Les plateformes numériques sont-elles parties pour un grand chelem de sanctions ?

Les géants du Net sont pris entre deux feux principaux : le droit de la concurrence, d’une part, et la protection des données, d’autre part. Mais ces deux référentiels juridiques s’entremêlent de plus en plus et se démultiplient, au risque d’aboutir à des doubles sanctions. Ce que l’Europe assume.

Par Olivier de Courcel, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Alors que les textes de référence s’accumulent, de même que les procédures de contrôle et les sanctions (aux amendes toujours plus élevées), la mise en conformité (compliance) devient comme un grand chelem pour les plateformes numériques. Les procédures se multiplient: aux Etats-Unis, 5 milliards de dollars imposés à Facebook par la FTC américaine en juillet 2019, contrôle en cours par le DoJ sur les GAFA, enquête préliminaire conjointe de 48 Etats fédérés ; en Europe, amende de 2 millions d’euros en Allemagne pour le manque de transparence de Facebook sur les contenus illicites (1), enquête préliminaire lancée par la Commission européenne sur la collecte et l’utilisation des données des utilisateurs de Google (2), contrôle en cours par la « Cnil » irlandaise sur les ventes aux enchères d’espaces publicitaires de Google, pré-rapport de l’autorité de la concurrence britannique (CMA) sur les plateformes (3), etc…

Un empilement de textes et de sanctions
Or les référentiels juridiques ainsi opposés aux plateformes numériques sont d’autant plus complexes à articuler qu’ils tendent à s’ajouter en silos les uns à la suite des autres sans mise en cohérence. Les plateformes numériques sont d’abord des habituées du droit de la concurrence. La première décision rendue en France contre Google, en 2010 par l’Autorité de la concurrence, sanctionnait déjà le fonctionnement discriminatoire de l’affichage publicitaire sur le moteur de recherche et l’opacité des conditions de fourniture et interruption de son service Adwords (4). Le même abus de position dominante était soumis au gendarme de la concurrence à deux occasions en 2019 (5), ce qui l’amena en décembre dernier à assortir son injonction d’une sanction pécuniaire de 150 millions d’euros (6). Google a également fait l’objet de sanctions par la Commission européenne, à trois reprises entre 2017 et 2019 et pour un total qui dépasse 8 milliards d’euros (7). Par ailleurs, au titre du contrôle des concentrations, cette dernière a approuvé les principales opérations de fusion-acquisition des plateformes, notamment celle en 2014 de WhatsApp par Facebook (8). Ensuite, l’entrée en vigueur fracassante du règlement général sur la protection des données (RGPD), le 25 mai 2018, avec possibilité de sanctions jusqu’à 4% du chiffre d’affaires, a amené les entreprises, y compris les plateformes numériques, à prendre plus au sérieux le référentiel juridique applicable aux traitements de données à caractère personnel. A ce jour, néanmoins, les sanctions prononcées ne dépassent pas 215 millions d’euros pour un dossier (9). Les plateformes numériques connaissent bien l’orientation des régulateurs européens en matière de données et vie privée puisque, ne serait-ce qu’en France, Facebook a subi en 2017 deux décisions de sanction : l’une pour sa combinaison massive de données à des fins de ciblage publicitaire des internautes, y compris à leur insu et sur des sites tier (150.000 euros) (10); l’autre pour le traitement illégal par Facebook de données reçues de WhatsApp, (150.000 euros) (11).
Enfin, dans le cadre de sa stratégie pour un marché unique numérique, la Commission européenne a défini des règles applicables à l’ensemble des plateformes en ligne et places de marché actives dans l’Union européenne (près de 7.000), inspirées du droit de la concurrence et du droit de la consommation. Avec le règlement de juin 2019 sur les services d’intermédiation en ligne (12), elle interdit à toute plateforme numérique (et pas seulement celles en position dominante) de fermer sans motif le compte d’un vendeur. Dans le même cadre, les directives européennes concernant les consommateurs ont fait l’objet d’une révision d’ensemble via une directive du 27 novembre 2019 (13). Tout en renforçant la transparence pour les transactions BtoC sur les places de marché en ligne et en établissant une protection pour les consommateurs vis-à-vis des services numériques dits « gratuits » mais fournis contre leurs données personnelles, la nouvelle directive reprend le principe de sanctions pécuniaires qui, dans les lois nationales, devront s’élever « au moins » à 4% du chiffre d’affaires réalisé. En matière de « compliance », le RGPD fait des émules…

