Cour de justice de l’Union européenne, Grande chambre, 24 septembre 2019, aff. C-507/17,
Google LLC c. Commission nationale de l’informatique et des libertés (CNIL)
Saisie par le Conseil d’État de plusieurs questions préjudicielles, la Cour de justice de l’Union européenne s’est prononcée, le 24 septembre 2019, sur la portée territoriale du droit au déréférencement.
Consacré par la Cour de justice dans l’arrêt Google Spain rendu en 2014 au terme d'une interprétation audacieuse de la directive européenne 95/46/CE, relative à la protection des personnes physiques à l'égard du traitement des données, ce droit a pour objet de protéger les individus contre l'accès facilité et l'interconnexion d'une quantité considérable de données touchant à leur identité sur les moteurs de recherche[1]. Désormais inscrit à l'article 17 du règlement général sur la protection des données (RGPD)[2], sa mise en œuvre suscite des interrogations liées à l'absence de véritables frontières sur internet.
La présente affaire met ainsi en exergue le rôle de premier ordre qu’occupent les autorités de régulation pour appréhender les difficultés résultant du caractère a-territorial de l’espace numérique.
Pour rappel, le droit au déréférencement également dénommé « à l’oubli » permet à une personne de demander à un moteur de recherche de supprimer un ou plusieurs résultats à l’issue d’une requête à partir de son identité (nom et prénom). La suppression ne conduit pas à effacer l’information sur le site internet source. Le contenu demeure accessible en utilisant d’autres critères de recherche ou en allant directement sur ledit site[3].
Chargée d’examiner les plaintes liées au refus de l’entreprise Google de faire droit à des demandes émanant de résidents français, la Commission nationale de l’informatique et des libertés (CNIL) a estimé que les déréférencements effectués devaient s’étendre à l’ensemble des extensions de son moteur de recherche et ne pas être limités aux noms de domaine européen.
Par ailleurs, elle a considéré insuffisante la technique dite de « géoblocage » consistant à bloquer l’accès aux résultats litigieux depuis une adresse IP (Internet Protocol) réputée localisée dans l'État de résidence de la personne concernée. Pouvant être contournée par des procédés permettant de masquer l'adresse IP ou le recours à un VPN (Virtual Private Network – Réseau privé virtuel), la solution ne lui est pas apparue satisfaisante. Dans ces conditions, la CNIL a affirmé que le respect du droit au déréférencement qui se rattache aux droits fondamentaux de la protection des données personnelles et de la vie privée ne peut être assuré que par une portée mondiale.
Google ayant refusé de se conformer à la mise en demeure prononcée, la CNIL a décidé par une délibération du 10 mars 2016 de lui infliger une amende de 100 000 euros[4]. Cette délibération a fait l'objet d'un recours devant le Conseil d'État.
L’entreprise Google, ainsi que des entreprises et des associations admises à intervenir, ont soutenu que le droit au déréférencement ne peut jouer que dans un périmètre strictement limité au territoire de l’Union Européenne. Elles faisaient valoir, d’une part, que ce droit portait une grave atteinte à la liberté d’information et d’expression qui constituent dans certains États des valeurs prépondérantes. D’autre part, et surtout, elles arguaient que la norme d’origine européenne ne peut pas régir des comportements situés en dehors de l’Union.
Suivant les conclusions du rapporteur public Aurélie Bretonneau, qui soulignaient le caractère prétorien du droit au déréférencement et le besoin d’une application homogène au sein de
l’Union européenne[5], le Conseil d'État a choisi de renvoyer plusieurs questions préjudicielles[6].
La Cour de justice devait donc déterminer si le respect de ce droit implique que le moteur de recherche retire les liens sur l’ensemble de ses extensions ou si, au contraire, il n’est tenu de l’opérer que sur les versions correspondant à l’ensemble des États membres de l’Union, voire, uniquement, sur celle de l’État dans lequel la demande a été introduite, le cas échéant, en combinaison avec le recours à la technique dite du « géoblocage ».
