att inledas mot den ansvarige själv.”

7

Artikel 9 i direktiv 95/46, som har rubriken ”Behandling av personuppgifter och yttrandefriheten”, lyder enligt följande:

”Medlemsstaterna skall med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande besluta om undantag och avvikelser från bestämmelserna i detta kapitel, kapitel IV och kapitel VI endast om de är nödvändiga för att förena rätten till privatlivet med reglerna om yttrandefriheten.”

8

Artikel 12 i direktivet har rubriken ”Rätt till tillgång” och innehåller följande bestämmelse:

”Medlemsstaterna skall säkerställa att varje registrerad har rätt att från den registeransvarige

…

…”

9

I direktivets artikel 14, som har rubriken ”Den registrerades rätt att göra invändningar”, anges följande:

”Medlemsstaterna skall tillförsäkra den registrerade rätten att

…”

10

Artikel 24 i direktiv 95/46 har rubriken ”Sanktioner” och där anges följande:

”Medlemsstaterna skall anta lämpliga bestämmelser för att säkerställa att detta direktiv genomförs fullständigt och skall särskilt besluta om de sanktioner som skall användas vid överträdelse av de bestämmelser som antagits för att genomföra detta direktiv.”

11

I artikel 28 i direktivet, som har rubriken ”Tillsynsmyndighet”, föreskrivs följande:

”1.   Varje medlemsstat skall tillse att det utses en eller flera myndigheter som har till uppgift att inom dess territorium övervaka tillämpningen av de bestämmelser som medlemsstaterna antar till följd av detta direktiv.

…

3.   Varje tillsynsmyndighet skall särskilt ha

…

Sådana beslut av tillsynsmyndigheten som går en part emot kan överklagas till domstol.

4.   Var och en kan, på egen hand eller företrädd av en organisation, vända sig till tillsynsmyndigheten med begäran om skydd för sina fri- och rättigheter med avseende på behandling av personuppgifter. Den berörda personen skall informeras om vilka följder hans begäran har fått.

…

6.   En tillsynsmyndighet har, oavsett vilken nationell lagstiftning som gäller för den aktuella behandlingen, behörighet att inom sin egen medlemsstats territorium utöva de befogenheter som i enlighet med punkt 3 åligger den. Varje myndighet kan av en myndighet i en annan medlemsstat anmodas att utöva sina befogenheter.

De övervakande myndigheterna skall i den utsträckning som det behövs samarbeta med varandra, särskilt genom att utbyta användbar information.

…”

12

Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 2016, s. 1, och rättelse i EUT L 127, 2018, s. 2), som grundar sig på artikel 16 FEUF, är enligt artikel 99.2 tillämplig från och med den 25 maj 2018. I artikel 94.1 i förordningen anges att direktiv 95/46 ska upphöra att gälla med verkan från och med samma datum.

13

Skälen 1, 4, 9–11, 13, 22–25 och 65 i nämnda förordning lyder enligt följande:

…

…

…

…

…

14

Artikel 3 i förordning 2016/679, med rubriken ”Territoriellt tillämpningsområde”, har följande lydelse:

”1.   Denna förordning ska tillämpas på behandlingen av personuppgifter inom ramen för den verksamhet som bedrivs på personuppgiftsansvarigas eller personuppgiftsbiträdens verksamhetsställen inom unionen, oavsett om behandlingen utförs i unionen eller inte.

2.   Denna förordning ska tillämpas på behandling av personuppgifter som avser registrerade som befinner sig i unionen och som utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde som inte är etablerad i unionen, om behandlingen har anknytning till

3.   Denna förordning ska tillämpas på behandling av personuppgifter som utförs av en personuppgiftsansvarig som inte är etablerad i unionen, men på en plats där en medlemsstats nationella rätt gäller enligt folkrätten.”

15

I artikel 4.23 i förordningen definieras begreppet ”gränsöverskridande behandling” på följande sätt

16

Artikel 17 i förordningen, med rubriken ”Rätt till radering (’rätten att bli bortglömd’)”, har följande lydelse:

”1.   Den registrerade ska ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera personuppgifter om något av följande gäller:

…

3.   Punkterna 1 och 2 ska inte gälla i den utsträckning som behandlingen är nödvändig av följande skäl:

…”

17

Artikel 21 i samma förordning har rubriken ”Rätt att göra invändningar”. I artikel 21.1 föreskrivs följande:

”Den registrerade ska, av skäl som hänför sig till hans eller hennes specifika situation, ha rätt att när som helst göra invändningar mot behandling av personuppgifter avseende honom eller henne som grundar sig på artikel 6.1 e eller f, inbegripet profilering som grundar sig på dessa bestämmelser. Den personuppgiftsansvarige får inte längre behandla personuppgifterna såvida denne inte kan påvisa avgörande berättigade skäl för behandlingen som väger tyngre än den registrerades intressen, rättigheter och friheter eller om det sker för fastställande, utövande eller försvar av rättsliga anspråk.”

18

Artikel 55 i förordning 2016/679, med rubriken ”Behörighet”, ingår i kapitel VI i denna förordning, som i sin tur har rubriken ”Oberoende tillsynsmyndigheter”. I artikel 55.1 föreskrivs följande:

”Varje tillsynsmyndighet ska vara behörig att utföra de uppgifter och utöva de befogenheter som tilldelas den enligt denna förordning inom sin egen medlemsstats territorium.”

