Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González.

JurisdictionEuropean Union
CourtCourt of Justice (European Union)
Writing for the CourtIlešič
ECLIECLI:EU:C:2014:317
Celex Number62012CJ0131
Docket NumberC‑131/12
Procedure typeReference for a preliminary ruling
62012CJ0131

ARRÊT DE LA COUR (grande chambre)

13 mai 2014 ( *1 )

«Données à caractère personnel — Protection des personnes physiques à l’égard du traitement de ces données — Directive 95/46/CE — Articles 2, 4, 12 et 14 — Champ d’application matériel et territorial — Moteurs de recherche sur Internet — Traitement des données contenues dans des sites web — Recherche, indexation et stockage de ces données — Responsabilité de l’exploitant du moteur de recherche — Établissement sur le territoire d’un État membre — Portée des obligations de cet exploitant et des droits de la personne concernée — Charte des droits fondamentaux de l’Union européenne — Articles 7 et 8»

Dans l’affaire C‑131/12,

ayant pour objet une demande de décision préjudicielle au titre de l’article 267 TFUE, introduite par l’Audiencia Nacional (Espagne), par décision du 27 février 2012, parvenue à la Cour le 9 mars 2012, dans la procédure

Google Spain SL,

Google Inc.

contre

Agencia Española de Protección de Datos (AEPD),

Mario Costeja González,

LA COUR (grande chambre),

composée de M. V. Skouris, président, M. K. Lenaerts, vice-président, MM. M. Ilešič (rapporteur), L. Bay Larsen, T. von Danwitz, M. Safjan, présidents de chambre, MM. J. Malenovský, E. Levits, A. Ó Caoimh, A. Arabadjiev, Mmes M. Berger, A. Prechal et M. E. Jarašiūnas, juges,

avocat général: M. N. Jääskinen,

greffier: Mme M. Ferreira, administrateur principal,

vu la procédure écrite et à la suite de l’audience du 26 février 2013,

considérant les observations présentées:

pour Google Spain SL et Google Inc., par Mes F. González Díaz, J. Baño Fos et B. Holles, abogados,

pour M. Costeja González, par Me J. Muñoz Rodríguez, abogado,

pour le gouvernement espagnol, par M. A. Rubio González, en qualité d’agent,

pour le gouvernement hellénique, par Mme E.‑M. Mamouna et M. K. Boskovits, en qualité d’agents,

pour le gouvernement italien, par Mme G. Palmieri, en qualité d’agent, assistée de M. P. Gentili, avvocato dello Stato,

pour le gouvernement autrichien, par M. G. Kunnert et Mme C. Pesendorfer, en qualité d’agents,

pour le gouvernement polonais, par MM. B. Majczyna et M. Szpunar, en qualité d’agents,

pour la Commission européenne, par Mme I. Martínez del Peral et M. B. Martenczuk, en qualité d’agents,

ayant entendu l’avocat général en ses conclusions à l’audience du 25 juin 2013,

rend le présent

Arrêt

1

La demande de décision préjudicielle porte sur l’interprétation des articles 2, sous b) et d), 4, paragraphe 1, sous a) et c), 12, sous b), et 14, premier alinéa, sous a), de la directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (JO L 281, p. 31), ainsi que de l’article 8 de la charte des droits fondamentaux de l’Union européenne (ci-après la «Charte»).

2

Cette demande a été présentée dans le cadre d’un litige opposant Google Spain SL (ci-après «Google Spain») et Google Inc. à l’Agencia Española de Protección de Datos (AEPD) (agence de protection des données, ci-après l’«AEPD») et à M. Costeja González au sujet d’une décision de cette agence faisant droit à la plainte déposée par M. Costeja González contre ces deux sociétés et ordonnant à Google Inc. d’adopter les mesures nécessaires pour retirer des données à caractère personnel concernant M. Costeja González de son index et d’empêcher l’accès à celles-ci à l’avenir.

Le cadre juridique

Le droit de l’Union

3

La directive 95/46 qui, selon son article 1er, a pour objet la protection des libertés et des droits fondamentaux des personnes physiques, notamment du droit à la vie privée, à l’égard du traitement des données à caractère personnel, ainsi que l’élimination des obstacles à la libre circulation de ces données, énonce à ses considérants 2, 10, 18 à 20 et 25:

«(2)

considérant que les systèmes de traitement de données sont au service de l’homme; qu’ils doivent, quelle que soit la nationalité ou la résidence des personnes physiques, respecter les libertés et droits fondamentaux de ces personnes, notamment la vie privée, et contribuer au [...] bien-être des individus;

[...]

(10)

considérant que l’objet des législations nationales relatives au traitement des données à caractère personnel est d’assurer le respect des droits et libertés fondamentaux, notamment du droit à la vie privée reconnu également dans l’article 8 de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales[, signée à Rome le 4 novembre 1950,] et dans les principes généraux du droit communautaire; que, pour cette raison, le rapprochement de ces législations ne doit pas conduire à affaiblir la protection qu’elles assurent mais doit, au contraire, avoir pour objectif de garantir un niveau élevé de protection dans la Communauté;

[...]