Il s’agissait donc pour la Cour de trancher des questions essentielles pour le champ d’application d’un droit nouveau se déployant dans un espace dématérialisé et suscitant un choc des cultures juridiques. Des questions présentant de surcroît des enjeux quantitatifs non négligeables puisqu’à ce jour, la suppression de plus de trois millions de liens a été sollicitée auprès de Google[7].
Alors que, pour des questions d’application de la loi dans le temps, l’affaire était régie par la directive 95/46, la Cour de justice s’est fondée également sur les dispositions du RGPD pour assurer le caractère utile de sa réponse (I.). Partant, elle a refusé de reconnaître une portée mondiale au droit au déréférencement découlant de la législation européenne (II.) mais a posé le principe selon lequel il devait être appliqué à l’échelle de l’Union européenne tout en le nuançant (III.). Les autorités nationales disposent néanmoins d’une faculté d’imposer un déréférencement mondial en application de leur droit national (IV.).
I - Une réponse s’étendant aux dispositions du RGPD
Contrairement à l’avocat général Maciej Szpunar, qui fondait son analyse exclusivement sur les dispositions de la directive car elles constituaient les règles applicables à la date de la décision attaquée[8], la Cour a décidé d'étendre sa solution aux dispositions du RGPD.
Justifiant ce choix par la volonté de conférer un caractère utile à sa réponse, la Cour de justice a souhaité que la solution dégagée s’applique à l’ensemble des demandes de déréférencements quelle que soit la date de leur introduction. En effet, le Conseil d’État n’avait pas besoin de connaître l’interprétation des dispositions du RGPD pour la résolution de ce litige. Le choix de la Cour est donc utile en ce sens qu’elle n’aura pas à être saisie à nouveau pour confirmer que la portée géographique retenue vaut également pour le RGPD.
Une décision exclusivement fondée sur les dispositions de la directive 95/46 aurait laissé subsister un doute quant à la possibilité de transposer ce raisonnement aux dispositions du RGPD dont le champ territorial est plus large que celui de la directive[9].
Le double fondement retenu par la Cour permet donc de dissiper cette incertitude. En premier lieu, l’ensemble des juridictions des États membres sont tenues de se référer à cette interprétation[10] pour les contentieux régis par le RGPD. Enfin, en second lieu, les autorités nationales de protection des données peuvent dès à présent s'appuyer sur les réponses apportées pour traiter les demandes de déréférencement qui leur ont été adressées depuis le 25 mai 2018, date d'entrée en vigueur du RGPD.
En réaction à cet arrêt, la CNIL a déclaré dès le 24 septembre 2019, son intention de faire application de la décision de la Cour dans l'instruction des centaines de demandes de déréférencement qu'elle reçoit tous les ans[11].
II - L’exclusion d’une portée mondiale du droit au déréférencement découlant de la législation européenne
1. L’absence de consensus des autorités européennes
Bien que le droit au déréférencement existe depuis 2014, la Cour de justice ne s’était jamais aventurée à préciser sa portée géographique. Dans l’arrêt Google Spain, la Cour s'était limitée à poser le contenu matériel de ce droit, en insistant sur le juste équilibre à atteindre entre la protection des données personnelles et de la vie privée ainsi que l'intérêt des internautes d'avoir accès à l'information[12].
Immédiatement après le prononcé de cet arrêt, des «directrices» ont été adoptées, le 262014, par le «de l’article 29» (G29) qui réunissait les autorités de régulation des États membres[13]. L'ambiguïté de la position exprimée révélait l'absence de consensus entre ces dernières sur la portée territoriale à accorder. Il était préconisé de ne pas circonscrire le déréférencement aux extensions européennes et de l'appliquer à l'extension «.com» pour prévenir les risques de contournements. Cependant, sa portée devait être restreinte aux «pertinents»[14].
