La Commission européenne plaide pour le respect du droit international dans l’affaire «Microsoft Irlande»

Dans l’affaire du stockage des données en Irlande qui oppose Microsoft au gouvernement américain, la Commission européenne a déposé un mémoire devant la Cour suprême des Etats-Unis dans lequel elle plaide pour une application des principes de « territorialité » et de « courtoisie internationale ». Explications.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le contentieux qui oppose depuis 2014 la société Microsoft et
le gouvernement américain à propos des e-mails stockés en Irlande est maintenant devant la Cour suprême des Etats-Unis. Ce litige concerne la portée éventuellement extraterritoriale des réquisitions judiciaires américaines dans le cadre d’enquêtes pénales. La police américaine avait demandé à Microsoft de livrer une copie de certains e-mails échangés par une personne soupçonnée d’activités criminelles.

Règles de bon voisinage entre Etats
Les e-mails étant stockés en Irlande et sous le contrôle de la société Microsoft Irlande, la firme de Redmond (Etat de Washington) s’était opposée à la réquisition, en indiquant qu’il fallait passer par les procédures de coopération internationale en matière d’enquêtes pénales. La Cour d’appel de Manhattan avait donné raison en 2016 à Microsoft, en indiquant que la loi fédérale sur les réquisitions était silencieuse sur l’éventuelle portée extraterritoriale des réquisitions et qu’une telle portée ne pouvait
pas être déduite de manière implicite. Le gouvernement américain avait porté l’affaire devant la Cour suprême des Etats-Unis. C’est là qu’intervient la Commission européenne, qui, en décembre 2017, a déposé un mémoire (amicus brief) pour éclairer la Cour suprême sur certains aspects de droit international (1). La Commission européenne plaide pour une application du principe de la territorialité et du principe de courtoisie internationale. Ces principes revêtent une importance croissante dans toutes les affaires concernant la régulation des activités numériques, ces activités étant par nature transnationales.
Le droit international part du principe que chaque Etat doit respecter la souveraineté des autres Etats. Ce respect se manifeste par le respect des eaux territoriales et des frontières physiques entre Etats. La violation d’une frontière d’un autre Etat est une violation du droit international. Ce respect se manifeste également par une prise en considération des lois en vigueur dans les autres pays. Ces principes de « bon voisinage » entre Etats se traduisent par les deux concepts de droit international évoqués par la Commission européenne, à savoir : le principe de « territorialité » et
le principe de « courtoisie internationale ». Le principe de territorialité signifie que les lois d’un Etat s’appliquent à l’intérieur du territoire de l’Etat en question et non sur le territoire d’un pays tiers. Il existe des exceptions à ce principe, mais celles-ci sont extrêmement limitées (il s’agit de cas d’occupation militaire, par exemple, d’un territoire étranger). La courtoisie internationale signifie que lorsqu’une loi produit des effets dans un autre Etat, le premier Etat doit prendre en considération les lois de cet autre Etat afin de minimiser les conflits avec les lois de cet autre Etat.
Appliqués dans l’affaire Microsoft, ces principes impliqueraient, en premier lieu, que
la police américaine ne peut pas effectuer une perquisition sur le territoire de l’Irlande, puisque le pouvoir de la police et l’étendue territoriale de la loi américaine s’arrêtent
aux frontières des Etats-Unis. En second lieu, la courtoisie internationale commanderait que lorsqu’un juge américain ordonne à Microsoft d’extraire des données et de les communiquer à la police aux Etats-Unis, le juge doit se demander si cette action serait en violation des lois irlandaises applicables. Si c’est le cas, le juge doit chercher une voie qui éviterait un tel conflit. La Commission européenne indique qu’il existe des mécanismes d’entraide internationale en matière d’enquête policière et que le règlement général sur la protection des données à caractère personnel (RGPD) de 2016 (2) ne s’oppose pas à des réquisitions de ce type, à condition d’utiliser la convention internationale. La Commission européenne cite le considérant 110 du RGPD, qui prévoit que l’application extraterritoriale de réquisitions judiciaires peut constituer une violation du droit international et qu’une entreprise établie en Europe
doit donc appliquer les lois locales.

Territorialité et activités de renseignement
Le groupe « Article 29 » (G29), qui réunit les « Cnil » européennes, préconise également un respect strict des règles de droit international afin de ne pas créer des conflits avec des lois d’autres pays (3). Les pays signataires de la Convention du Conseil de l’Europe sur la cybercriminalité (4) tentent justement de trouver un terrain d’entente afin de faciliter l’échange de données au niveau international sans violer les principes de territorialité et de courtoisie internationale (voir encadré ci-dessous). L’affaire Microsoft concerne en outre les enquêtes pénales. Le droit international est également mis à l’épreuve par les activités de renseignement. Jusqu’à 2015, il n’existait pas en France de cadre légal pour la conduite des activités de renseignement à l’étranger.