(18)

considérant qu’il est nécessaire, afin d’éviter qu’une personne soit exclue de la protection qui lui est garantie en vertu de la présente directive, que tout traitement de données à caractère personnel effectué dans la Communauté respecte la législation de l’un des États membres; que, à cet égard, il est opportun de soumettre les traitements des données effectués par toute personne opérant sous l’autorité du responsable du traitement établi dans un État membre à l’application de la législation de cet État;

(19)

considérant que l’établissement sur le territoire d’un État membre suppose l’exercice effectif et réel d’une activité au moyen d’une installation stable; que la forme juridique retenue pour un tel établissement, qu’il s’agisse d’une simple succursale ou d’une filiale ayant la personnalité juridique, n’est pas déterminante à cet égard; que, lorsqu’un même responsable est établi sur le territoire de plusieurs États membres, en particulier par le biais d’une filiale, il doit s’assurer, notamment en vue d’éviter tout contournement, que chacun des établissements remplit les obligations prévues par le droit national applicable aux activités de chacun d’eux;

(20)

considérant que l’établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l’État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés;

[...]

(25)

considérant que les principes de la protection doivent trouver leur expression, d’une part, dans les obligations mises à la charge des personnes [...] qui traitent des données, ces obligations concernant en particulier la qualité des données, la sécurité technique, la notification à l’autorité de contrôle, les circonstances dans lesquelles le traitement peut être effectué, et, d’autre part, dans les droits donnés aux personnes dont les données font l’objet d’un traitement d’être informées sur celui-ci, de pouvoir accéder aux données, de pouvoir demander leur rectification, voire de s’opposer au traitement dans certaines circonstances».

4

L’article 2 de la directive 95/46 dispose que, «[a]ux fins de [celle-ci], on entend par:

a)

‘données à caractère personnel’: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale;

b)

‘traitement de données à caractère personnel’ (traitement): toute opération ou ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, ainsi que le verrouillage, l’effacement ou la destruction;

[...]

d)

‘responsable du traitement’: la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel; lorsque les finalités et les moyens du traitement sont déterminés par des dispositions législatives ou réglementaires nationales ou communautaires, le responsable du traitement ou les critères spécifiques pour le désigner peuvent être fixés par le droit national ou communautaire;

[...]»

5

L’article 3 de ladite directive, intitulé «Champ d’application», énonce à son paragraphe 1:

«La présente directive s’applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu’au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier.»

6

L’article 4 de la même directive, intitulé «Droit national applicable», prévoit:

«1. Chaque État membre applique les dispositions nationales qu’il arrête en vertu de la présente directive aux traitements de données à caractère personnel lorsque:

a)

le traitement est effectué dans...