Ce désaccord ressortait aussi des différentes doctrines élaborées par les autorités pour instruire les affaires de leur ressort. Certaines ont réduit le champ du déréférencement aux données directement accessibles depuis leur État[15]. D'autres, ont considéré que les données personnelles doivent être déréférencées quelle que soit l'extension géographique utilisée lorsque la recherche est effectuée par l'internaute depuis le territoire de l'Union européenne, mais n'ont pas à l'être lorsqu'elles sont exercées depuis un territoire situé en dehors de l'Union[16]. En conséquence, la thèse d'un déréférencement mondial défendue par la CNIL n'était pas partagée.
2. Les arguments en présence
Dans ce contexte, les questions posées par le Conseil d’État fournissait la parfaite opportunité à la Cour de justice pour se prononcer sur le sujet.
Sa position était toutefois délicate. Sensible à l’efficacité de la protection des données des individus, il était complexe d’imposer une portée mondiale au regard des principes de non-ingérence et de courtoisie du droit international public. L’entreprise Google se prévalait de l’atteinte disproportionnée à la liberté d’information consacrée par l’article 11 de la Charte des droits fondamentaux de l’Union européenne. Elle signalait le risque de créer un précédent invitant des régimes autoritaires à exiger la mise en œuvre à l’échelle mondiale de leurs décisions de censure.
La CNIL répliquait que dans certaines circonstances exceptionnelles le droit de l’Union européenne doit pouvoir produire des effets extraterritoriaux, en prenant appui sur le droit de la concurrence[17] et le droit de la marque[18].
Cette argumentation de la CNIL n’a pas convaincu. L’avocat général a démontré que l’extraterritorialité était justifiée dans ces deux situations par les effets produits sur le marché intérieur, qui constitue un territoire clairement délimité contrairement à
internet[19]. La Cour de justice quant à elle ne s'est pas référée à ces éléments dans sa décision.
La régulation d’internet représente en effet un sujet épineux. Conformément à la célèbre jurisprudence Lotus de la Cour internationale de justice, un État ne peut pas exécuter, en vertu de son droit interne, une mesure coercitive sur le territoire d'un État tiers[20]. Pour déroger à ce principe, un lien significatif doit être établi avec l'État qui souhaite appliquer ses règles. Il peut s'agir notamment de la nationalité, ou de l'impact d'un acte accompli sur internet à l'encontre d'individus qu'un État recherche à protéger. Néanmoins, il n'existe pas de consensus international sur les règles qui doivent être retenues pour délimiter comment un État peut appréhender des phénomènes ou des actions découlant de l'utilisation d'internet. Dans ce domaine, les instruments de droit international privé ne procurent pas non plus d'indications claires[21].
3. La solution retenue par la Cour
Confrontée à cette problématique, la Cour de justice a développé un raisonnement en plusieurs temps pour aboutir au refus d’imposer une portée mondiale au droit au référencement.
La Cour commence par rappeler la solution dégagée dans l’arrêt Google Spain et l'objectif de la directive 95/46 et du RGPD de garantir un niveau élevé de protection des données. A cet égard, elle admet qu'un déréférencement sur l'ensemble des extensions d'un moteur de recherche est de nature à assurer pleinement cet objectif.
En outre, elle relève que les recherches opérées par des internautes à l’extérieur de l’Union sont susceptibles de produire des effets immédiats et substantiels sur des personnes dont le centre d’intérêt se situe dans l’Union. Elle en déduit que ces considérations sont de nature à justifier l’existence d’une compétence du législateur de l’Union pour obliger un moteur de recherche à effectuer le déréférencement sur l’ensemble de ses extensions.
