Vers une nouvelle loi contre le cyberharcèlement et les contenus haineux en ligne

Le gouvernement va présenter avant l’été un projet de loi contre le cyberharcèlement et les contenus haineux en ligne, en responsabilisant plus
les plateformes numériques et en restreignant l’anonymat. Le droit à l’effacement et l’actuel arsenal juridique sont actuellement limités face au fléau.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le harcèlement consiste à tenir des propos ou avoir des comportements répétés, ayant pour objet ou pour effet une dégradation des conditions de vie d’une personne, susceptible de porter atteinte à ses droits, à sa dignité et d’altérer sa santé physique ou mentale. A l’ère du numérique, le harcèlement s’opère sur Internet, les réseaux sociaux, les blogs ou tout autre support en ligne.

Essor d’un fléau et arsenal juridique
Le harcèlement en ligne, également appelé cyber-harcèlement, est au cœur de l’actualité, que ce soit avec les attaques qui ont visé le chanteur Bilal Hassani – représentant la France à l’Eurovision 2019, en mai prochain – ou encore avec l’affaire de la « Ligue du LOL ». La prolifération des faits de harcèlement en ligne suscite de plus en plus d’inquiétudes. Aux Etats-Unis, la cour suprême a récemment condamné pour homicide une femme de 22 ans jugée pour avoir poussé son petit ami au suicide en 2014, par une série de textos. En France, la récente affaire de la « Ligue du LOL », du nom d’un groupe privé sur Facebook, illustre également l’accroissement significatif du cyber-harcèlement. A la suite de ces révélations, plusieurs journalistes impliqués ont été suspendus par leurs employeurs pour avoir harcelé il y a quelques années d’autres journalistes et blogueurs sur le réseau social Twitter. Des victimes ont dénoncé des entraves à leur carrière et un dénigrement systématique de la part des membres du groupe ou de leur entourage, souvent accompagnés de photos et messages violents. Pour l’instant, il n’y a pas d’enquête judiciaire sur les faits allégués, la plupart d’entre eux étant prescrits (à partir de 6 ans, mais un rallongement du délai de prescription
est à l’étude). Cette affaire de la « Ligue du LOL » a amené une vingtaine de médias (presse et audiovisuel) à signer le 13 mars au ministère de la Culture une « Charte pour les femmes dans les médias, contre le harcèlement et les agissements sexistes dans les médias » (1). Le cyber-harcèlement est partout, y compris parfois au sein du couple. Dans le cadre des violences conjugales, les violences physiques sont souvent accompagnées de cyber-violences : cinq femmes victimes de violences conjugales
sur six déclarent ainsi avoir également subi des actes de cyber-harcèlement, selon le Centre Hubertine Auclert (2). Le cyber-harcèlement revêt dès lors plusieurs formes. Il peut s’agir de la propagation de rumeurs sur Internet, de la création d’un faux profil à l’encontre d’une personne, de la publication de photographies sexuellement explicites ou humiliantes, des messages menaçants ou du « happy slapping », cette pratique qui consiste à filmer à l’aide d’un téléphone portable des actes de violence et à les diffuser sur Internet, notamment sur les réseaux sociaux.
Le cyber-harcèlement est une infraction grave réprimée par le Code pénal. La menace de rendre publics sur Internet des enregistrements sonores, des images ou des vidéos à caractère sexuel d’un(e) ex-partenaire, avec l’intention de nuire, peut être qualifiée de chantage (3). Ou encore être sanctionnée sur le fondement de la menace de violence (4). La publication sur un site web permet aussi de sanctionner l’auteur pour des faits de violence psychologique, délit introduit dans notre Code pénal par la loi du 9 juillet 2010 dans le but de lutter plus efficacement contre les violences conjugales (5), quelle que soit leur nature (6). Diffuser à répétition sur Internet des enregistrements, des images, des vidéos à caractère sexuel, c’est aussi du harcèlement sexuel visé et réprimé par le Code pénal (7). Par ailleurs, l’article 222-33-2-2 du Code pénal sanctionne le harcèlement moral d’un an d’emprisonnement et de 15.000 euros d’amende.

Du retrait des contenus à de la prison ferme
La récente loi du 3 août 2018 renforçant la lutte contre les violences sexuelles et sexistes (8) modifie cet article pour prévoir que le délit est également constitué
« lorsque ces propos ou comportements sont imposés à une même victime par plusieurs personnes, de manière concertée ou à l’instigation de l’une d’elles, alors même que chacune de ces personnes n’a pas agi de façon répétée » ou « lorsque
ces propos ou comportements sont imposés à une même victime, successivement,
par plusieurs personnes qui, même en l’absence de concertation, savent que ces propos ou comportements caractérisent une répétition ». En outre, la même loi prévoit une aggravation des peines lorsque les faits sont commis par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique électronique. Ainsi, en cas de cyber-harcèlement, les peines sont portées à trois ans d’emprisonnement et 45.000 euros d’amende. Enfin, l’article 222-16 du Code pénal réprime l’envoi de plusieurs courriels malveillants à l’incrimination des appels téléphoniques malveillants et agressions sonores. A cet arsenal juridique, viennent s’ajouter des décisions judiciaires qui montrent de quelles manières les délits de cyber-harcèlement peuvent être constitués. Par une ordonnance de référé du 29 mars 2016 (9), le président du tribunal de grande instance de Paris a considéré que la publication de 34 articles faisant état de la dangerosité de deux personnes, affirmant qu’elles seraient recherchées par les autorités et lançant des avis de recherche était constitutive du délit de « cyber-harcèlement ». Le dirigeant a été condamné à retirer les articles publiés sous astreinte de 100 euros par jour.