19

I artikel 56 i förordningen, som har rubriken ”Den ansvariga tillsynsmyndighetens behörighet”, föreskrivs följande:

”1.   Utan att det påverkar tillämpningen av artikel 55 ska tillsynsmyndigheten för den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga verksamhetsställe eller enda verksamhetsställe vara behörig att agera som ansvarig tillsynsmyndighet för den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling i enlighet med det förfarande som föreskrivs i artikel 60.

2.   Genom undantag från punkt 1 ska varje tillsynsmyndighet vara behörig att behandla ett klagomål som lämnats in till denna eller en eventuell överträdelse av denna förordning, om sakfrågan i ärendet endast rör ett verksamhetsställe i medlemsstaten eller i väsentlig grad påverkar registrerade endast i medlemsstaten.

3.   I de fall som avses i punkt 2 i den här artikeln ska tillsynsmyndigheten utan dröjsmål informera den ansvariga tillsynsmyndigheten om detta ärende. Inom tre veckor från det att den underrättats ska den ansvariga tillsynsmyndigheten besluta huruvida den kommer att behandla ärendet i enlighet med det förfarande som föreskrivs i artikel 60, med hänsyn till huruvida den personuppgiftsansvarige eller personuppgiftsbiträdet har eller inte har ett verksamhetsställe som är beläget i den medlemsstat där den tillsynsmyndighet som lämnat informationen är belägen.

4.   Om den ansvariga tillsynsmyndigheten beslutar att behandla ärendet ska det ske i enlighet med det förfarande som föreskrivs i artikel 60. Den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten får lämna in ett utkast till beslut till den ansvariga tillsynsmyndigheten. Den ansvariga tillsynsmyndigheten ska ta största möjliga hänsyn till detta utkast till beslut när den utarbetar det utkast till beslut som avses i artikel 60.3.

5.   Om den ansvariga tillsynsmyndigheten beslutar att inte behandla ärendet ska den tillsynsmyndighet som underrättade den ansvariga tillsynsmyndigheten behandla ärendet i enlighet med artiklarna 61 och 62.

6.   Den ansvariga tillsynsmyndigheten ska vara den personuppgiftsansvariges eller personuppgiftsbiträdets enda motpart när det gäller den personuppgiftsansvariges eller personuppgiftsbiträdets gränsöverskridande behandling.”

20

Artikel 58 i samma förordning har rubriken ”Befogenheter”. I artikel 58.2 föreskrivs följande:

”Varje tillsynsmyndighet ska ha samtliga följande korrigerande befogenheter

…

…

21

I kapitel VII i förordning 2016/679, med rubriken ”Samarbete och enhetlighet” återfinns avsnitt I som har rubriken ”Samarbete” och innehåller artiklarna 60–62. I artikel 60, som har rubriken ”Samarbete mellan den ansvariga tillsynsmyndigheten och de andra berörda tillsynsmyndigheterna”, föreskrivs följande:

”1.   Den ansvariga tillsynsmyndigheten ska samarbeta med de andra berörda tillsynsmyndigheterna i enlighet med denna artikel i en strävan att uppnå samförstånd. Den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna ska utbyta all relevant information med varandra.

2.   Den ansvariga tillsynsmyndigheten får när som helst begära att andra berörda tillsynsmyndigheter ger ömsesidigt bistånd i enlighet med artikel 61 och får genomföra gemensamma insatser i enlighet med artikel 62, i synnerhet för att utföra utredningar eller övervaka genomförandet av en åtgärd som avser en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i en annan medlemsstat.

3.   Den ansvariga tillsynsmyndigheten ska utan dröjsmål meddela de andra berörda tillsynsmyndigheterna den relevanta informationen i ärendet. Den ska utan dröjsmål lägga fram ett utkast till beslut för de andra berörda tillsynsmyndigheterna så att de kan avge ett yttrande och ta vederbörlig hänsyn till deras synpunkter.

4.   Om någon av de andra berörda tillsynsmyndigheterna inom en period av fyra veckor efter att de har rådfrågats i enlighet med punkt 3 i den här artikeln uttrycker en relevant och motiverad invändning mot utkastet till beslut ska den ansvariga tillsynsmyndigheten, om den inte instämmer i den relevanta och motiverade invändningen eller anser att invändningen inte är relevant eller motiverad, överlämna ärendet till den mekanism för enhetlighet som avses i artikel 63.

5.   Om den ansvariga tillsynsmyndigheten avser att följa den relevanta och motiverade invändningen ska den till de andra berörda tillsynsmyndigheterna överlämna ett reviderat utkast till beslut så att de kan avge ett yttrande. Detta reviderade utkast till beslut ska omfattas av det förfarande som avses i punkt 4 inom en period av två veckor.

6.   Om ingen av de andra berörda tillsynsmyndigheterna har gjort invändningar mot det utkast till beslut som den ansvariga tillsynsmyndigheten har lagt fram inom den period som avses i punkterna 4 och 5 ska den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna anses samtycka till detta utkast till beslut och ska vara bundna av det.

7.   Den ansvariga tillsynsmyndigheten ska anta och meddela beslutet till den personuppgiftsansvariges eller personuppgiftsbiträdets huvudsakliga eller enda verksamhetsställe, allt efter omständigheterna, och underrätta de andra berörda tillsynsmyndigheterna och styrelsen om beslutet i fråga, inbegripet en sammanfattning av relevanta fakta och en relevant motivering. Den tillsynsmyndighet till vilken ett klagomål har lämnats in ska underrätta den enskilde om beslutet.