Toutefois, la Cour poursuit en soulignant que de nombreux États tiers ne connaissent pas le droit au déréférencement ou adoptent une approche différente. Elle réaffirme également que le droit à la protection des données personnelles n’est pas un droit absolu en vertu du principe de proportionnalité sur lequel repose l’ensemble de la législation de protection des données de l’Union. La directive 95/46 s’était inspirée de la jurisprudence de la Cour constitutionnelle fédérale allemande. Cette dernière avait dans une décision du 15 décembre[22] conceptualisé l'idée que la protection de la vie privée vis-à-vis des nouvelles technologies est un instrument au service du développement personnel des individus mais que leur appartenance à une collectivité implique une mise en balance des différents intérêts en présence[23]. Cet apport a été repris par la législation européenne et explicité dans plusieurs arrêts de la Cour de justice[24]. Il est désormais consacré au considérant n° 4 du RGPD.
Ainsi, la Cour constate que l’article 17 du RGPD et l’arrêt Google Spain mettent en œuvre ce principe et prévoient une mise en balance des intérêts en présence au sein de l'Union pour effectuer un déréférencement. Cependant, elle juge qu'en l'état actuel aucune disposition ne définit la pondération à effectuer s'agissant de la portée du droit au déréférencement en dehors de l'Union. Elle en conclut que le législateur n'a pas souhaité imposer à un moteur de recherche de déréférencer des contenus sur des extensions non européennes de son moteur. Elle conforte ensuite son analyse en se référant aux dispositifs de coopération entre les autorités de contrôle européenne instaurés par le RGPD pour parvenir à une décision commune à l'issue d'une mise en balance du respect de la vie privée et des données personnelles et de l'intérêt du public des États membres d'avoir accès à une information. En l'absence de mécanismes analogues pour déterminer la portée du déréférencement en dehors de l'Union, la Cour confirme le refus du législateur d'imposer un déréférencement sur l'ensemble des noms de domaine d'un moteur de recherche.
Par conséquent, la Cour de justice prend appui sur un défaut de soutien textuel et l’absence de procédures ou de règles permettant de respecter le pluralisme juridique pour refuser d’accorder une portée mondiale au droit au déréférencement.
L’expression « en l’état actuel »[25] suggère que la position de la Cour de justice pourrait évoluer si la législation européenne était modifiée. Il convient néanmoins d'être prudent. Il n'est pas certain à la lecture de cette décision que la Cour ait reconnu au législateur européen une compétence pour prescrire le respect du droit au déréférencement à l'extérieur des frontières de l'Union européenne.
Le passage où la Cour évoque les circonstances qu’elle juge de nature à justifier une compétence du législateur pour prescrire une obligation de déréférencement mondial[26] précède les considérations relatives aux divergences internationales et au principe de proportionnalité. Il s'agit, en outre, de l'unique partie de l'arrêt où la Cour de justice aborde directement la question de la compétence du législateur de l'Union.
Cependant, l’emploi à trois reprises de l’expression « en l’état actuel » conforte l’hypothèse selon laquelle la Cour admet cette compétence, sous réserve d’instituer des dispositions assurant le respect du principe de proportionnalité dans un cadre élargi aux États tiers.
III. L’application de principe du déréférencement à l’échelle européenne
Il restait donc à la Cour de justice le soin de trancher la question de l’application du droit au déréférencement sur le territoire européen.
S’appuyant sur le choix de l’Union de recourir désormais à un règlement pour assurer un niveau cohérent et élevé de protection au sein de l’espace européen, la Cour en déduit que le déréférencement doit être en principe opéré pour l’ensemble des États membres. Ce procédé peut surprendre dans la mesure où la Cour se fonde exclusivement sur le RGPD alors que les questions préjudicielles portaient sur l’interprétation de la directive 95/46.
Une fois le principe du déréférencement à l’échelon européen posé, la Cour le nuance en reconnaissant que l’intérêt du public à accéder à une information, n’est pas nécessairement identique dans l’ensemble des États de l’Union. Le résultat de la mise en balance à effectuer peut donc différer d’un État membre à l’autre. Elle constate notamment que l’article 9 de la directive 95/46 et l’article 85 du RGPD confient aux États l’instauration d’exemptions et de dérogations au régime général afin de respecter la liberté d’expression et d’information.