Conseils de la Cnil et plan du gouvernement
A son tour, en 2017, le tribunal correctionnel de Bordeaux (10) a condamné une personne qui a proféré des menaces de mort à l’encontre d’un journaliste via le réseau social Twitter. Les juges ont retenu la circonstance aggravante de « menaces commises en raison de la religion ». Pour déterminer la culpabilité du mis en cause, il est retenu que « le premier message est clairement menaçant » et que « l’enchaînement des messages qui suivent est également de nature à constituer une menace de mort ».
En outre, les juges ont estimé que le délit était constitué, aux motifs que « les menaces ayant été adressées par messages envoyés par Twitter, il s’agi[ssai]t bien de menaces matérialisées par un écrit ». À ce titre, le prévenu a notamment été condamné à une peine d’emprisonnement d’un an ferme. Plus récemment, le 20 mars 2019, un étudiant qui avait harcelé une journaliste sur Internet à la suite d’un article a été condamné à cinq mois de prison avec sursis et 2.500 euros d’amende pour préjudice moral.
Partant du constat que près de 10 % de la population européenne a subi ou subira un harcèlement (11), la Commission nationale de l’informatique et des libertés (Cnil) a publié une série de conseils sur le cyber-harcèlement. Qui sont les cyber-harceleurs ?
« Un internaute peut être harcelé pour son appartenance à une religion, sa couleur de peau, ses opinions politiques, son comportement, ses choix de vie, … Le harceleur peut revêtir l’aspect d’un “troll” (inconnu, anonyme) mais également faire partie de l’entourage de la victime (simple connaissance, ex-conjoint, camarade de classe, collègue, voisin, famille …) », prévient la Cnil. Elle rappelle aux victimes de violences sur Internet la réaction à adopter face au harcèlement – avec comme principe de base de « ne surtout pas répondre ni se venger » – et les paramétrages des médias sociaux conseillés. Si le harcèlement en ligne est réprimé par le Code pénal et relève de la compétence judiciaire, la Cnil rappelle que chaque personne a un droit à l’effacement
et au déréférencement de ses données. Ainsi, la victime peut demander la suppression des informations auprès de chaque site web ou réseau social. La personne qui en est responsable est, par conséquent, tenue de procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois (voire trois si la demande est complexe). En cas d’absence de réponse sous un mois, un recours auprès de la Cnil est possible. Pour le droit au déréférencement spécifiquement, elle rappelle que « si ces informations apparaissent dans les résultats de recherche à la saisie de vos prénom et nom, vous avez la possibilité d’effectuer une demande de déréférencement auprès du moteur de recherche en remplissant le formulaire [comme celui de Google, ndlr (12)] ».
Face à la prolifération des faits de harcèlement en ligne, le gouvernement entend se saisir de la question et prendre de nouvelles mesures pour lutter efficacement contre ces actes. Un projet de loi contre les contenus haineux et le harcèlement en ligne devrait être présenté avant l’été. Il a ainsi annoncé le 14 février dernier sa volonté de responsabiliser les plateformes et d’accélérer les procédures pour identifier les auteurs de propos haineux en ligne. Les secrétaires d’Etat – Marlène Schiappa à l’Egalité et Mounir Mahjoubi au Numérique – veulent en effet, par ce « plan d’action », pousser les plateformes à mettre « en quarantaine » ou retirer « en quelques heures » les contenus haineux. Le gouvernement propose ainsi de superviser les outils de signalement
à disposition des internautes et envisage d’auditer régulièrement les règles de modération des contenus des plateformes. Il les incite également à développer leurs outils de modération automatique avec la possibilité, pour les utilisateurs, de faire appel. Le secrétaire d’Etat au Numérique désire par ailleurs créer un nouveau statut pour les plateformes en ligne qui serait entre celui d’hébergeur de contenus et celui d’éditeur, permettant d’engager plus efficacement leur responsabilité. « La loi allemande oblige (…) désormais les acteurs à supprimer dans un délai de 24h les contenus “manifestement illégaux” et prévoit des sanctions allant jusqu’à 50 millions d’euros en la matière », a-t-il rappelé (13).

Aller jusqu’à restreindre l’anonymat
Des mesures concernant l’anonymat sur Internet sont également en réflexion. Il s’agirait de restreindre cet anonymat à certains usages tels que les pétitions en lignes. Enfin, si la possibilité de demander l’identité des auteurs d’harcèlement en ligne existe déjà, le gouvernement voudrait fixer et imposer aux plateformes des délais pour communiquer ces données. @ 

* Christiane Féral-Schuhl est ancien bâtonnier
du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

Positions monopolistiques : faut-il démanteler les GAFA comme le fut AT&T il y a… 35 ans ?

Trente-cinq après le démantèlement du monopole téléphonique AT&T, les autorités antitrust américaines ont donné leur feu vert à la fusion entre AT&T et Time Warner (rebaptisé WarnerMedia). Tandis que dans le monde OTT d’en face, la question du démantèlement des GAFA se pose.

Le 26 février, se sont télescopées le même jour deux décisions des autorités antitrust aux Etats-Unis : la première, de la cour d’appel de Washington, a validé en appel l’acquisition du groupe audiovisuel Time Warner – devenu WarnerMedia –
par l’opérateur télécoms AT&T ; la seconde, annoncée par la Federal Trade Commission (FTC), porte sur la création d’un groupe de travail pour enquêter sur la concurrence dans le numérique et les GAFA.