Contenus illicites et fake news
La loi française sur les activités de renseignement de 2015 (5) a créé un cadre pour ces activités. Après censure du Conseil constitutionnel, la loi a été modifiée afin de donner plus de garanties aux individus ciblés par ces activités de surveillance extraterritoriales. Cependant, le niveau des garanties accordées par la loi française aux individus résidant à l’étranger est plus faible que les garanties accordées aux résidents et citoyens français. Deux poids, deux mesures : un résidant espagnol bénéficie de moins de garanties qu’un résidant français en matière de surveillance. Cette différence de traitement surprend, car ni la Charte européenne des droits fondamentaux (adoptée le 7 décembre 2000) ni la Convention européenne des droits de l’homme (signé le 4 novembre 1950) ne prévoient une quelconque différence de protection en fonction de la résidence ou de la nationalité de la personne.Les règles de droit international jouent un rôle important dans la lutte contre des contenus illicites sur Internet. Chaque pays a sa propre définition de contenus illicites, fixée en fonction du contexte culturel et historique du pays. Dans certains pays, des contenus blasphématoires sont interdits. Dans d’autres, il s’agit des contenus qualifiés de propagande homosexuelle. Les conflits entre lois nationales sont fréquents, comme en témoigne l’affaire Yahoo en 2000 concernant la vente d’objets nazis (6). La mise aux enchères d’objets nazis n’est pas interdite aux Etats- Unis et serait même protégée par la liberté d’expression. En revanche, ces mêmes contenus sont considérés en France comme outrepassant la liberté d’expression. Les plateformes Internet étant globales, il serait tentant pour un juge national d’ordonner le retrait pur et simple du contenu afin qu’il ne soit plus visible où que ce soit dans le monde. Cependant, une telle approche serait en contradiction avec les principes de droit international mis en avant par la Commission européenne dans l’affaire Microsoft. Cela ouvrirait la voie à une surenchère internationale où chaque pays essayerait d’appliquer ses propres normes en matière de contenus au monde entier, en contradiction totale avec les des règles de courtoisie internationale et de territorialité. Depuis l’affaire Yahoo, les juges nationaux font justement preuve de prudence lorsqu’ils ordonnent le blocage de contenus sur Internet, en limitant les effets de leurs décisions au territoire national. Le Tribunal de grande instance de Paris a reconnu que Yahoo, par un système de géo-blocage, pouvait tout simplement bloquer l’accès au contenu pour les utilisateurs situés en France, ce qui est une manière d’appliquer la loi française à l’intérieur du territoire national sans créer de conflit avec la loi américaine. Même si le pouvoir du juge s’arrête aux frontières nationales, les actions d’autorégulation, notamment par les plateformes, peuvent avoir une dimension transnationale. La Commission européenne, à l’origine de la création d’un groupe de haut niveau sur les fake news (High Level group on Fake News) qui tient sa réunion inaugurale en janvier 2018 (7), privilégie l’angle de l’autorégulation (self-regulation) et du partage des bonnes pratiques (shared good practices) pour le phénomène du fake news (8). Le Conseil d’Etat préconise, quant à lui, l’adoption d’une convention internationale relative aux libertés fondamentales et aux principes de gouvernance d’Internet, ainsi que la mise
en place de dispositifs fondés sur l’autorégulation des opérateurs, à travers la mise
en conformité (compliance) et leur responsabilisation (accountability) (9).

Atténuer les contraintes par l’autorégulation
Le respect du droit international impose des contraintes, et notamment l’utilisation de procédures de coopération internationale. Certaines de ces contraintes peuvent être atténuées grâce à des mécanismes efficaces d’autorégulation en matière de contenus illicites sur Internet. @

ZOOM

Convention de Budapest : vers une coopération internationale renforcée
La Convention de Budapest sur la Cybercriminalité a été ouverte à la signature
en 2001. Elle a été complétée en 2013 par un « Protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » (https://lc.cx/gWWx). « Alors que prospèrent la cybercriminalité et les autres infractions entraînant des preuves électroniques sur des systèmes informatiques, et que ces preuves sont de plus en plus stockées sur des serveurs hébergés dans des juridictions étrangères, multiples, fluctuantes ou inconnues, autrement dit dans le cloud, les pouvoirs des services répressifs sont limités par les frontières territoriales », a souligné le Conseil de l’Europe le 2 novembre 2017 en vue de renforcer la coopération internationale sur la cybercriminalité et les preuves électroniques. Les Parties à la Convention de Budapest, à savoir 56 Etats auxquels
14 autres ont été invités à y adhérer, ont organisé de 2012 à 2014 un groupe de travail sur l’accès transfrontière aux données, puis de 2015 à 2017, un groupe sur les preuves dans le cloud. Il s’agit notamment de négocier d’ici à décembre 2019, un deuxième protocole additionnel à la Convention de Budapest sur une coopération internationale renforcée. @

Allostreaming : la CJUE décrochera-t-elle la question préjudicielle de Yahoo! ?