Cette rédaction met en lumière la structure du système de protection des données personnelles de l’Union européenne. Malgré l’adoption d’un règlement pour renforcer l’harmonisation, les législations nationales et les normes européennes continuent à cohabiter et à interagir. Plusieurs dispositions du RGPD opèrent des renvois à la législation des États. La concrétisation du standard par le droit des États membres et leurs autorités reste donc l’une des caractéristiques fondamentales de ce modèle de protection[27].
Évoquant les dispositions du RGPD relatives aux méthodes de coopération des autorités pour parvenir à un consensus, au contrôle de cohérence et à la procédure d’urgence prévue à l’article, la Cour juge que ce cadre réglementaire fournit les instruments pour concilier les différents intérêts en présence à l’échelle de l’Union. Il en résulte que les autorités peuvent « le cas échéant » adopter une décision de déréférencement couvrant l’ensemble des recherches effectuées sur la base du nom de cette personne à partir du territoire de l’Union.
La formulation « le cas échéant » employée, souligne à nouveau les limites de l’unité de la protection des données personnelles érigée par l’Union européenne. Selon la Cour, les autorités ne sont donc pas tenues de s’accorder sur une portée européenne du déréférencement. Elles demeurent libres de décider de le restreindre à certains États. Dans ce cadre, le principe d’un déréférencement européen pourra être écarté s’il est justifié que l’intérêt du public d’accéder à l’information doit l’emporter dans des États membres. La portée du déréférencement au niveau européen pourrait s’avérer morcelée en pratique.
La Cour reconnaît donc un important pouvoir d’appréciation aux autorités de régulation pour déterminer la portée géographique du droit au déréférencement au sein de l’Union.
IV. La faculté accordée aux autorités nationales d’imposer un déréférencement mondial sur le fondement de leur droit national
Au-delà du rôle reconnu aux autorités de contrôle dans la délimitation de la portée du déréférencement dans l’espace européen, la Cour de justice a explicité que le droit de l’Union ne s’opposait pas à ce que les autorités de contrôle ou les autorités judiciaires nationales imposent un déréférencement mondial. Elles peuvent donc se fonder sur leurs standards nationaux pour obliger un moteur de recherche à effectuer un déréférencement sur l’ensemble de ses extensions.
La Cour se réfère ici aux jurisprudences Åkerberg Fransson[28] et Melloni[29] relatives à l'encadrement des droits nationaux résultant de la Charte des droits fondamentaux de l'Union européenne car la protection des données à caractère personnel est garantie par l'article 8 de cet instrument.
Lorsqu’un acte du droit de l’Union appelle des mesures nationales de mise en œuvre, il reste loisible aux autorités et aux juridictions nationales d’appliquer des standards nationaux de protection des droits fondamentaux, pourvu que cette application ne compromette pas le niveau de protection prévu par la Charte, telle qu’interprétée par la Cour, ni la primauté, l’unité et l’effectivité du droit de l’Union.
Dès lors, la Cour écarte l’atteinte à la primauté du droit de l’Union en précisant que la législation européenne concrétisant la protection assurée par l’article 8 de la Charte n’interdit pas aux États de retenir une portée mondiale. Une telle position d’une autorité nationale ne compromet pas non plus l’unité du droit de l’Union et son effectivité selon elle.
A ce titre, les autorités de contrôle et les juges nationaux peuvent contribuer à prolonger les effets de la législation européenne au-delà de ses frontières et jouer un rôle moteur pour assurer l’efficacité de la protection. L’arrêt s’inscrit de ce point de vue dans la continuité de l’arrêt Schrems dans lequel la Cour de justice avait renversé le rapport de soumission des autorités nationales aux décisions de la Commission s’agissant du contrôle de l’adéquation de la protection des données lors d’un transfert vers des pays tiers[30].