Dans l’ombre de Donald Trump
Si le président américain Donald Trump (photo) suit de très près le contexte concurrentiel auquel se réfèrent ces deux décisions, c’est qu’il a une dent – voire plusieurs – contre à la fois les grands groupes de médias et les géants du numériques qui lui seraient hostiles depuis sa campagne présidentielle de l’automne 2016. Concernant AT&T-Time Warner, le locataire de la Maison Blanche était vent debout contre cette mégafusion à 85 milliards de dollars, qui était, selon lui,« trop de pouvoir concentré dans les mains de trop peu de gens ! », et avec le risque de voir les prix des abonnements Pay-TV flamber (1).
L’administration Trump avait attaqué le projet de fusion devant la justice : après avoir perdu en première instance en juin 2018, elle a de nouveau été déboutée en appel le 26 février dernier – et devrait en rester là. N’en déplaise à Donald Trump, le nouvel ensemble AT&T-WarnerMedia peut voir le jour pour notamment tenter de contrer Netflix et Amazon Prime Video avec sa propre plateforme de SVOD qu’il prévoit de lancer d’ici fin 2019. Pour obtenir le feu vert, AT&T a promis au département de la Justice (DoJ) de ne pas être complètement intégré et de bien séparer ses filiales Turner (éditrice de la chaîne CNN que déteste Trump) et DirecTV en mettant un « firewall » entre les deux. AT&T-WarnerMedia, qui a annoncé le 4 mars une réorganisation et la fusion de HBO avec Turner, rejoint le club des conglomérats audiovisuels américains nés avec la convergence télécoms-médias (2), tels que Comcast/NBCUniversal/Sky (3) ou encore le groupe Disney/Fox (dont le service de SVOD sera aussi lancé cette année). Prochaine opération de fusion à examiner par les autorités antitrust : le rachat de Sprint par T-Mobile pour 26 milliards de dollars (faisant passer le marché mobile américain de quatre à trois opérateurs). Mais pendant que les Etats-Unis entérinent la concentration des groupes audiovisuels, voilà que le régulateur fédéral américain du commerce – la Federal Trade Commission (FTC) – s’interroge cette fois sur le poids monopolistique des géants du numérique. Sans nommer Google, Apple, Facebook ni Amazon, la FTC n’a pas caché qu’elle pourrait remettre en cause des fusions approuvées par le passé ou exiger la cession de certains actifs. Cette démarche de l’administration Trump est perçue par certains comme une représailles de l’actuel président américain qui a maille à partir avec les entreprises de la Silicon Valley très critiques à son égard (hormis son rare soutien Peter Thiel, cofondateur de Paypal et de Palantir). L’an dernier, Donald Trump n’avait pas hésité à attaquer Google en accusant le moteur de recherche de censurer les voix des Républicains (son camp politique) et de favoriser celles des Démocrates (ses opposants). De là à envisager de démanteler Google, il y a un pas
de géant à franchir.
Facebook est aussi dans le collimateur. Lors d’une conférence téléphonique le 16 février, le directeur de la concurrence à la FTC, Bruce Hoffman, s’est bien gardé de dire si le rachat par Facebook d’Instagram en 2012 pour 1 milliard de dollars ou celui de WhatsApp en 2014 pour 19 milliards de dollars faisaient partie des dossiers à rouvrir. La « Technology Task Force », qui fut annoncée ce jour-là (4) en s’inspirant de la
« Merger Litigation Task Force » lancée en 2002 par la FTC, va repasser au peigne
fin les marchés et écosystèmes complexes de la publicité en ligne (où Google (5) et Facebook sont en position dominante), les réseaux sociaux (où la firme de Mark Zuckerberg va intégrer Facebook, WhatsApp, Instagram et Messenger), les systèmes d’exploitation mobile et leurs applications (dominés par Android de Google et iOS d’Apple), ainsi que tous les écosystèmes numériques (Amazon, Uber, AirBnb, …).

Démanteler Google et Facebook ?
La question du démantèlement des GAFA jugés « trop puissants » ne se pose pas qu’aux Etats-Unis, mais aussi dans le reste du monde. En Europe, la Commission européenne a déjà infligé deux amendes à Google pour abus de position dominante : 4,3 milliards d’euros le 18 juillet 2018 pour Android et 2,42 milliards d’euros le 27 juin 2017 pour son moteur de recherche. En France, en 2017, l’Arcep s’est dite favorable à l’idée de démanteler Google (6) (*) (**). Les « Cnil » européennes, elles, s’inquiètent du projet d’intégration de Facebook. @

Charles de Laubier

Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».