8.   Om ett klagomål avvisas eller avslås ska den tillsynsmyndighet till vilken klagomålet lämnades in, genom undantag från punkt 7, anta beslutet och meddela den enskilde samt informera den personuppgiftsansvarige.

9.   Om den ansvariga tillsynsmyndigheten och de berörda tillsynsmyndigheterna är överens om att avvisa eller avslå delar av ett klagomål och att vidta åtgärder beträffande andra delar av klagomålet ska ett separat beslut antas för var och en av dessa delar av frågan …

10.   Efter att den personuppgiftsansvarige eller personuppgiftsbiträdet har meddelats om den ansvariga myndighetens beslut i enlighet med punkterna 7 och 9 ska den personuppgiftsansvarige eller personuppgiftsbiträdet vidta nödvändiga åtgärder för att se till att beslutet efterlevs vad gäller behandling med koppling till alla deras verksamhetsställen i unionen. Den personuppgiftsansvarige eller personuppgiftsbiträdet ska meddela den ansvariga tillsynsmyndigheten vilka åtgärder som har vidtagits för att efterleva beslutet, och den ansvariga tillsynsmyndigheten ska informera de andra berörda tillsynsmyndigheterna.

11.   Om en berörd tillsynsmyndighet under exceptionella omständigheter har skäl att anse att det finns ett brådskande behov av att agera för att skydda registrerades intressen ska det skyndsamma förfarande som avses i artikel 66 tillämpas.

…”

22

Artikel 61 i nämnda förordning har rubriken ”Ömsesidigt bistånd”. I artikel 61.1 anges följande:

”Tillsynsmyndigheterna ska utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt, och ska införa åtgärder som bidrar till ett verkningsfullt samarbete. Det ömsesidiga biståndet ska i synnerhet omfatta begäranden om information och tillsynsåtgärder, till exempel begäranden om utförande av förhandstillstånd och förhandssamråd, inspektioner och utredningar.”

23

Artikel 62 i samma förordning har rubriken ”Tillsynsmyndigheters gemensamma insatser” och innehåller följande bestämmelser:

”1.   Tillsynsmyndigheter ska vid behov genomföra gemensamma insatser, inbegripet gemensamma utredningar och gemensamma verkställighetsåtgärder i vilka ledamöter eller personal från andra medlemsstaters tillsynsmyndigheter deltar.

2.   Om den personuppgiftsansvarige eller personuppgiftsbiträdet har verksamhetsställen i flera medlemsstater eller om ett betydande antal registrerade personer i mer än en medlemsstat sannolikt kommer att påverkas i väsentlig grad av att uppgifter behandlas, ska tillsynsmyndigheterna i var och en av dessa medlemsstater ha rätt att delta i de gemensamma insatserna …”

24

Avsnitt 2, med rubriken ”Enhetlighet”, som ingår i kapitel VII i förordning 2016/679, innehåller artiklarna 63–67. Artikel 63, som har rubriken ”Mekanism för enhetlighet”, lyder enligt följande:

”För att bidra till en enhetlig tillämpning av denna förordning i hela unionen ska tillsynsmyndigheterna samarbeta med varandra och, i förekommande fall, med kommissionen, genom den mekanism för enhetlighet som föreskrivs i detta avsnitt.”

25

I artikel 65 i nämnda förordning har rubriken ”Tvistlösning genom styrelsen”. I artikel 65.1 föreskrivs följande:

”För att säkerställa en korrekt och enhetlig tillämpning av denna förordning i enskilda fall ska styrelsen anta ett bindande beslut i följande fall:

…”

26

Artikel 66 i samma förordning har rubriken ”Skyndsamt förfarande”. I artikel 66.1 föreskrivs följande:

”Under exceptionella omständigheter får en berörd tillsynsmyndighet med avvikelse från den mekanism för enhetlighet som avses i artiklarna 63, 64 och 65 eller det förfarande som avses i artikel 60 omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter. Tillsynsmyndigheten ska utan dröjsmål underrätta de andra berörda tillsynsmyndigheterna, styrelsen och kommissionen om dessa åtgärder och om skälen till att de vidtas.”

27

I artikel 85 i förordning nr 2016/679, som har rubriken ”Behandling och yttrande- och informationsfriheten”, föreskrivs följande:

”1.   Medlemsstaterna ska i lag förena rätten till integritet i enlighet med denna förordning med yttrande- och informationsfriheten, inbegripet behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande.

2.   Medlemsstaterna ska, för behandling som sker för journalistiska ändamål eller för akademiskt, konstnärligt eller litterärt skapande, fastställa undantag eller avvikelser från kapitel II (principer), kapitel III (den registrerades rättigheter), kapitel IV (personuppgiftsansvarig och personuppgiftsbiträde), kapitel V (överföring av personuppgifter till tredjeländer eller internationella organisationer), kapitel VI (oberoende tillsynsmyndigheter), kapitel VII (samarbete och enhetlighet) och kapitel IX (särskilda situationer vid behandling av personuppgifter) om dessa är nödvändiga för att förena rätten till integritet med yttrande- och informationsfriheten.