Application cumulative ou alternative
Le droit européen de la consommation apporte ainsi un troisième référentiel juridique pour le contrôle et la sanction des plateformes numériques (lesquels relèvent cependant à titre principal des autorités nationales). Encore ce panorama doit-il être complété par des réglementations plus spécifiques telles que la fiscalité (taxe GAFA), le droit d’auteur et les droits voisins de la presse (Google Actualités), la réglementation des télécoms (neutralité du Net) et d’autres…. Les référentiels de conformité opposables aux plateformes numériques s’articulent en fonction de leur objet et de leur échelon de contrôle (autorités nationales ou Commission européenne), ce qui peut entraîner une application cumulative ou alternative selon les cas.

RGPD et abus de position dominante
L’information donnée aux internautes est à l’intersection du droit de la concurrence et de la réglementation des données. Lorsque la filiale WhatsApp informe en 2016 ses utilisateurs qu’elle croisera leurs numéros de téléphone avec leurs identifiants Facebook, la Commission européenne constate que le rapprochement des deux bases de données était déjà possible techniquement lors de l’acquisition par Facebook en 2014, contrairement aux informations alors fournies. Facebook s’en sort en mai 2017 avec une amende de 110 millions d’euros. Mais cette transmission des données de WhatsApp et le manque d’information aux personnes sont aussi sanctionnés par la Cnil en décembre 2019 (150.000 euros). Le droit des abus de position dominante peut aussi prendre en compte une infraction à une loi spécifique, à partir du moment où l’infraction traduit un abus de cette position qui a pour objet ou pour effet de restreindre la concurrence sur le marché considéré (14). C’est ainsi qu’en Allemagne, l’autorité de la concurrence s’est essayée en février 2019 à démontrer les manquements de Facebook au RGPD pour considérer qu’ils traduisaient en tant que telle la position dominante du réseau social et son exploitation abusive (15). En appel, cette confusion des genres n’a pas été écartée dans le principe, mais la cour régionale de Düsseldorf a considéré que le non-respect du RGPD ne démontrait pas à lui seul l’existence d’un abus de position dominante ayant un effet anti-concurrentiel (16).
En sens inverse, pour le calcul de ses sanctions, le RGPD prend en compte certains aspects qui peuvent traduire une position dominante, tels que le nombre de personnes concernées par la violation ou bien les avantages financiers obtenus (17). Dans ses décisions concernant Facebook, la Cnil ne manque pas d’évoquer les 33 millions de personnes concernées et le caractère massif de la collecte de données qui en résulte (18). Dans sa décision de janvier 2019 concernant Google (50 millions d’euros), la Cnil considère même que la position dominante du système d’exploitation Android sur le marché français, associée au modèle économique du moteur de recherche bâti sur la publicité personnalisée, renforce les obligations de Google au titre du RGPD (19). A l’échelon de l’Union européenne, le commissaire à la Concurrence envisage de combiner la réglementation des données personnelles et les règles antitrust en analysant les données comme des actifs, dont la valeur croît d’autant plus qu’elles ne sont pas facilement accessibles ou reproductibles et qu’elles peuvent constituer une barrière à l’entrée pour d’autres entreprises. En sens inverse, il anticipe que la qualité de la protection de la vie privée offerte par un service puisse stimuler la concurrence (20). De telles situations créent le risque d’une double sanction pour un même comportement, au titre du droit de la concurrence et du RGPD ou d’une autre réglementation, comme dans le cas Facebook-WhatsApp. En effet, si le principe « non bis in idem » interdit d’appliquer plusieurs sanctions à une même infraction, des exceptions sont possibles lorsqu’il existe un motif d’intérêt général, lorsque que les sanctions ont des objectifs complémentaires et lorsqu’elles respectent le principe de nécessité et proportionnalité des peines (21).
A l’opposé des situations de recoupement, il peut y avoir des « vides réglementaires », lorsqu’un acteur ne se trouve pas en position dominante ou que son comportement n’a pas d’effet anti-concurrentiel sur le marché et que, pour autant, la réglementation n’est pas assez précise pour incriminer son comportement. C’est en ce sens que le règlement de juin 2019 sur les services d’intermédiation en ligne établit des règles inspirées du droit de la consommation pour les entreprises qui normalement n’en bénéficient pas. Or le partage des compétences entre autorités de contrôle est un facteur majeur de la fragmentation des décisions.
Au lieu d’une répartition à partir de seuils de chiffre d’affaires assortie d’un principe de dessaisissement des autorités nationales au profit de la Commission européenne, comme en droit de la concurrence, le RGPD prévoit la compétence de l’autorité nationale de chaque pays concerné par le traitement de données en cause. Un traitement transfrontalier peut être suivi par une autorité nationale « chef de file » (22), mais celle-ci doit susciter un consensus avec ses pairs sur son projet de décision. En cas de désaccord entre autorités nationales, le comité européen à la protection des données (CEPD), qui les réunit toutes, est appelé à trancher (23). En pratique, le risque serait de voir la violation des règles de protection des données sanctionnée faiblement ou pas du tout par les autorités nationales (plus sensibles aux intérêts économiques de leur pays) et se trouver sanctionnée lourdement par la Commission européenne mais au titre du droit de la concurrence. La crédibilité du RGPD s’en trouverait réduite.