Communauté d’intérêt et responsabilité
Cet avocat général (2) cherche à construire, en matière de protection des données personnelles comme en matière de propriété intellectuelle, un régime de responsabilité liée à l’insertion d’un lien hypertexte vers les services d’un tiers. En matière de propriété intellectuelle, il aura fallu 14 années de controverses avant de juger au niveau européen qu’un lien hypertexte peut être un acte de représentation d’une oeuvre nécessitant, pour celui qui intègre un lien au sein de son service, de recueillir l’autorisation du titulaire des droits attachés à l’oeuvre accessible via ce lien (3). En matière de protection des données personnelles, cette fois, quelle est la responsabilité pour l’éditeur d’un service en ligne résultant de l’insertion d’un lien hypertexte d’un tiers – en l’occurrence le bouton « J’aime » de Facebook – sur son site web, permettant à ce tiers de collecter des données personnelles des visiteurs du site web concerné ? Comme en matière de propriété intellectuelle, l’avocat général de la CJUE se demande si le critère décisif pour déclencher une telle responsabilité ne serait pas celui d’une communauté d’intérêts entre celui qui intègre le lien sur son site web et celui qui a conçu seul les fonctionnalités que ce lien déclenche. Dans cette affaire « Fashion ID » – du nom de la société allemande de vente en ligne de prêt-à-porter – il est établi que l’adresse IP et l’identifiant du logiciel de navigation du visiteur du site web de Fashion ID sont transmis à Facebook du fait de l’intégration d’un bouton « J’aime » sur ce site, même si le visiteur ne clique pas sur ce bouton « J’aime », et même s’il ne dispose pas d’un compte Facebook. La « Verbraucherzentrale NRW eV », une association allemande de protection des consommateurs a introduit une action en cessation à l’encontre de Fashion ID au motif que l’utilisation du bouton « J’aime » de Facebook sur ce site web était contraire aux lois allemandes sur la protection des données personnelles, lois transposant la directive européenne «Protection des données personnelles » de 1995. Puisque cette action ayant été introduite avant l’entrée en vigueur du RGPD (4), la CJUE rendra donc sa décision en application de cette directive de 1995 et des lois de transposition allemandes (5). L’association reproche ainsi à Fashion ID de n’avoir fourni aucune information à ses visiteurs sur l’existence d’une telle collecte par Facebook. Le régime de responsabilité entre Facebook et Fashion ID reste en suspens : est-elle conjointe, solidaire, ou distincte ? Pour obtenir une réponse fiable, l’association allemande a saisi la CJUE d’une question préjudicielle afin de savoir si Fashion ID peut être considéré comme « responsable du traitement » au sens de la directive de 1995, alors même qu’elle ne peut avoir elle-même aucune influence sur ce processus de traitement des données par Facebook ?
L’avocat général de la CJUE fait référence, dans ses conclusions, à l’arrêt
« Unabhängiges » (6) du 5 juin 2018 dont l’affaire serait similaire à celle de Fashion ID, au motif que : l’éditeur de site web intègre dans son site une fonctionnalité développée et mise à disposition par Facebook, permettant ainsi la collecte de données personnelles par Facebook, résultant de l’enregistrement par Facebook de cookies
sur les terminaux des visiteurs de sa page web. L’occasion de faire cette analogie ayant été trop belle, il en a conclu que le gestionnaire d’un site web qui y intègre un lien hypertexte installant le « plugiciel » (ou plugin en anglais) d’un tiers – en l’espèce,
le bouton « J’aime » de Facebook – permettant la collecte par ce tiers de données personnelles, devrait être considéré comme un « coresponsable » de cette collecte avec ledit tiers ayant conçu ce plugiciel.

« Unité de finalités et de moyens » : vague
Inventer des similitudes peut parfois tourner à la conversation de comptoir. L’avocat général a cherché à découvrir, coûte que coûte, « une identité de finalités et de
moyens » dans l’opération de collecte et de transfert des données personnelles pour que Facebook et Fashion ID soient jugés coresponsables. Selon lui, la détermination commune des moyens serait caractérisée par la décision prise par Fashion ID d’utiliser le plugiciel fourni par Facebook, outil permettant la collecte et la transmission des données personnelles à Facebook. Ainsi, tant Facebook que Fashion ID « paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données ».

