Par plusieurs récents arrêts, le Conseil d'Etat est venu préciser les conditions permettant le déréférencement de liens renvoyant à des données personnelles.
En effet, la Haute Juridiction devait se prononcer sur un certain nombre de recours relatifs à des décisions de la CNIL, refusant l'effacement de données personnelles.
Quatre des cinq recours en question portaient sur des données qualifiées de « non spécialement protégées ».
Le Conseil d'Etat va faire application d'un arrêt Google Spain rendu par la CJUE et datant de 2014, qui considère que le droit au déréférencement des données non spécialement protégées n'est pas un droit absolu. En conséquence la CNIL se doit d'apprécier, en cas de recours après un refus de déréférencement, l'atteinte au respect de la vie privée mais également l'atteinte au droit à l'information.
La jurisprudence européenne utilisée s'appuie en effet sur trois critères qui doivent être pris en compte dans le cadre de telles démarches :
- Les caractéristiques des données personnelles
- La notoriété de l'intéressé
- Les conditions d'accès à l'information
Le Conseil d'Etat semble, dans ces récentes décisions, faire primer la liberté d'information puisque seule l'une des quatre décisions de la CNIL refusant le déréférencement des données non spécialement protégées sera annulée.
Concernant les données sensibles (relation extraconjugale, orientation sexuelle…), la CJUE a jugé, dans un arrêt du 24 septembre 2019, que le droit au déréférencement est ouvert, sauf si l'accès à l'information est strictement nécessaire au public. Elle a, à cette occasion, réutilisé les critères de l'arrêt Google Spain précité, en en faisant une interprétation plus stricte.
Le Conseil d'Etat a quant à lui confirmé que ces critères sont analysés de manière plus large dès lors que la demande de déréférencement porte exclusivement sur des données sensibles.