Une politique des plateformes s’impose en Europe
Dans ce contexte réglementaire fragmenté, des appels se font entendre pour réviser le droit de la concurrence, promouvoir l’open data et l’interopérabilité, réguler les plateformes numériques à l’instar des opérateurs télécoms dominants, ou encore scinder les GAFAM. Mais en attendant de telles réformes, on peut s’interroger sur le risque de l’absence de politique ou de projet industriel européens pour concurrencer les plateformes américaines et chinoises et pour traiter les données en Europe. @

Droit moral des auteurs de films et de séries : le final cut «à la française» s’imposera par la loi

Netflix, Amazon Prime Video ou encore Disney+ seront tenus de respecter le final cut « à la française », qui requiert l’accord du réalisateur pour le montage définitif d’un film ou d’une série. Ce droit moral est visé par le projet de loi sur l’audiovisuel présenté le 5 décembre dernier.

Charles Bouffier, avocat conseil, et Charlotte Chen, avocate, August Debouzy

Le final cut désigne la version définitive du montage d’une œuvre cinématographique ou audiovisuelle – un film ou une série par exemple – distribuée ou diffusée. Le final cut désigne également un droit, celui que détient la personne qui a le pouvoir de décider de ce montage définitif. S’il est d’usage aux Etats-Unis que le producteur ait ce pouvoir décisionnel (laissant éventuellement au réalisateur le loisir d’éditer une version « director’s cut »), la situation française est différente en vertu notamment des droits moraux dont jouissent les auteurs.

Ce que dit le droit américain
A l’heure ou des producteurs et/ou diffuseurs américains – au premier rang desquels Netflix – investissent de plus en plus le champ de la création audiovisuelle européenne, et notamment française, le final cut « à l’américaine » estil soluble dans le paysage audiovisuel français ? La question est plus que jamais d’actualité compte-tenu des dispositions du projet de loi relatif à la communication audiovisuelle. Selon le régime du « work made for hire » du copyright américain, à savoir le « Title 17 – Copyrights » (1), le commanditaire d’une œuvre notamment audiovisuelle ou cinématographique (2), est considéré, par principe, comme titulaire des droits sur l’œuvre (3). Par conséquent, à moins que les parties en conviennent autrement, tous les droits d’auteur (copyright) de l’œuvre, incluant le final cut, sont détenus par le commanditaire. La cession des droits, et du final cut plus particulièrement, peut néanmoins être aménagée dans le contrat de production, conformément à ce que recommande la Directors Guild of America (syndicat professionnel représentant les intérêts des réalisateurs américains). Par ailleurs, le copyright américain protège le droit à la paternité et le droit à l’intégrité de l’œuvre de l’auteur mais uniquement pour les œuvres pouvant être qualifiées de « work of visual art » (4). Celles-ci sont limitativement énumérées – peintures, dessins, sculptures, etc. – et n’incluent pas les œuvres cinématographiques et audiovisuelles (5). En droit français, depuis 1957 pour les œuvres cinématographiques (6) et 1985 pour les œuvres audiovisuelles au sens large (7), le final cut résulte d’un commun accord entre le réalisateur et le producteur. Le texte est aujourd’hui codifié à l’article L. 121-5 du code de la propriété intellectuelle (CPI), comme suit : « L’œuvre audiovisuelle est réputée achevée lorsque la version définitive a été établie d’un commun accord entre, d’une part, le réalisateur ou, éventuellement, les coauteurs et, d’autre part, le producteur. Il est interdit de détruire la matrice de cette version. Toute modification de cette version par addition, suppression ou changement d’un élément quelconque exige l’accord des personnes mentionnées au premier alinéa. […] ». Dans la mesure où les prérogatives ainsi reconnues au réalisateur découlent de son droit moral (droit de divulgation/droit au respect de l’intégrité de l’œuvre), elles sont en principe incessibles et ne peuvent faire l’objet d’une renonciation par anticipation (8). Elles peuvent cependant faire l’objet de certains aménagements contractuels dans le contrat de production (prise en compte des commentaires du producteur, délais impartis à ce dernier pour émettre un avis, etc.). En outre, une partie qui refuserait de collaborer de bonne foi dans la mise en œuvre de cet article L. 121-5 pourrait voir sa responsabilité contractuelle engagée, tout refus abusif pouvant par ailleurs être surmonté par le recours au juge (9).
Ces dispositions permettent donc au réalisateur d’affirmer ses choix artistiques, en collaboration avec le producteur. Elles permettent également aux auteurs de faire respecter leur choix quant au montage définitif après achèvement de l’œuvre audiovisuelle. L’achèvement du film est même une des conditions pour que l’auteur puisse exercer ses droits moraux tels que listés à l’article L.121-1 du CPI (10). A titre d’illustration, un juge des référés a été conduit à prononcer l’interdiction de diffusion d’un film suite à l’opposition du réalisateur à la divulgation d’une version définitive n’ayant pas reçu son accord. Le juge a considéré que le réalisateur avait démontré les justes motifs de s’opposer à la divulgation de la version définitive litigieuse (11).