Des conclusions dénuées de tout fondement
Par ailleurs, l’avocat général, a estimé que la finalité pour laquelle Fashion ID a intégré le bouton « J’aime » sur son site web serait d’améliorer la visibilité de ses produits par le biais du réseau social. S’il admet que cette finalité ne correspond pas à celle poursuivie par Facebook (à savoir le profilage des visiteurs à des fins de publicités ciblées), il affirme cependant que les deux parties « paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire ». Le critère retenu ici ne serait donc pas l’identité de la finalité poursuivie, mais « une unité de la finalité : commerciale et publicitaire », critère beaucoup plus large, vague et sujet à interprétation que le premier. La conclusion à laquelle parvient l’avocat général est dénuée de tout fondement juridique connu ou prévu par les textes en vigueur hier ou aujourd’hui. D’une part, ni la directive de 1995, ni le RGPD, ni la CJUE jusqu’à présent, ne se fondent sur une « identité de finalités » ou encore une « unité de finalités », mais bien sur la détermination commune de finalités par les deux responsables de traitement, c’est-à-dire une (ou plusieurs) finalité(s) déterminée(s) d’un commun accord.
D’autre part, la détermination conjointe de moyens ne fonde pas la décision prise par un éditeur de site web d’intégrer un plugiciel d’un tiers sur sa page web. Il serait, au contraire, grand temps d’admettre qu’un seul et même moyen de traitement de données, peut servir des finalités et des intérêts différents, voire divergents, déclenchant des responsabilités distinctes pour des traitements de données qui peuvent être étrangers l’un de l’autre ou propres à un acteur, et échappant à la connaissance, au contrôle ou au bénéfice d’un autre acteur. C’est au prix de cette distinction des intérêts et des finalités, qu’on peut réguler l’économie numérique en évitant de confondre David et Goliath et de rendre un éditeur européen de services coresponsable de l’activité d’un vendeur américain de profils publicitaires. Fashion ID
et Facebook ne sont pas coresponsables de traitement ; Fashion ID n’a pas déterminé conjointement avec Facebook les finalités et les moyens qu’aura Facebook de traiter des données. La pluralité de responsables de traitement n’implique pas forcément une responsabilité conjointe. Autrement dit, quand on est plusieurs, on ne forme pas qu’un. Selon la directive de 1995, un responsable de traitement est « la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (7). Cette définition a été reprise à l’identique dans le RGPD (8) : elle admet qu’il peut y avoir plusieurs coresponsables décidant conjointement de la finalité du traitement et des moyens à mettre en oeuvre pour la réaliser (9). S’il peut exister différents niveaux de responsabilité conjointe, pour tout ou partie d’un traitement de données, la question posée désormais à la CJUE est celle avant tout de savoir comment caractériser une telle responsabilité conjointe et non de la décréter par paresse lorsqu’on se trouve en présence de plusieurs acteurs autour d’un même moyen de traitement de données. Tant la directive de 1995 que le RGPD
de 2018 posent un critère repris par la CJUE, celui de la « détermination conjointe des finalités et des moyens » du traitement opéré par les personnes physiques ou morales. Or, l’avocat général ne reprend pas ce critère d’appréciation puisque, selon lui, pour qu’il y ait responsabilité conjointe, il est nécessaire que les deux opérateurs poursuivent une unité de finalité et non pas qu’ils déterminent conjointement la finalité de traitement. Or les finalités poursuivies par Fashion ID et par Facebook sont divergentes.
Il est faux d’affirmer en l’espèce que les deux parties auraient déterminé de façon commune la finalité de l’opération de traitement consistant en la collecte des données personnelles des visiteurs du site web de Fashion ID. En effet, Facebook n’est convenu de rien avec personne lorsqu’il a conçu son plugiciel lui permettant à lui – et à lui seul – de collecter les données de personnes visitant un site web tiers. Facebook n’a pas davantage discuté avec quiconque de sa stratégie « data », consistant à collecter et traiter des données à des fins de profilage et de ciblage publicitaire, y compris lorsque les personnes concernées ne se sont jamais inscrites sur Facebook. Fashion ID a simplement décidé, a posteriori, d’intégrer ce plugiciel dans sa page web afin de bénéficier de la diffusion qu’un bouton « J’aime » lui procure au sein des membres
de la communauté Facebook d’un de ses visiteurs, si ce dernier a un compte Facebook et s’il clique « J’aime ». La société Fashion ID n’a en aucun cas déterminé les moyens essentiels à la collecte par Facebook des données car elle n’a pas participé à la conception du plugiciel, de ses fonctionnalités, de ses finalités et de leur participation
à la stratégie « data » de Facebook.

Ce qu’en disent les « Cnil » européennes
Ainsi, Fashion ID et Facebook ne peuvent être qualifiés de responsables conjoints d’un tel traitement, non pas parce que ce serait une erreur d’appréciation discutable, mais parce que les régulateurs européens et le RGPD disent le contraire. Comme l’a relevé le G29 des « Cnil » européennes, « la coopération dans le traitement ne signifie pas qu’il y a forcément coresponsabilité. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble d’opération, doit être considéré uniquement comme un transfert de données entre des responsables distincts » (10). Il faudra être encore un peu patient avant d’avoir la position finale de
la CJUE, en espérant, d’ici là, que celle-ci ne se trompera pas de question ni de raisonnement. @

Etant basé en Irlande, Google compte rendre illégal l’amende de la Cnil devant le Conseil d’Etat

Le Conseil d’Etat devra dire si la Cnil est compétente pour sanctionner financièrement Google dont le siège européen est basé en Irlande. La firme de Mountain View doit payer 50 millions d’euros pour non-respect du règlement général sur la protection des données (RGPD) sur Android.

Google fait donc appel de la décision de la Cnil (1) qui lui a infligé le 21 janvier dernier une amende de 50 millions d’euros « en application du RGPD (2) pour manque de transparence, information insatis-faisante et absence de consentement valable pour la personnalisation de la publicité ». Pour autant, ce n’est pas le montant de la sanction financière – une goutte d’eau au regard des dizaines de milliards de dollars qu’engrange chaque année la firme de Mountain View (3) – qui va contester devant
le Conseil d’Etat, mais bien la compétence de la Cnil dans cette procédure.