To continue reading

Request your trial
21 practice notes
  • Opinion of Advocate General Mengozzi delivered on 1 February 2018.
    • European Union
    • Court of Justice (European Union)
    • 1 February 2018
    ...in the questions put to the Court. 6 The referring court refers here to the judgment of 13 May 2014, Google Spain and Google (C‑131/12, EU:C:2014:317). 7 Judgment of 16 July 1992 (C‑83/91, 8 See judgment of 16 July 1992, Meilicke (C‑83/91, EU:C:1992:332, paragraph 26). 9 Judgment of 16 July......
  • Conclusions de l'avocat général M. H. Saugmandsgaard Øe, présentées le 16 juillet 2020.
    • European Union
    • Court of Justice (European Union)
    • 16 July 2020
    ...», European Audiovisual Observatory, Strasbourg, 2018. 13 Voir, par analogie, arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 80 ainsi que jurisprudence 14 Voir, pour plus de détails, Fédération internationale de l’industrie phonographique, « Rewarding creativit......
  • Opinion of Advocate General Saugmandsgaard Øe in Facebook Ireland and Schrems, C-311/18
    • European Union
    • Court of Justice (European Union)
    • 19 December 2019
    ...judgment in Ministerio Fiscal (paragraph 38). 103 See, to that effect, judgment of 13 May 2014, Google Spain and Google (C‑131/12, EU:C:2014:317, paragraph 104 Judgment in Schrems (paragraphs 91 to 96). In recitals 90, 124 and 141 of the ‘privacy shield’ decision, moreover, the Commission r......
  • Conclusiones del Abogado General Sr. P. Pikamäe, presentadas el 16 de marzo de 2021.
    • European Union
    • Court of Justice (European Union)
    • 16 March 2021
    ...Sky Österreich (C‑283/11, EU:C:2013:28), apartado 45. 47 Véanse las sentencias de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 68; de 3 de julio de 2014, Kamino International Logistics y Datema Hellmann Worldwide Logistics (C‑129/13 y C‑130/13, EU:C:2014:204......
  • Request a trial to view additional results
16 cases
  • Opinion of Advocate General Mengozzi delivered on 1 February 2018.
    • European Union
    • Court of Justice (European Union)
    • 1 February 2018
    ...in the questions put to the Court. 6 The referring court refers here to the judgment of 13 May 2014, Google Spain and Google (C‑131/12, EU:C:2014:317). 7 Judgment of 16 July 1992 (C‑83/91, 8 See judgment of 16 July 1992, Meilicke (C‑83/91, EU:C:1992:332, paragraph 26). 9 Judgment of 16 July......
  • Conclusions de l'avocat général M. H. Saugmandsgaard Øe, présentées le 16 juillet 2020.
    • European Union
    • Court of Justice (European Union)
    • 16 July 2020
    ...», European Audiovisual Observatory, Strasbourg, 2018. 13 Voir, par analogie, arrêt du 13 mai 2014, Google Spain et Google (C‑131/12, EU:C:2014:317, point 80 ainsi que jurisprudence 14 Voir, pour plus de détails, Fédération internationale de l’industrie phonographique, « Rewarding creativit......
  • Opinion of Advocate General Saugmandsgaard Øe in Facebook Ireland and Schrems, C-311/18
    • European Union
    • Court of Justice (European Union)
    • 19 December 2019
    ...judgment in Ministerio Fiscal (paragraph 38). 103 See, to that effect, judgment of 13 May 2014, Google Spain and Google (C‑131/12, EU:C:2014:317, paragraph 104 Judgment in Schrems (paragraphs 91 to 96). In recitals 90, 124 and 141 of the ‘privacy shield’ decision, moreover, the Commission r......
  • Conclusiones del Abogado General Sr. P. Pikamäe, presentadas el 16 de marzo de 2021.
    • European Union
    • Court of Justice (European Union)
    • 16 March 2021
    ...Sky Österreich (C‑283/11, EU:C:2013:28), apartado 45. 47 Véanse las sentencias de 13 de mayo de 2014, Google Spain y Google (C‑131/12, EU:C:2014:317), apartado 68; de 3 de julio de 2014, Kamino International Logistics y Datema Hellmann Worldwide Logistics (C‑129/13 y C‑130/13, EU:C:2014:204......
  • Request a trial to view additional results
1 firm's commentaries
  • English High Court Examines Extent of GDPR's Extraterritorial Jurisdiction
    • European Union
    • JD Supra European Union
    • 5 March 2021
    ...56 (QB). 4 Case C-131/12 - Google Spain SL and Google Inc. v Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, EU:C:2014:317. 5 Case C-230/14 - Weltimmo s.r.o. v Nemzeti Adatvédelmi és Információszabadság Hatóság, EU:C:2015:639 6 Case C-191/15 - Verein für Konsument......
4 books & journal articles
  • Fundamental Rights and Legal Wrongs: The Two Sides of the Same EU Coin
    • European Union
    • European Law Journal Nbr. 22-1, January 2016
    • 1 January 2016
    ...P, C-593/10 P and C-595/10 P Kadi, EU:C:2013:518; Case C-293/12 Digital Rights Ireland,EU:C:2014:238; Case C-131/12 Google Spain, EU:C:2014:317; Case C-528/13 Léger, EU:C:2015:288.2Only two directives have been struck down for violation with the Charter. Case C-236/09 Test-Achats, EU:C:2011......
  • The Great Recurrence: Karl Polanyi and the crises of the European Union
    • European Union
    • European Law Journal Nbr. 23-3-4, July 2017
    • 1 July 2017
    ...C‐131/12, Google Spain SL and Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, ECLI:EU:C:2014:317.76Case C‐362/14, Maximillian Schrems v. Data Protection Commissioner, ECLI:EU:C:2015:650.77Cf. Case C‐450/93, Eckhard Kalanke v. Freie Hansestadt Bremen......
  • Privacy as Europe's first Amendment
    • European Union
    • European Law Journal Nbr. 25-2, March 2019
    • 1 March 2019
    ...ECLI:EU:C:2014:238.5Case C‐131/12, Google Spain v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, ECLI:EU:C:2014:317.6Case C‐362/14, Maximillian Schrems v. Data Protection Commissioner, ECLI:EU:C:2015:650.7P. Schwartz and K. Peifer, ‘Transatlantic Data Privacy La......
  • Fundamental rights and private enforcement in the digital age
    • European Union
    • European Law Journal Nbr. 25-2, March 2019
    • 1 March 2019
    ...issue.23Case C‐131/12, Google Spain SL and Google Inc. v. Agencia Española de Protección de Datos (AEPD) and Mario Costeja González, ECLI:EU:C:2014:317.24See K. Byrum, The European Right to Be Forgotten: The First Amendment Enemy (Lexington Books, 2018); R. Fellner, The Right to be Forgotte......