…”

28

Direktiv 95/46 införlivades med fransk rätt genom loi no 78–17 relative à l’informatique, aux fichiers et aux libertés (lag nr 78–17 om databehandling, register och friheter) av den 6 januari 1978 i den lydelse som är tillämplig på omständigheterna i det nationella målet (nedan kallad lagen av den 6 januari 1978).

29

Det framgår av artikel 45 i denna lag att om den registeransvarige inte uppfyller sina skyldigheter enligt lagen kan CNIL:s ordförande genom föreläggande förplikta vederbörande att vidta rättelse inom den frist som ordföranden fastställer. Om den registeransvarige inte rättar sig efter föreläggandet kan CNIL i liten sammansättning efter ett kontradiktoriskt förfarande fatta beslut om bland annat ekonomiska sanktioner.

30

Genom beslut av den 21 maj 2015 utfärdade CNIL:s ordförande ett föreläggande mot Google. Föreläggandet innebar att när en fysisk person har begärt att länkar till vissa webbsidor ska tas bort från den träfflista som visas vid en sökning på personens namn, och Google efterkommer denna begäran, så är bolaget skyldigt att se till att länkarna tas bort oavsett vilken toppdomän som har använts vid sökningen i Googles sökmotor.

31

Google vägrade att efterkomma föreläggandet, och inskränkte sig till att ta bort länkarna från de sökresultat som visas när den version av Googles sökmotor som har använts motsvarar en medlemsstats landsdomän.

32

Vidare fann CNIL att det inte räckte med de ytterligare åtgärder i form av en ”geoblockering” som Google, efter utgången av fristen för föreläggandet, erbjöd sig att vidta och som innebär att det blir omöjligt att från en IP-adress (Internet Protocol address) som anses vara knuten till den berörda personens bosättningsstat komma åt de omtvistade sökträffarna vid en sökning på personens namn, oberoende av den använda sökmotorns toppdomän.

33

Vid en överläggning som ägde rum den 10 mars 2016 fattade CNIL, efter att ha konstaterat att Google inte hade rättat sig efter föreläggandet inom den angivna fristen, ett – därefter offentliggjort – beslut om att påföra bolaget en sanktionsavgift om 100000 euro.

34

Google överklagade beslutet till Conseil d’État (Högsta förvaltningsdomstolen, Frankrike), och yrkade att detta skulle ogiltigförklaras.

35

Conseil d’État (Högsta förvaltningsdomstolen) konstaterade att lagen av den 6 januari 1978, med beaktande av den marknadsföring och försäljning av reklamutrymme som Google bedriver i Frankrike genom sitt dotterbolag Google France, är tillämplig på den behandling av personuppgifter som utförs av Googles sökmotor.

36

Conseil d’État (Högsta förvaltningsdomstolen) påpekade vidare att Googles sökmotor använder olika geografiska toppdomäner för att anpassa visningen av sökresultaten till den situation – bland annat språksituationen – som råder i de olika länder där bolaget är verksamt. När en sökning görs från ”google.com” ser Google i princip till att sökningen automatiskt dirigeras om till toppdomänen för det land där sökningen, enligt vad som framgår av identifieringen av internetanvändarens IP-adress, har utförts. Internetanvändaren har dock alltid möjlighet att, oavsett var han eller hon befinner sig, utföra sina sökningar i sökmotorn från andra toppdomäner. Även om sökresultaten kan variera beroende på från vilken toppdomän sökningen har utförts i sökmotorn påstås det vara vedertaget att de sökträffar som visas härrör från gemensamma databaser och ett gemensamt indexeringsarbete.

37

Conseil d’État (Högsta förvaltningsdomstolen) anser att med beaktande av dels att Googles sökmotors samtliga toppdomäner är åtkomliga från franskt territorium, dels att det finns ”broar” mellan dessa olika domäner, något som bland annat illustreras av den automatiska omdirigeringen och av de kakor (”cookies”) som återfinns även på andra toppdomäner för sökmotorn än den där de ursprungligen lades in, ska denna sökmotor – som för övrigt inte har blivit föremål för mer än en anmälan till CNIL – vid tillämpningen av lagen av den 6 januari 1978 anses utföra en enda behandling av personuppgifter. Av detta följer att Googles sökmotors behandling av personuppgifter sker inom ramen för ett av Googles verksamhetsställen, Google France, som är etablerat på franskt territorium, och som därmed omfattas av lagen av den 6 januari 1978.

38

Google anförde vid Conseil d’État (Högsta förvaltningsdomstolen) att den omtvistade sanktionsåtgärden grundas på en felaktig tolkning av de bestämmelser i lagen av den 6 januari 1978 som införlivar artikel 12 b och artikel 14 första stycket a i direktiv 95/46 med fransk rätt, vilka artiklar låg till grund för EU-domstolens erkännande av en ”rätt till borttagande av länkar” i domen av den 13 maj 2014, Google Spain och Google (C‑131/12, EU:C:2014:317). Google gjorde gällande att denna rätt inte nödvändigtvis innebär att länkarna ska tas bort, utan någon geografisk begränsning, från sökmotorns samtliga domäner. Genom att göra en sådan tolkning har CNIL enligt Google åsidosatt de folkrättsligt erkända principerna om hövlighet och icke-inblandning och på ett oproportionerligt sätt inskränkt den yttrandefrihet, informationsfrihet och spridningsrätt som bland annat garanteras i artikel 11 i stadgan.

