Dans une décision très attendue dans l'affaire opposant Google à l'autorité espagnole de la protection des données, la Cour de justice de l'Union européenne a estimé que le moteur de recherche doit désindexer des liens à la demande d'individus concernés. Les juges ont précisé cependant que cette possibilité ne doit pas être systématique. L'appréciation des requêtes doit se faire au cas par cas et au regard de l'information en question et sa sensibilité pour la vie privée de la personne concernée ainsi que de l'intérêt public à recevoir cette information.
Ainsi, lorsque, à la suite d’une recherche effectuée à partir du nom d’une personne, la liste de résultats affiche un lien vers une page web qui contient des informations sur la personne en question, la personne concernée peut s’adresser directement à l’exploitant ou, lorsque celui-ci ne donne pas suite à sa demande, saisir les autorités compétentes pour obtenir, sous certaines conditions, la suppression de ce lien de la liste de résultats.
Le point de départ de cette affaire était une plainte d'un citoyen auprès de l'autorité espagnole. En tapant son nom dans le moteur de recherche, il a remarqué que plusieurs résultats renvoyaient vers un article de presse de 1998 relatant la mise en vente aux enchères forcée de sa maison. Après cette découverte, il voulait que ces résultats soient retirés du moteur de recherche au motif que ces derniers n'étaient plus d'actualité, ce que la société américaine a refusé. Saisie en appel, la justice espagnole a demandé à la CJUE de se prononcer sur ce point.
Dans son arrêt, la Cour a conclu que Google, et de manière générale tous les moteurs de recherche, sont des responsables du traitement au sens de la directive 1995/46/CE sur la protection des données. Les obligations classiques du droit européen en matière de gestion, protection et de suppression des données à caractère personnel s'appliquent donc aussi à eux.