« Cnil » irlandaise et Google Irlande à Dublin
Google, qui s’est bien gardé d’évoquer le problème dans son communiqué laconique
du 23 janvier savamment distillé auprès de quelques médias, va demander à la haute juridiction administrative d’invalider la délibération du 21 janvier – publiée au Journal Officiel du 22 janvier (4). Car, selon le géant du Net, « la Cnil n’est pas compétente pour mener cette procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité
de protection des données irlandaise » – en l’occurrence la DPC (The Data Protection Commission), basée à Dublin. C’est justement à Dublin, la capitale de l’Irlande, qu’est établie la société Google Ireland Limited, dont la directrice des affaires publiques et relations gouvernementales est Anne Rooney (photo), une Irlandaise francophone et francophile. C’est elle qui dirige Google Ireland, sous la présidence européenne de Matt Brittin (5), en charge des opérations et basé à Londres. Plus connu en France où il est installé, Carlo d’Asaro Biondo est, lui, président européen des partenariats – tous les trois sur les régions EMEA (Europe, Moyen-Orient et Afrique).
Sur son profil LinkedIn, Anne Rooney déclare : « Je suis responsable de la gestion
et de la direction des agendas produits et politiques avec les décideurs politiques externes, le gouvernement, les régulateurs et les tierces parties au nom de Google Irlande et EMEA. Je développe et dirige l’engagement en matière de politiques publiques et de réglementation dans toute la gamme des domaines stratégiques qui
ont une incidence sur Google et le Web. Les questions clés comprennent l’innovation technologique, le développement économique et la sécurité ». Sa maison mère est formelle et a eu l’occasion de l’affirmer à plusieurs reprises devant la Cnil : Google Ireland Limited doit être considérée comme son établissement principal au sein de l’Union européenne pour certains des traitements transfrontaliers qu’elle met en oeuvre, « et notamment ceux objets des plaintes reçues par la Cnil ». En conséquence, poursuit Google, la DPC devrait être considérée comme l’autorité de contrôle compétente et
« chef de file » en charge, à ce titre, de traiter les plaintes reçues par son homologue française.
Devant le Conseil d’Etat, le géant du Net ne manquera pas de rappeler – comme il
l’a exposé devant la Cnil dans ses observations écrites (des 22 novembre 2018 et 4 janvier 2019) ainsi qu’oralement le 15 janvier dernier – que son siège social pour ses opérations européennes se situe précisément en Irlande depuis 2003. Google Ireland Limited est « l’entité en charge de plusieurs fonctions organisation-nelles nécessaires
à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.) ». C’est en outre de cette société basée à Dublin que relève « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne ». Le QG européen de Google emploie plus de 3.600 salariés et, selon les affirmations de l’entreprise elle-même, dispose d’une équipe dédiée en charge de « la gestion des demandes faites
au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée ». Google a aussi précisé à la Cnil qu’une réorganisation tant opérationnelle qu’organisationnelle était en cours « en vue de
faire de la société Google Ireland Limited le responsable de traitement pour certains traitements de données à caractère personnel concernant les ressortissants
européens ».

Pour Google, la Cnil n’est pas « chef de file »
Autre argument avancé par Google : la définition d’établissement principal doit être distinguée de celle de responsable de traitement. « Si le législateur européen avait voulu que la notion d’établissement principal soit interprétée comme le lieu où les décisions concernant les traitements sont prises, il l’aurait expressément indiqué », estime la firme de Mountain View. De plus, invoquant la nature transfrontalière des traitements de personnalisation de la publicité et du nombre significatif d’utilisateurs d’Android en Europe faisant l’objet de ces traitements de données personnelles, dont probablement plus de 30 millions de mobinautes en France (6), elle considère que « les mécanismes de coopération et de cohérence tels que prévus [par le] RGPD auraient dû s’appliquer » et que « le Comité européen de la protection des données (CEPD) aurait dû être saisi en cas de doute sur la détermination de l’autorité chef de file ».

Sanctions suivantes : après Android, au tour de YouTube, Gmail et Search ?
Google s’appuie en particulier sur l’article 60 du RGPD, selon lequel l’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées en s’efforçant de parvenir à un consensus – l’autorité de contrôle chef de file et les autorités de contrôle concernées échangeant toute information utile. De plus, en
dehors de la procédure engagée par la Cnil, Google estime « sans effet juridique »
les discussions informelles qui ont pu avoir lieu entre les autres autorités européennes de contrôle sur cette procédure « dès lors qu’elles ont eu lieu sans sa présence ».
La non reconnaissance par Google de l’autorité « chef de file » que s’est arrogée la
Cnil sera ainsi au coeur des réflexions du Conseil d’Etat qui devra dire si l’autorité
– présidée par Marie-Laure Denis depuis début février – a outrepassé ou pas ses compétences territoriales et si sa sanction financière est légale ou non.
Dans son considérant n°36, le RGPD prévoit que « l’établissement principal d’un responsable du traitement dans l’Union (européenne) devrait être le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement des données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union, auquel cas cet autre établissement devrait être considéré comme étant l’établissement principal ». Google Ireland Limited à Dublin aurait dû alors être reconnu comme l’établissement principal en Europe et la « Cnil » irlandaise (DPC) comme le chef de file pour instruire la procédure sur les éléments fournis par son homologue française.
Cette dernière, en se référant aux lignes directrices du CEPD du 5 avril 2017 concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous-traitant (7), juge que la filiale irlandaise de Google ne dispose d’« un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ». La Cnil reconnaissant seulement son rôle dans les « activités financières et comptables, vente d’espaces publicitaires, passation de contrats etc ». L’amende de
50 millions d’euros porte sur le système d’exploitation des terminaux mobiles Android assorti de l’App Store Google Play, ainsi que sur l’activité de régie publicitaire. Il est reproché à Google de demander aux mobinautes Android d’accepter sa politique de confidentialité et ses conditions générales d’utilisation des services – et surtout, qu’à défaut d’une telle acceptation, les utilisateurs ne pourraient utiliser leur terminal (smartphone ou tablette sous Android).
Le géant du Net se permet en outre d’exploiter les traitements de données à caractère personnel à des fins publicitaires (analyse comportementale et ciblage). Or, pour enfoncer le clou, la Cnil révèle un courrier en date du 3 décembre 2018 adressé à la DPC à Dublin pour lui annoncer « que le transfert de responsabilité de Google LLC
vers la société Google Ireland Limited sur certains traitements de données à caractère personnel concernant les ressortissants européens serait finalisé le 31 janvier 2019 ». Par ailleurs, Google vient de procéder à la mise à jour de ses règles de confidentialité qui sont entrées en application le 22 janvier 2019 – soit le lendemain de sa mise à l’amende par la Cnil ! La Quadrature du Net, association française de défense des droits et libertés numériques, qui fut avec l’association autrichienne NOYB (None Of Your Business, « ce n’est pas tes affaires ») à l’origine des plaintes contre Google, dénonce cette manoeuvre qu’elle estime grossière et appelle la Cnil à continuer à sanctionner au-delà d’Android. « Nous attendons de la Cnil qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre YouTube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise ».

