Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González.

• Jurisdiction: European Union
• Court: Court of Justice (European Union)
• Date: 13 May 2014

ARRÊT DE LA COUR (grande chambre)

13 mai 2014 ( *1 )

«Données à caractère personnel — Protection des personnes physiques à l’égard du traitement de ces données — Directive 95/46/CE — Articles 2, 4, 12 et 14 — Champ d’application matériel et territorial — Moteurs de recherche sur Internet — Traitement des données contenues dans des sites web — Recherche, indexation et stockage de ces données — Responsabilité de l’exploitant du moteur de recherche — Établissement sur le territoire d’un État membre — Portée des obligations de cet exploitant et des droits de la personne concernée — Charte des droits fondamentaux de l’Union européenne — Articles 7 et 8»

Dans l’affaire C‑131/12,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Audiencia Nacional (Espagne), par décision du 27 février 2012, parvenue à la Cour le 9 mars 2012, dans la procédure

Google Spain SL,

Google Inc.

contre

Agencia Española de Protección de Datos (AEPD),

Mario Costeja González,

LA COUR (grande chambre),

composée de M. V. Skouris, président, M. K. Lenaerts, vice-président, MM. M. Ilešič (rapporteur), L. Bay Larsen, T. von Danwitz, M. Safjan, présidents de chambre, MM. J. Malenovský, E. Levits, A. Ó Caoimh, A. Arabadjiev, Mmes M. Berger, A. Prechal et M. E. Jarašiūnas, juges,

avocat général: M. N. Jääskinen,

greffier: Mme M. Ferreira, administrateur principal,

vu la procédure écrite et à la suite de l’audience du 26 février 2013,

considérant les observations présentées:

— pour Google Spain SL et Google Inc., par Mes F. González Díaz, J. Baño Fos et B. Holles, abogados,

— pour M. Costeja González, par Me J. Muñoz Rodríguez, abogado,

— pour le gouvernement espagnol, par M. A. Rubio González, en qualité d’agent,

— pour le gouvernement hellénique, par Mme E.‑M. Mamouna et M. K. Boskovits, en qualité d’agents,

— pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

— pour le gouvernement autrichien, par M. G. Kunnert et Mme C. Pesendorfer, en qualité d’agents,

— pour le gouvernement polonais, par MM. B. Majczyna et M. Szpunar, en qualité d’agents,

— pour la Commission européenne, par Mme I. Martínez del Peral et M. B. Martenczuk, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 25 juin 2013,

rend le présent

Arrêt

1 La demande de décision préjudicielle porte sur l’interprétation des articles 2, sous b) et d), 4, paragraphe 1, sous a) et c), 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), ainsi que de l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la «Charte»).

2 Cette demande a été présentée dans le cadre d’un litige opposant Google Spain SL (ci-après «Google Spain») et Google Inc. à l’Agencia Española de Protección de Datos (AEPD) (agence de protection des données, ci-après l’«AEPD») et à M. Costeja González au sujet d’une décision de cette agence faisant droit à la plainte déposée par M. Costeja González contre ces deux sociétés et ordonnant à Google Inc. d’adopter les mesures nécessaires pour retirer des données à caractère personnel concernant M. Costeja González de son index et d’empêcher l’accès à celles-ci à l’avenir.

Le cadre juridique

Le droit de l’Union

3 La directive 95/46 qui, selon son article 1er, a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données, énonce à ses considérants 2, 10, 18 à 20 et 25: «(2) considérant que les systèmes de traitement de données sont au service de l’homme; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au [...] bien-être des individus; [...] (10) considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950,] et dans les principes généraux du droit communautaire; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté; [...] (18) considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres; que, à cet égard, il est opportun de soumettre les traitements des données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État; (19) considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux; (20) considérant que l’établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l’État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés; [...] (25) considérant que les principes de la protection doivent trouver leur expression, d’une part, dans les obligations mises à la charge des personnes [...] qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l’autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d’autre part, dans les droits donnés aux personnes dont les données font l’objet d’un traitement d’être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances».

4 L’article 2 de la directive 95/46 dispose que, «[a]ux fins de [celle-ci], on entend par: a) ‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale; b) ‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction; [...] d) ‘responsable du traitement’: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire; [...]»

5 L’article 3 de ladite directive, intitulé «Champ d’application», énonce à son paragraphe 1: «La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.»

6 L’article 4 de la même directive, intitulé «Droit national applicable», prévoit: «1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque: a) le traitement est effectué dans...