39

Efter att ha konstaterat att dessa argument ger upphov till ett flertal allvarliga tolkningsproblem med avseende på direktiv 95/46 beslutade Conseil d’État (Högsta förvaltningsdomstolen) att vilandeförklara målet och ställa följande frågor till EU-domstolen:

40

Målet vid den nationella domstolen har sin upprinnelse i en tvist mellan Google och CNIL som handlar om på vilket sätt en sökmotorleverantör ska genomföra rätten till borttagande av länkar när den konstaterar att den registrerade har rätt att få en eller flera länkar till webbsidor med personuppgifter om den registrerade personen raderade från den lista över sökresultat som visas vid en sökning på den berörda personens namn. Direktiv 95/46 var tillämpligt när begäran om förhandsavgörande framställdes, men upphävdes med verkan från och med den 25 maj 2018, då förordning 2016/679 blev tillämplig.

41

EU-domstolen kommer att pröva tolkningsfrågorna mot bakgrund av både direktivet och förordningen, för att se till att svaren på frågorna under alla omständigheter blir användbara för den hänskjutande domstolen.

42

Under förfarandet vid EU-domstolen har Google uppgett att bolaget efter det att begäran om förhandsavgörande framställdes införde en ny utformning av de nationella versionerna av sökmotorn som innebär att det domännamn som internetanvändaren anger inte längre är avgörande för vilken nationell version av sökmotorn som vederbörande kommer till. Hädanefter kommer en internetanvändare således automatiskt att dirigeras till den nationella version av Googles sökmotor som svarar mot den plats från vilken internetanvändaren förutsätts utföra sin sökning. Visningen av sökresultaten kommer att variera beroende på vilken denna plats är. Platsen kommer att fastställas av Google med hjälp av geolokalisering.

43

Under dessa förhållanden ska tolkningsfrågorna, som ska prövas gemensamt, uppfattas så, att de handlar om huruvida artikel 12 b och artikel 14 första stycket a i direktiv 95/46 samt artikel 17.1 i förordning 2016/679 ska tolkas på så sätt att en sökmotorleverantör, som efterkommer en begäran om borttagande av länkar med tillämpning av dessa bestämmelser, är skyldig att se till att borttagandet omfattar samtliga versioner av dess sökmotor eller om dennes skyldighet – tvärtom – endast gäller för de versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner, eller till och med endast för den version av sökmotorn som motsvarar landsdomänen för den medlemsstat där begäran om borttagande har lämnats in, vid behov i kombination med användning av den teknik som kallas geoblockering, för att säkerställa att en internetanvändare inte kan komma åt de länkar som ska tas bort, oavsett vilken nationell version av sökmotorn som används, när internetanvändaren gör sökningen från en IP-adress som anses vara knuten till den stat där den person som har rätt till borttagande av länkar är bosatt.

44

Först och främst ska det erinras om att EU-domstolen har slagit fast att artikel 12 b och artikel 14 första stycket a i direktiv 95/46 ska tolkas så, att sökmotorleverantören, för att iaktta de rättigheter som föreskrivs i dessa bestämmelser och i den mån villkoren i dessa bestämmelser faktiskt är uppfyllda, är skyldig att från listan över sökresultat, som visas till följd av en sökning på en persons namn, avlägsna länkar till webbsidor som publicerats av tredje män och som innehåller information om denna person, även för det fall detta namn eller denna information inte tidigare eller samtidigt avlägsnas från dessa webbsidor och, i förekommande fall, även om själva publiceringen av namnet eller informationen på nämnda webbsidor är laglig (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 88).

45

Därutöver har domstolen preciserat att det vid prövningen av villkoren för att tillämpa dessa bestämmelser, bland annat ska undersökas huruvida den berörda personen har en rätt att förhindra att informationen rörande hans eller hennes person inte längre, i det aktuella skedet, ska kopplas till dennes namn genom en lista över sökresultat som visas efter det att en sökning gjorts på personens namn. För att en sådan rätt ska anses föreligga krävs det inte att den berörda personen orsakas skada av att informationen i fråga återfinns i listan över sökresultat. Eftersom den berörda personen, med beaktande av dennes grundläggande rättigheter enligt artiklarna 7 och 8 i stadgan, kan begära att informationen i fråga inte längre ska göras tillgänglig för den breda allmänheten genom att tas med i en sådan lista över sökresultat, väger dessa rättigheter i princip inte bara tyngre än sökmotorleverantörens ekonomiska intressen, utan också tyngre än den breda allmänhetens intresse av att få tillgång till denna information vid en sökning på den berörda personens namn. Så är emellertid inte fallet om ingreppet i den berörda personens grundläggande rättigheter av särskilda skäl, såsom den roll den berörda personen spelar i det offentliga livet, är motiverat av den breda allmänhetens övervägande intresse av att få tillgång till informationen i fråga genom att den tas med i listan över sökresultat (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 99).

46

Inom ramen för förordning 2016/679 har den berörda personens rätt till borttagande av länkar numera sin grund i artikel 17 i förordningen, som specifikt reglerar ”rätten till radering”. I artikelns rubrik kallas den även för ”rätten att bli bortglömd”.