Europe : 95.000 plaintes en 8 mois, c’est peu
Le bras de fer entre Google et la Cnil devant le Conseil d’Etat intervient au moment
où la Commission européenne a annoncé le 25 janvier – Journée de la protection des données – qu’au cours des huit mois depuis l’entrée en vigueur du RGPD (le 25 mai 2018), « les autorités nationales de protection des données ont reçu plus de 95.000 plaintes de citoyens à ce jour », dont 255 font l’objet d’une enquête de la part des
« Cnil » (8). Objectivement, c’est très peu au regard des quelques centaines de millions d’Européens connectés à Internet et détenteurs de smartphones. @

Charles de Laubier

Pourquoi Axel Springer a perdu son procès contre Eyeo, éditeur du logiciel Adblock Plus

Retour sur un verdict attendu depuis trois ans : dans sa décision du
19 avril 2018, la Cour suprême fédérale de Justice allemande a jugé
« légal » le logiciel de blocage de publicités en ligne Adblock Plus, déboutant
le groupe de médias Axel Springer de sa plainte pour concurrence déloyale.

C’est un revers pour le groupe allemand qui publie non le quotidien Bild,
le plus lu outre-Rhin et la plus forte diffusion de la presse en Europe occidentale, mais aussi Die Welt, ainsi que de nombreux sites web (Businessinsider.com, SeLoger, Logic-Immo, …). En 2015, l’éditeur berlinois avait fait appel et obtenu un référé à l’encontre de la société allemande Eyeo qui éditeur Adblock Plus, l’un des logiciels anti-pub sur Internet les plus utilisés dans le monde.

Consécration de l’adblocking
Axel Springer avait essuyé un échec en première instance à Cologne où Eyeo avait remporté une première victoire judiciaire – comme cela avait déjà été le cas après les premières plaintes de ProSiebenSat.1 Media et RTL Group. Mais, en juin 2016, la cour d’appel de Cologne ne l’avait pas entendu de cette oreille en voyant au contraire de la concurrence déloyale dans l’activité de la société Eyeo qui avait alors porté l’affaire devant la Cour suprême fédérale de Justice allemande. Cette fois, c’est de nouveau Eyeo qui l’emporte. La plus haute juridiction allemande basée à Karlsruhe a en effet rendu son verdict le 19 avril dernier (1), en jugeant « légal » le logiciel Adblock Plus.
« L’offre du logiciel bloqueur de publicités Adblock Plus ne viole pas la loi contre la concurrence déloyale », ont déclaré les juges suprêmes. Ils estiment que le programme informatique n’interférait pas dans l’offre publicitaire des sites web des éditeurs et des médias et surtout que son utilisation dépendait de « la décision autonome des internautes ». Adblock Plus, qui est une extension téléchargeable gratuitement pour fonctionner avec tout navigateur web, est actif sur plus de 100 millions de terminaux dans le monde, Europe en tête.
Mais, toutes marques confondues, le nombre de ces logiciels anti-pub installés dans tous les pays dépasserait les 600 millions. C’est dire que le verdict aura des implications bien au-delà de l’Allemagne. Pour la Cour suprême, il s’agit d’une nouvelle façon de faire jouer la concurrence et en toute légalité. Il n’y a pas à ses yeux de pratique commerciale illégale. La société Eyeo – cofondée par son président Tim Schumacher, son directeur général Till Faida et son développeur Wladimir Palant – s’est défendue de vouloir entraver l’activité des éditeurs. Elle a dit rechercher simplement à rendre plus légitimes ses propres objectifs commerciaux, sans passer outre les barrières techniques que le groupe Axel Springer avait mis en place pour protéger ses contenus. Les juges ont estimé qu’utiliser un adblocker est un choix d’utilisateur indépendant, tout en soulignant que les éditeurs de sites web et de médias en ligne avaient adopté des contre-mesures telles que le renvoi des utilisateurs ayant un adblocker activé vers des espaces payants (paywalls). Le verdict du 19 avril va donc à l’encontre du tribunal régional de Cologne, lequel, en juin 2016, avait au contraire jugé déloyale (2) au regard de la concurrence l’activité de la société Eyeo (dont le siège social est à Cologne justement). Et ce, en incitant d’autres acteurs du marché à prendre des décisions qu’ils n’auraient prises pas autrement : de telles pratiques commerciales agressives sont sanctionnées par la section 4a du la loi allemande sur la concurrence déloyale si elles résultent d’un abus de pouvoir commercial. Contrairement au tribunal de Cologne, la Cour suprême constate qu’Eyeo n’a pas influencé à l’excès les annonceurs qui veulent faire affaire avec les sites web d’Axel Springer.
L’outil controversé bloque les publicités intempestives, les « pop-up » ou encore les pubs vidéo. La société Eyeo a en effet constitué avec des annonceurs une « liste blanche » qui sélectionne les publicités en ligne jugées les moins intrusives selon ses propres critères. Les internautes peuvent ainsi bloquer celles qui ne sont pas des « Acceptable Ads », lesquelles se retrouvent cette fois dans une « liste noire », ou bien l’utilisateur peut au contraire choisir de désactiver cette option pour n’en bloquer aucune. Cela revient à « whitelister » les éditeurs qui acceptent de payer une taxe sur leurs recettes publicitaires pour passer entre les mailles du filet Adblock Plus, et donc à « blacklister » ceux qui refusent de payer.
Ce droit de passage est dénoncé par des éditeurs de sites web et des médias.