Cette solution conduit toutefois à reporter la délicate question de la compatibilité d’une portée mondiale du droit au déréférencement au principe de non-ingérence découlant du droit international public devant le juge national. En l’espèce, la CNIL s’appuyait notamment sur les dispositions européennes et la jurisprudence Google Spain pour justifier le besoin d'assurer une protection efficace s'étendant à l'extérieur des frontières du territoire européen. Sa position s'en trouvant affaiblie, elle devra faire prévaloir que les standards français de protection suffisent à fonder une application extraterritoriale. Il n'est pas évident que le Conseil d'État valide cette thèse.
Certes, il avait exprimé dans son rapport « numérique et les droits fondamentaux » que le « droit à l’oubli » devrait être regardé comme faisant partie des « lois de police »[31]. Ces instruments de droit international privé permettant sous certaines conditions d'appliquer la loi nationale. Néanmoins, en l'absence de soutien de la législation européenne, telle qu'interprétée par la Cour, la défense de ce parti pris est fragilisée.
Les réponses apportées par la Cour de justice aux questions préjudicielles placent donc le Conseil d’État dans une situation délicate. Outre cette question de principe, il lui appartiendra de vérifier si les modifications récentes apportées par Google à son moteur sont suffisamment efficaces pour assurer une protection effective des droits fondamentaux de la personne concernée. La Cour a en effet refusé de se prononcer sur les améliorations techniques présentées par Google devant elle (redirection automatique, géoblocage…).
En revanche, elle a fixé le cadre dans lequel est opéré cette vérification en reprenant celui établi pour les atteintes au droit d’auteur et aux droits voisins selon lequel les internautes doivent être à tout le moins sérieusement découragés d’avoir accès aux liens[32].
Au regard du recours de plus en plus répandu des particuliers à un VPN pour se protéger lors de connexions à des réseaux wifi publics non sécurisés, les nouveautés présentées par Google et le « géoblocage » peuvent apparaître peu dissuasifs[33].
On attendra donc ces réponses du Conseil d’État avec beaucoup d’intérêt.
La CNIL a édité, le 15 octobre 2019, sa fiche « droit au déréférencement en questions » disponible sur son site internet. Elle y rappelle la position de la Cour de justice et estime qu’elle pourrait imposer un déréférencement mondial s’agissant par exemple d’une personne travaillant en France pour une entreprise américaine faisant l’objet d’une campagne de dénigrement par un ancien collègue américain[34]. Nul doute qu'au-delà de la question particulière, il s'agit de prendre position dans le débat contentieux qui va s'engager de nouveau devant le juge national.
Ariane ROLIN
[1] CJUE, Grande chambre, 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González.
[2] Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE.
[3] https://www.cnil.fr/fr/le-droit-au-dereferencement-en-questions
[4] Délibération n° 2016-054 du 10 mars 2016 prononçant une sanction pécuniaire à l'encontre de la société X.
[5] BRETONNEAU (A.), concl. ss C.E., 10ème - 9ème chambres réunies, 19 juillet 2017,
n° 399922 , disponibles sur Arianeweb.
[6] C.E., 10ème - 9ème chambres réunies, 19 juillet 2017, n° 399922, B, mentionné aux tables du recueil Lebon.
[7] https://transparencyreport.google.com/eu-privacy/overview
[8] SZPUNAR (M.), CJUE, Grande chambre, aff. C 136/17, Google LLC c. Commission nationale de l'informatique et des libertés (CNIL), pt. 32.
[9] JAULT-SESEKE (F.), ZOLYNSKI (C.), « Le règlement 2016/679/UE relatif aux données personnelles », Recueil Dalloz, n° 32, 2016, p.1874-1880.
[10] CJCE, 3 mars 1994, aff. Jtes C-332/92,
C-333/92 et C-335/92, Eurico Italia et a., pt.15. PICOD (F.), «Renvoi préjudiciel vers la Cour de justice», JCI. Europe Traité, Synthèse 40, Lexis Nexis, pt. 105.