47

Enligt artikel 17.1 i förordning nr 2016/679 ska den registrerade ha rätt att av den personuppgiftsansvarige utan onödigt dröjsmål få sina personuppgifter raderade och den personuppgiftsansvarige ska vara skyldig att utan onödigt dröjsmål radera dessa uppgifter om något av de fall som räknas upp i den bestämmelsen föreligger. I artikel 17.3 i denna förordning preciseras att nämnda artikel 17.1 inte ska gälla i den utsträckning som behandlingen är nödvändig av något av de skäl som räknas upp i artikel 17.3. Ett av de skäl som artikel 17.3 a i nämnda förordning täcker in är att rätten till informationsfrihet måste kunna utövas.

48

Det följer av artikel 4.1 a i direktiv 95/46 och av artikel 3.1 i förordning 2016/679 att både direktivet och förordningen gör det möjligt för registrerade personer att göra gällande sin rätt till borttagande av länkar mot en sökmotorleverantör som förfogar över ett eller flera verksamhetsställen inom unionen om denne behandlar personuppgifter som rör dessa personer inom ramen för dessa verksamhetsställen, detta oavsett om behandlingen utförs i unionen eller inte.

49

Domstolen har slagit fast att det utförs en behandling av personuppgifter som ett led i verksamheten vid ett etableringsställe tillhörande den registeransvarige på en medlemsstats territorium när sökmotorleverantören etablerar en filial eller ett dotterbolag i en medlemsstat för att marknadsföra och sälja reklamutrymme hos sökmotorn, och filialen eller dotterbolagets verksamhet är riktad mot invånarna i den medlemsstaten (dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 60).

50

Under sådana förhållanden har nämligen sökmotorleverantörens verksamhet och den verksamhet som bedrivs av etableringsstället i unionen ett oupplösligt samband, eftersom verksamheten avseende marknadsföring och försäljning av reklamutrymme är det som gör sökmotorn ekonomiskt lönsam och sökmotorn samtidigt är det som gör att verksamheten avseende marknadsföring och försäljning av reklamutrymme kan genomföras, och eftersom träfflistan och den reklam som har ett samband med sökorden visas på samma sida (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkterna 56 och 57).

51

Under dessa förhållanden kan den omständigheten att sökmotorn tillhandahålls av ett företag i en stat utanför unionen inte medföra att ett undantag från skyldigheterna och garantierna i direktiv 95/46 och förordning 2016/679 ska gälla för den behandling av personuppgifter som, för att sökmotorn ska fungera, utförs som ett led i den reklamrelaterade och kommersiella verksamhet som bedrivs av den registeransvariges etableringsställe på en medlemsstats territorium (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 58).

52

I förevarande fall framgår det av de uppgifter som lämnats i begäran om förhandsavgörande dels att Googles etableringsställe i Frankrike bedriver verksamhet, bland annat reklamrelaterad och kommersiell sådan, som är oupplösligt förbunden med den behandling av personuppgifter som utförs för att sökmotorn ska fungera, dels att denna sökmotor, bland annat med beaktande av de ”broar” som existerar mellan dess olika nationella versioner, ska anses utföra en enda behandling av personuppgifter. Den hänskjutande domstolen anser att nämnda behandling under dessa omständigheter ska anses utföras inom ramen för verksamhet vid Googles etableringsställe i Frankrike. Det framgår således att en sådan situation omfattas av det territoriella tillämpningsområdet för direktiv 95/46 och förordning 2016/679.

53

Den hänskjutande domstolen har ställt sina frågor för att få klarhet i vilken territoriell räckvidd som borttagandet av länkar ska ges i en sådan här situation.

54

Det framgår av skäl 10 i direktiv 95/46 och av skälen 10, 11 och 13 i förordning 2016/679, som antogs med stöd av artikel 16 FEUF, att målet med direktivet och förordningen är att säkerställa en hög skyddsnivå för personuppgifter i hela unionen.

55

Detta mål kan mycket riktigt uppfyllas till fullo om länkarna tas bort från samtliga versioner av en sökmotor.

56

Internet är nämligen ett världsomspännande nätverk utan gränser, och sökmotorerna gör att den information och de länkar som visas i träfflistan vid en sökning på namnet på en fysisk person finns tillgängliga överallt på samma gång (se, för ett liknande resonemang, dom av den 13 maj 2014, Google Spain och Google, C‑131/12, EU:C:2014:317, punkt 80, och dom av den 17 oktober 2017, Bolagsupplysningen och Ilsjan, C‑194/16, EU:C:2017:766, punkt 48).

57

Domstolen finner således att då vi lever i en globaliserad värld kan det faktum att internetanvändare, bland annat de som befinner sig utanför unionen, ges tillgång till länkar till information om en person vars huvudsakliga intressen finns inom unionen, få omedelbara och väsentliga verkningar för denna person inom unionen.

58

Sådana överväganden kan tala för att unionslagstiftaren bör vara behörig att föreskriva en skyldighet för sökmotorleverantörer att, när dessa efterkommer en begäran om borttagande av länkar som framställts av en sådan person, ta bort länkarna från samtliga versioner av sökmotorn.

59

Det ska dock understrykas att det finns många stater utanför unionen som antingen inte erkänner någon rätt till borttagande av länkar eller som har en annan inställning till denna rättighet.

60

Dessutom är rätten till skydd för personuppgifter inte någon absolut rättighet, utan den ska ses mot bakgrund av dess funktion i samhället och vägas mot andra grundläggande rättigheter, i enlighet med proportionalitetsprincipen (se, för ett liknande resonemang, dom av den 9 november 2010, Volker und Markus Schecke och Eifert, C‑92/09 och C‑93/09, EU:C:2010:662, punkt 48, och yttrande 1/15 (avtal om passageraruppgifter EU–Kanada), av den 26 juli 2017, EU:C:2017:592, punkt 136). Till detta kommer att balansen mellan å ena sidan rätten till respekt för privatlivet och skyddet för personuppgifter och å andra sidan internetanvändarnas informationsfrihet kan variera avsevärt beroende på var i världen man befinner sig.