Une « liste blanche » payante
« Ce qui est surprenant dans cette décision est l’approbation de l’adblocking indépendamment du modèle économique qui le sous-tend derrière. (…) Mais le jugement devrait-il changer si, comme Adblock Plus, le bloqueur de publicité rend disponible une liste blanche pour contenter des éditeurs et des annonceurs contre le paiement ? », s’interroge Anthonia Ghalamkarizadeh, conseil juridique chez Hogan Lovells à Hambourg.
Car si un éditeur de contenu ou un annonceur veulent que leurs messages publicitaires pénètrent dans la barrière du adblocking, un paiement peut aboutir à un traitement préférentiel. « Et l’adblocker devient commercialement partisan, poursuit-elle. Ce n’est pas certainement dans l’intérêt supérieur des utilisateurs, dont la liberté de choix est fortement mise sous le feu des projecteurs dans le débat en cours sur l’adblocking ».

Entrave à la liberté de la presse ?
A l’issu du verdict, la société Eyeo s’en est félicitée : « Nous sommes satisfaits que la plus haute juridiction d’Allemagne ait soutenu le droit de chaque citoyen Internet à bloquer la publicité indésirable en ligne. Comme nous le faisons depuis 2014, nous continuerons à nous battre pour les droits des utilisateurs en Allemagne et dans le monde entier ». Après sa défaite judiciaire, Axel Springer a indiqué à l’agence de presse allemande DPA vouloir déposer « une plainte constitutionnelle pour entrave à la liberté de la presse ». Au-delà de l’affaire « Adblock Plus » en Allemagne, c’est tous les logiciels de blocage de publicités numériques ainsi que les extensions anti-pub présentes dans tous les navigateurs web – Firefox (Mozilla), Safari (Apple), Internet Explorer (Microsoft), Chrome (Google), Opera (Opera Software) – ou sur tous les systèmes d’exploitation mobile, qui se trouvent légitimés partout dans le monde.
De son côté, la Fédération des éditeurs allemands de journaux (BDZV) a exprimé son « incompréhension » envers cette décision qui « rend massivement vulnérable n’importe quel modèle de financement de contenus journalistiques en ligne basé sur des revenus publicitaires numériques ». Les éditeurs et les médias en ligne s’inquiètent du manque à gagner grandissant. En France, où les pertes des éditeurs sont allées jusqu’à 25 % de leur chiffre d’affaires, l’affaire n’a pas été portée devant la justice mais des médias en ligne ont mené des campagnes anti-adblocking auprès des internautes. Et depuis mars 2018, des sites web ont commencé à être labellisés « Digital Ad Trust » par l’Alliance pour les chiffres de la presse et des médias (APCM) et le Centre d’étude des supports de publicité (CESP). Quant à l’Interactive Advertising Bureau (IAB), organisation professionnelle de la pub online, elle mobilise les différents acteurs autour de « bonnes pratiques vertueuses » avec l’élaboration au niveau international d’une
« charte de bonnes pratiques » (3). Au niveau européen, le label EVCF – European Viewability Certification Framework – a été lancée en août 2017
à Bruxelles par l’European Viewability Steering Group (EVSG), lequel fut créé fin 2015 à l’initiative de l’IAB Europe, de la European Association of Communications Agencies (EACA) et de la World Federation of Advertisers (WFA) « afin d’appliquer des standards européens uniformes et équitables dans la mesure de la visibilité de la publicité numérique » (4). Tandis que la société Eyeo, elle, va donc pouvoir continuer à tirer profit du adblocking, les éditeurs de contenus et de médias en ligne vont, eux, devoir d’armer de contre-mesures pour dissuader les internautes à utiliser de tels outils : inciter les visiteurs à payer s’ils ne veulent pas de publicités (paywalls), inventer de nouvelles publicités en ligne moins intrusives, plus dynamiques, voire refuser des internautes équipés d’adblockers – ce qui pourrait être considéré comme une pratique illégale au regard de la protection des données et de la vie privée.
Mais il y a un nouveau défi à relever : limiter le blocage des e-pubs dans les applications mobiles (in-app), bien que les obstacles techniques freinent pour l’instant son expansion. Adblock Plus est là aussi aux avant-postes sur iOS et Android depuis trois ans. Sur smartphones et mobiles dotés de la dernière version du système d’exploitation iOS, la 11, Apple a mis en place à l’automne dernier une nouvelle fonctionnalité baptisée ITP (pour Intelligent Tracking Prevention) visant non seulement à protéger les données personnelles de ses utilisateurs, mais aussi à rendre plus difficile l’usage de cookies – mettant au passage à mal des prestataires du ciblage publicitaire tels que le français Criteo, leader mondial dans ce domaine.
En tout cas, la décision judiciaire de Cologne intervient au moment où, en Europe, le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018. Il oblige les éditeurs du Net et les publicitaires à obtenir le consentement préalable des internautes avant de déposer tout cookie – notamment publicitaire – dans le terminal. En cas de non-respect du RGPD, des amendes pourront être infligées et atteindre jusqu’à 4 % du chiffre d’affaires global annuel des entreprises.

Les cookies sous l’œil de la Cnil
En France, le dépôt de cookies ou de logiciels dans les terminaux doit se conformer à la recommandation que la Commission nationale de l’informatique et des libertés (Cnil) avait émise le 5 décembre 2013 sur les
« cookies et autres traceurs » (5), puis publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011. @

Charles de Laubier