Le Final cut français reconnu d’ordre public
Ainsi, l’auteur peut avoir intérêt à se prévaloir de ses prérogatives tirées de l’article L.121-5 du CPI avant achèvement de l’œuvre, au cours de ses échanges avec son producteur, car postérieurement au montage définitif il lui sera nécessaire d’apporter la preuve d’un préjudice subi en raison des différentes atteintes alléguées (12). • Quid d’un contrat de production conclu avec un auteur français mais soumis au droit américain ? En droit interne, la Cour de cassation a expressément reconnu en 1973 le caractère d’ordre public du final cut « à la française » en déclarant nulle comme contraire à l’ordre public une clause qui conférerait le pouvoir de décision du montage définitif à la seule société productrice (13). Cette solution est conforme à une jurisprudence constante selon laquelle les dispositions de l’article L.121-1 du CPI sont d’ordre public (14). Mais un contrat de production audiovisuelle régi par un droit étranger pourrait-il contourner ce régime ? La question mérite d’être posée, car l’ordre public interne n’est pas nécessairement transposable à l’ordre public international.

Transposition de la directive « SMA »
Sur la base de l’article L. 121-1 du CPI, la jurisprudence française reconnaît cependant que la protection accordée par le droit moral à l’auteur est d’ordre public au sens du droit international privé. En particulier, la Cour de cassation, après avoir rappelé l’impérativité du droit au respect de l’intégrité de l’œuvre, a considéré qu’une Cour d’appel avait violé l’article L. 121-1 du CPI en refusant aux héritiers d’un réalisateur américain (John Huston) la possibilité de s’opposer à la version colorisée d’un film au motif que la loi américaine et les contrats passés conclus entre le producteur et les réalisateurs leur déniait la qualité d’auteur (15). Avant cet arrêt, la Cour d’appel de Paris avait déjà reconnu que le droit moral français pouvait être invoqué comme une exception d’ordre public aux clauses d’un contrat soumis à la loi de l’Etat de New-York (16). Aussi, dans la mesure où le final cut de l’article L.121-5 du CPI découle du droit moral de l’auteur, il pourrait être soutenu, par analogie avec les arrêts précités, que les prérogatives du réalisateur prévues par cet article sont d’ordre public au sens du droit international privé. Elles pourraient donc être invoquées comme une exception d’ordre public à la loi étrangère qui énoncerait un régime contraire, pour la neutraliser. En d’autres termes, la clause qui prévoirait que le montage définitif d’une œuvre audiovisuelle serait confié exclusivement au producteur pourrait être déclarée nulle par le juge français, même si la loi du contrat le permettrait. • Quels vont être en France les apports du projet de loi audiovisuel ? Le Parlement s’apprête à réformer le cadre juridique audiovisuel français, issu principalement de la loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication (loi dite « Léotard »). Il s’agit notamment de transposer la directive européenne sur les services de médias audiovisuels, actualisée en 2018 – directive SMA (17) – pour étendre les règles audiovisuelles aux nouveaux services de médias audiovisuels à la demande (SMAd) tels que Netflix, Amazon Prime Video ou bien encore Disney+. En effet, soucieux d’adapter le cadre juridique de l’audiovisuel français à ces enjeux numériques mais également dans le but de transposer certaines dispositions de la directive sur le droit d’auteur dans le marché unique numérique (18), le ministère de la Culture a proposé un « projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique » présenté en conseil des ministres le 5 décembre 2019. Ce projet de loi devrait en principe être discuté au Parlement début 2020 selon la procédure accélérée. Les SMAd semblent particulièrement visés par les articles 1er et 7 de ce projet de loi – dans sa dernière version publique (19) –, qui tendent à renforcer