61

Unionslagstiftaren har visserligen i artikel 17.3 a i förordning 2016/679 gjort en avvägning mellan denna rättighet och denna frihet vad gäller unionen (se, för ett liknande resonemang, den dom som meddelas i dag i målet GC m.fl. (Borttagande av länkar till känsliga uppgifter), C‑136/17, punkt 59). Den har däremot hittills inte gjort någon sådan avvägning beträffande borttagandet av sökträffar utanför unionen.

62

Framför allt följer det inte på något sätt av ordalydelsen i artikel 12 b och artikel 14 första stycket a i direktiv 95/46 eller i artikel 17 i förordning 2016/679 att unionslagstiftaren, i syfte att säkerställa förverkligandet av det mål som nämns ovan i punkt 54, skulle ha valt att tillerkänna de rättigheter som stadgas i dessa bestämmelser räckvidd utöver medlemsstaternas territorier och att den skulle ha haft för avsikt att tvinga en aktör som är underkastad direktivet eller förordningen, såsom Google, att ta bort sökträffar även från de nationella versioner av dess sökmotor som inte motsvarar medlemsstaternas landsdomäner.

63

För övrigt konstaterar domstolen att förordning 2016/679, genom artiklarna 56 och 60–66, ger medlemsstaternas tillsynsmyndigheter de instrument och mekanismer de behöver för att, vid behov, samarbeta för att nå fram till ett gemensamt beslut grundat på en avvägning mellan å ena sidan den registrerades rätt till respekt för sitt privatliv och till skydd för personuppgifter som rör honom eller henne och å andra sidan det intresse som allmänheten i olika medlemsstater har av att få tillgång till viss information, men att unionsrätten i nuläget inte innehåller några sådana instrument och mekanismer för samarbete när det gäller borttagande av länkar utanför unionen.

64

Av detta följer att en sökmotorleverantör som efterkommer en begäran om borttagande av länkar som framställts av en registrerad person, i förekommande fall efter ett föreläggande från en tillsynsmyndighet eller en domstol i en medlemsstat, för närvarande inte har någon skyldighet enligt unionsrätten att ta bort länkarna från samtliga versioner av dess sökmotor.

65

Mot bakgrund av samtliga dessa överväganden finner domstolen att en sökmotorleverantör inte kan vara skyldig, enligt artikel 12 b och artikel 14 första stycket a i direktiv 95/46 och artikel 17.1 i förordning 2016/679, att ta bort länkarna från samtliga versioner av dess sökmotor.

66

När det gäller frågan huruvida ett sådant borttagande ska omfatta samtliga versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner eller om det endast ska omfatta den version av sökmotorn som motsvarar landsdomänen för den stat där den person som har rätt till borttagandet av länkar är bosatt gör EU-domstolen följande bedömning. Bland annat det faktum att unionslagstiftaren har valt att uppgiftsskyddet hädanefter ska vara reglerat genom en förordning, som är direkt tillämplig i samtliga medlemsstater, och att unionslagstiftaren – såsom understryks i skäl 10 i förordning 2016/679 – har gjort detta för att säkra en enhetlig och hög skyddsnivå i hela unionen och för att se till att hindren för uppgiftsflödena inom unionen undanröjs, visar att det i princip förutsätts att borttagandet i fråga ska ske med avseende på samtliga medlemsstater.

67

Det ska dock konstateras att allmänhetens intresse av att få tillgång till viss information kan variera, till och med inom unionen, från en medlemsstat till en annan – så att den avvägning som ska göras mellan å ena sidan detta intresse, och å andra sidan rätten till respekt för privatlivet och skyddet för personuppgifter som rör den registrerade, inte nödvändigtvis leder till samma resultat för samtliga medlemsstater – särskilt med hänsyn till att det enligt artikel 9 i direktiv 95/46 och artikel 85 i förordning 2016/679 ankommer på medlemsstaterna att, bland annat med avseende på behandling av personuppgifter som sker uteslutande för journalistiska ändamål eller konstnärligt eller litterärt skapande, besluta om de undantag och avvikelser som är nödvändiga för att jämka samman dessa rättigheter med, bland annat, informationsfriheten.

68

Det framgår bland annat av artiklarna 56 och 60 i förordning 2016/679 att de berörda nationella tillsynsmyndigheterna, när det gäller gränsöverskridande behandling i den mening som avses i artikel 4.23 i förordningen, och med förbehåll för vad som anges i artikel 56.2, ska samarbeta i enlighet med det förfarande som föreskrivs i dessa bestämmelser, för att uppnå ett samförstånd och ett enda beslut. Beslutet är bindande för samtliga dessa myndigheter och den personuppgiftsansvarige ska se till att beslutet efterlevs vad gäller behandling med koppling till alla sina verksamhetsställen i unionen. Vidare är tillsynsmyndigheterna enligt artikel 61.1 i förordning 2016/679 bland annat skyldiga att utbyta relevant information och ge ömsesidigt bistånd i arbetet för att genomföra och tillämpa denna förordning på ett enhetligt sätt inom hela unionen, och i artikel 63 i nämnda förordning preciseras att det är för detta ändamål som man har infört mekanismen för enhetlighet enligt artiklarna 64 och 65 i samma förordning. Slutligen införs genom artikel 66 i förordning 2016/679 ett brådskande förfarande. Enligt detta får en berörd tillsynsmyndighet, under exceptionella omständigheter, omedelbart vidta provisoriska åtgärder avsedda att ha rättsverkan på det egna territoriet och med förutbestämd varaktighet som inte överskrider tre månader, om den anser att det finns ett brådskande behov av att agera för att skydda registrerades rättigheter och friheter.