Yahoo! a bien présenté fin mai une question préjudicielle au juge, à qui revient
la décision de la transmettre ou non à la Cour de justice de l’Union européenne (CJUE). Les moteurs de recherche sont-ils des « intermédiaires » ? La question tarde à trouver une réponse en France.

Par Etienne Drouard (photo), avocat associé, cabinet K&L Gates et Bénédicte Boubée, juriste

En novembre 2011, trois syndicats français du cinéma – APC (1), FNDF (2) et SEVN (3) – ont assigné les principaux fournisseurs d’accès à Internet (FAI) et moteurs de recherche afin d’obtenir
le blocage et le déréférencement des sites web Allostreaming, accusés de piratage. Les moteurs de recherche ont, à l’instar
de Google, d’ores et déjà déréférencé l’ensemble des sites Allostreaming. Toutefois, l’automatisation du déréférencement sans nouveau recours au juge, grâce à un outil – logiciel de l’Alpa et de TMG (4) – qui éviterait l’apparition de sites miroirs, suscite, quant
à elle, des débats.

Audience de plaidoirie le 4 juillet
Le 25 avril dernier, le magistrat instructeur a reporté au 4 juillet prochain l’audience de plaidoirie pour l’objet du référé et a donné à Yahoo! jusqu’au 23 mai pour lui soumettre
une question préjudicielle portant sur la transposition de la directive européenne DADVSI (5) en droit français. Les autres moteurs de recherche et les FAI ne se sont pas joints à Yahoo! sur une telle demande.
Lors de la dernière audience en mai dernier, Yahoo! a présenté cette question préjudicielle au juge, à qui revient la décision de la transmettre ou non à la Cour de justice de l’Union européenne (CJUE). Cette transmission décalerait d’autant la solution à venir sur le fond du dossier français. A l’heure où nous écrivons ces lignes, le délibéré n’a pas été rendu. Selon Yahoo!, la transposition par la loi du 12 juin 2009 (6) dite Hadopi 1 de la directive DADVSI serait trop étendue. En effet, la rédaction de l’article 336-2 du code de propriété intellectuelle a constitué une transposition très libre de cette directive. Elle permet de demander au juge d’ordonner, en présence d’une atteinte aux droits d’auteurs ou droits voisins, « toutes mesures propres à prévenir ou à faire cesser une telle atteinte à un droit d’auteurs ou un droit voisin, à l’encontre de toute personne susceptible de contribuer à y remédier », lorsqu’à l’origine la directive ne visait que les seuls « intermédiaires ». Ainsi,
la question préjudicielle posée est double : elle porte sur, d’une part, l’étendue de la transposition en droit français de la directive DADVSI et, d’autre part, la qualification ou non d’un moteur de recherches comme « intermédiaire » au sens de l’article 8.3 de cette même directive.
Pour Yahoo!, les moteurs de recherche ne constituent pas des intermédiaires au sens
de la directive européenne dans la mesure où ils sont neutres quant aux contenus qu’ils indexent : ils ne créent, ni ne transmettent aucune oeuvre. En outre, les résultats d’une recherche sont le fruit des interrogations formulées par les internautes. L’OCDE, pour sa part, estime que « les intermédiaires de l’Internet mettent en contact des tierces parties
ou facilitent des transactions entre elles sur Internet. Ils rendent accessibles, hébergent, transmettent et indexent sur Internet des contenus, produits et services provenant de tierces parties ou fournissent à des tiers des services reposant sur Internet » (7).
Se rangeant à cette définition des « intermédiaires », le rapport Lescure remis le 13 mai sur « l’exception culturelle acte II » met en avant le fait que la coopération de ces
« intermédiaires » permettrait de « contourner la difficulté d’appréhender directement
les responsables de la contrefaçon en ligne ».