[11] MAXIMIN (N.), «CJUE : importantes précisions sur la portée du «à l'oubli » numérique», Dalloz Actualité, 27 septembre 2019.
[12] CJUE, Grande chambre, 13 mai 2014, aff. C-131/12, Google Spain SL et Google Inc. contre Agencia Española de Protección de Datos (AEPD) et Mario Costeja González., pt. 80 à 88.
[13] Article 29 directive 95/46/CE, relative à la protection des personnes physiques à l'égard du traitement des données.
[14] BRETONNEAU (A.), concl. ss C.E., 10ème - 9ème chambres réunies, 19 juillet 2017,
n° 399922 , disponibles sur Arianeweb, p.12.
[15] Information Commissioner's Office, décision du 12 août 2015.
[16] Agencia Espanola de Proteccion des Datos, décision du 2 décembre 2015.
[17] CJUE, Grande chambre, 6 septembre 2017, aff. C-413/14, Intel/Commission, pt. 43.
[18] CJUE, Grande chambre, 12 juillet 2011, aff. C-324/09, L’Oréal e.a, pt. 63.
[19] SZPUNAR (M.), CJUE, Grande chambre, aff. C 136/17, Google LLC c. Commission nationale de l’informatique et des libertés (CNIL), pt. 53.
[20] DUPUY (P.-M.), KERBRAT (Y.), Droit international public, 14ème éd., Paris, Dalloz, 2018, coll. Précis, p.108-110.
[21] HIJMANS (H.), The European Union as Guardian of Internet Privacy - The Story of Art 16 TFEU, Suisse, Springer, 2016, p.477-479.
[22] BVerfGE 65, I, - Volkszählung Urteil des Ersten Senats vom 15. Dezember 1983 auf die mündliche Ver-handlung vom 18. und 19. Oktober 1983 - 1 BvR 209, 269, 362, 420, 440, 484/83 in den Verfahren über die Verfassungsbeschwerden.
[23] POULLET (Y.), ROUVROY (A.), « Le droit à l’autodétermination informationnelle et la valeur du développement personnel - Une réévaluation de l’importance de la vie privée pour la démocratie », in BENYEKHLEF (K.), TRUDEL (P.) (dir.), État de droit et virtualité, Montréal, Thémis, 2009, p. 158-220.
[24] CJUE, Grande chambre, 92010, aff. C‑92/09 et C‑93/09, Volker und Markus Schecke et Eifert.
[25] Points 61, 64 et 72.
[26] Point 58.
[27] HUSTINX (P.), «éforme de la protection des données de l'UE: vers une protection des données plus efficace et plus cohérente dans l'ensemble de l'UE», Version révisée de la conférence tenue à l’occasion de la 5e Journée suisse du droit de la protection des données qui s’est déroulée le 15 juin 2012 à l’Université de Fribourg (Suisse), p.5 à 7.
[28] CJUE, Grande chambre, 26 février 2013, aff. C-617/10, Åkerberg Fransson, pt. 29.
[29] CJUE, Grande chambre, 26 février 2013, aff. C-399/11, Melloni, pt. 60.
[30] CJUE, Grande chambre, 6 octobre 2015, aff.
C-362/14, Schrems, HAFTEL (B.),
« Transferts transatlantiques de données personnelles : la Cour de justice invalide le Safe Harbour et consacre un principe de défiance mutuelle », Recueil Dalloz, 2016, n° 2, p. 111-116.
[31] «Le numérique et les droits fondamentaux», éd. La Documentation française, 2014, p. 243.
[32] CJUE, 27 mars 2014, aff. C-314/12, UPC Telekabel Wien, pt. 62, et CJUE,15 septembre 2016, aff. C-484/14, Mc Fadden, pt. 96.
[33] https://www.vpnmentor.com/blog/vpn-use-data-privacy-stats/
[34] https://www.cnil.fr/fr/le-droit-au-dereferencement-en-questions.