69

Detta regelverk ger således de nationella tillsynsmyndigheterna de instrument och mekanismer som är nödvändiga för man ska kunna jämka samman rätten till respekt för privatlivet och till skydd för personuppgifter som rör den registrerade med det intresse som allmänheten i sin helhet i medlemsstaterna har av att få tillgång till informationen i fråga och, således, för att man vid behov ska kunna besluta om borttagande av länkar med avseende på samtliga sökningar på personens namn som görs från unionens territorium.

70

Dessutom åligger det sökmotorleverantören att vid behov vidta åtgärder som är tillräckligt effektiva för att säkerställa ett verkningsfullt skydd av den registrerades grundläggande rättigheter. Dessa åtgärder måste i sig uppfylla samtliga rättsliga krav och hindra, eller åtminstone i betydande utsträckning avhålla, internetanvändarna i medlemsstaterna från att skaffa sig tillgång till de aktuella länkarna utifrån en sökning på personens namn (se, analogt, dom av den 27 mars 2014, UPC Telekabel Wien, C‑314/12, EU:C:2014:192, punkt 62, och dom av den 15 september 2016, Mc Fadden, C‑484/14, EU:C:2016:689, punkt 96).

71

Det ankommer på den hänskjutande domstolen att, med beaktande även av de nyligen gjorda anpassningarna av Googles sökmotor som beskrivs ovan i punkt 42, pröva huruvida de åtgärder som bolaget vidtagit eller föreslagit uppfyller dessa krav.

72

Det ska slutligen understrykas att även om unionsrätten, såsom har angetts ovan i punkt 64, i nuläget inte kräver att det borttagande av länkar som beviljas ska omfatta samtliga versioner av sökmotorn, så innehåller den inte heller något förbud mot detta. Medlemsstaternas myndigheter och domstolar förblir således behöriga att tillämpa de nationella normerna för skydd av grundläggande rättigheter (se, för ett liknande resonemang, dom av den 26 februari 2013, Åkerberg Fransson, C‑617/10, EU:C:2013:105, punkt 29, och dom av den 26 februari 2013, Melloni, C‑399/11, EU:C:2013:107, punkt 60) för att göra en avvägning mellan å ena sidan den registrerades rätt till respekt för sitt privatliv och till skydd för personuppgifter som rör honom eller henne, och å andra sidan rätten till informationsfrihet, och de behåller sin behörighet att efter denna avvägning, i förekommande fall, förelägga sökmotorleverantören att ta bort länkarna från samtliga versioner av sökmotorn.

73

Mot bakgrund av det ovan anförda ska tolkningsfrågorna besvaras enligt följande: Artikel 12 b och artikel 14 första stycket a i direktiv 95/46 samt artikel 17.1 i förordning 2016/679 ska tolkas på så sätt att den skyldighet att ta bort länkar som åligger en sökmotorleverantör som efterkommer en begäran om borttagande av länkar med tillämpning av dessa bestämmelser, inte omfattar samtliga versioner av dess sökmotor, men däremot samtliga de versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner. Sökmotorleverantören är även skyldig att vid behov vidta åtgärder vilka, samtidigt som de uppfyller de rättsliga kraven, faktiskt kan hindra, eller åtminstone i betydande utsträckning avhålla, de internetanvändare som gör en sökning på personens namn från någon av medlemsstaterna, från att skaffa sig tillgång till de länkar som begäran avser via den träfflista som visas vid denna sökning.

74

Eftersom förfarandet i förhållande till parterna i det nationella målet utgör ett led i beredningen av samma mål, ankommer det på den hänskjutande domstolen att besluta om rättegångskostnaderna. De kostnader för att avge yttrande till domstolen som andra än nämnda parter har haft är inte ersättningsgilla.

Mot denna bakgrund beslutar domstolen (stora avdelningen) följande:

Artikel 12 b och artikel 14 första stycket a i Europaparlamentets och rådets direktiv 95/46/EG av den 24 oktober 1995 om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter samt artikel 17.1 i Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46, ska tolkas på så sätt att den skyldighet att ta bort länkar som åligger en sökmotorleverantör som efterkommer en begäran om borttagande av länkar med tillämpning av dessa bestämmelser, inte omfattar samtliga versioner av dess sökmotor, men däremot samtliga de versioner av sökmotorn som motsvarar medlemsstaternas landsdomäner. Sökmotorleverantören är även skyldig att vid behov vidta åtgärder vilka, samtidigt som de uppfyller de rättsliga kraven, faktiskt kan hindra, eller åtminstone i betydande utsträckning avhålla, de internetanvändare som gör en sökning på personens namn från någon av medlemsstaterna, från att skaffa sig tillgång till de länkar som begäran avser via den träfflista som visas vid denna sökning.