Empêcher une « autorégulation privée »
Ainsi, à en suivre ce rapport, l’initiation d’une « action en cessation », fondée sur l’article 336-2 du code de la propriété intellectuelle (CPI) à l’encontre de ces intermédiaires apparaît comme une procédure d’opportunité qui permet d’aboutir au déréférencement des sites contrefacteurs par les moteurs de recherche, faute de pouvoir identifier les éditeurs de ces sites.
Il s’agit de faire cesser l’infraction, à tout le moins de rendre impossible l’accès à ces
sites par les internautes, à défaut de pouvoir directement poursuivre et sanctionner leurs éditeurs. Solution séduisante sachant que ces derniers sont difficilement identifiables et
se trouvent généralement dans des pays étrangers.

Toute automatisation inconstitutionnelle
Le rapport Lescure s’est rendu compte des limitations inhérentes à ses premières constatations et reconnaît qu’« il convient d’empêcher le développement d’une autorégulation purement privée, organisée sur la base d’une coopération entre ayants
droit et intermédiaires, qui pourrait provoquer des dérives de nature à mettre en danger
les libertés publiques ». Cette analyse est conforme à une réserve émise par le Conseil constitutionnel dans une décision du 10 juin 2009 (8) sur la loi Hadopi 1. En effet, les juges suprêmes ont considéré « qu’il appartiendra à la juridiction saisie de ne prononcer que les mesures strictement nécessaires à la préservation des droits en cause ». A la lecture de cette décision, il apparaît que le recours au juge est donc nécessaire pour que ce dernier se prononce sur la proportionnalité des mesures requises, mais également sur la mise à jour des services à déréférencer.
Toute automatisation du déréférencement paraîtrait par conséquent inconstitutionnelle, trop intrusive et constituerait un frein à la liberté fondamentale que constitue le droit pour tout un chacun d’accéder librement à Internet. L’automatisation soulève deux catégories d’interrogations :
• La première est celle du respect du principe du contradictoire. Il ne serait pas équitable, au regard des principes du droit processuel, que la décision de déréférencer un service litigieux se décide entre des plaignants et un juge, y compris en présence des acteurs
du référencement chargés d’exécuter une décision de déréférencement. La présence du contrevenant peut être difficile à rechercher, mais il est impératif d’avoir tenté de l’informer de l’existence du débat portant sur sa visibilité sur l’Internet français.
La procédure de « notice and take down » issue de la loi LCEN (9) n’est, certes, pas toujours applicable. Il n’en demeure pas moins que le déréférencement d’un service est une mesure « faisant grief » et ouvrant des droits au justiciable déréférencé, même s’il
est hébergé à l’étranger.
• La deuxième est celle de la révision dans le temps des services à déréférencer. Qu’il s’agisse de l’intérêt des victimes d’infractions à un droit de propriété intellectuelle, ou des complices, volontaires ou involontaires, la pertinence dans le temps des listes de services à bannir de l’Internet français soulève question.
On l’a vu en matière de lutte contre la pédopornographie, il est essentiel de réviser régulièrement les « listes noires » de sites à déréférencer. Mais la création par un juge d’une liste noire n’ouvre pas le droit à des acteurs privés, y compris ceux qui représentent des victimes, de la faire évoluer. En auraient-elles les moyens, elles n’en ont pas le droit dans un Etat de droit.
Le débat soulevé par Yahoo! se confrontera nécessairement aux résultats de la consultation publique initié par la Commission européenne le 30 novembre 2012 sur les
« procédures civiles visant à faire respecter les droits de propriété intellectuelle (efficacité des procédures, accessibilité des mesures) », et dont les résultats n’ont à ce jour pas encore été rendus publics. En France, le Conseil supérieur de la propriété littéraire et artistique (CSPLA) s’est, lui aussi, penché sur la question du référencement en février 2012. Son rapport initialement prévu pour juillet 2012, devrait finalement être remis d’ici l’automne 2013.
A l’issue de ces réflexions françaises et européennes, qui tardent à venir, les
« intermédiaires » pourraient bientôt compter les moteurs de recherche aux abonnés absents. Il ne serait pas surprenant que le juge de première instance reste aveugle,
à ce stade, à la mauvaise écriture de la loi française.

Corriger le droit français ?
Le juge pourra se réfugier derrière son obligation de juger en droit français, alors même que la question préjudicielle, dont il est saisi, a vocation à corriger la portée aléatoire de l’article 336-2 du CPI. Il pourra donc juger vite, quitte à juger mal. Il pourra aussi juger seul, quitte à être contredit demain. Il pourra, goguenard, renvoyer le législateur à ses propres erreurs, pour satisfaire le justiciable, faute d’inscrire son action dans une oeuvre de stabilité juridique.
Mais, ne désespérons pas. Le juge pourrait aussi accepter que cette question préjudicielle soit retenue. Paradoxalement, en retardant l’issue d’un procès, on pourrait alors faire gagner du temps au droit français. @