la protection des droits moraux et patrimoniaux des auteurs avec lesquels ils peuvent être amenés à contracter. L’article 1er propose en effet d’exclure des œuvres prises en compte au titre de la contribution au développement de la production française celles dont les contrats de production ne respecteraient ni les droits moraux des auteurs ni les principes relatifs à leur rémunération (20). A cet égard, l’article 1er vise expressément l’article L. 121-1 du CPI et, surtout, l’article L. 121-5 du CPI qui prévoit le régime français du final cut. Dans le même sens, l’article 7 propose d’insérer un nouvel article L. 311-5 dans le code du cinéma et de l’image animée qui subordonnerait les aides financières du CNC à l’inclusion, dans les contrats conclus avec les auteurs d’œuvres cinématographiques et audiovisuelles, de clauses types garantissant le respect des droits énoncés par l’article 1er.
Le respect effectif des droits d’auteur deviendrait ainsi une mission du CNC (21) qui pourrait saisir l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom, future autorité administrative indépendante issue de la fusion entre le CSA et la Hadopi) chargée de contrôler de cette exigence (22). Ces articles résultent en partie d’une proposition formulée par le rapport Bergé (23), qui considérait qu’une garantie de rémunération proportionnelle des auteurs était nécessaire au regard des pratiques de certains SMAd, Netflix étant visée expressément (24). En revanche, le rapport Bergé n’abordait pas la problématique du respect des droits moraux des auteurs dans les contrats de production. Il semblerait que cet ajout – et plus particulièrement la référence à l’article L.121-5 du CPI – interviennent en réponse aux doléances de certains producteurs et auteurs français confrontés aux pratiques contractuelles de Netflix, alors pourtant que son avocat français assure que « tous les contrats de Netflix sont conformes au droit français » (25).

Négociations contractuelles sous l’œil de la loi
En tout état de cause, si ces nouvelles dispositions étaient adoptées, les œuvres – dont les contrats de production réserveraient le final cut exclusivement au producteur – risqueraient de ne pas être prises en compte au titre de la contribution au développement de la production française. Et ces œuvres pourraient être privées des aides du CNC, dotant ainsi les auteurs d’un argument financier de taille dans la négociation contractuelle de leurs droits. @

A la poursuite du droit à l’oubli et d’un équilibre par rapport aux autres droits fondamentaux

Le droit à l’oubli sur Internet – dont le droit au déréférencement sur les moteurs de recherche – n’est pas un droit absolu. Il s’arrête là où commencent d’autres droits fondamentaux comme la liberté d’informer – selon le principe de proportionnalité. Mais cet équilibre est à géométrie variable.

Fabrice Lorvo*, avocat associé, FTPA.

L’oubli est une préoccupation récente aux racines millénaires. C’est d’abord un concept auquel notre civilisation est rompue depuis le code de Hammurabi (1). Cependant, l’effectivité de l’oubli a été profondément remise en cause par la révolution numérique car la donnée devient aujourd’hui indéfiniment apparente sur les sites web et immédiatement accessible par les moteurs de recherche. Dès lors, le législateur comme le juge œuvrent pour adapter un droit à l’oubli (2) à l’outil numérique.

Conditions du droit au déréférencement
Deux arrêts ont été rendus le 24 septembre 2019 par la Cour de justice de l’Union européenne (CJUE) qui contribuent à en définir les modalités. Nous nous intéresserons à celui (3) qui apporte d’importantes précisions sur les conditions dans lesquelles une personne peut exercer son droit au déréférencement. Ce droit permet à une personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite avec son nom et son prénom lorsque ces résultats renvoient vers des pages contenant des informations sensibles la concernant (par exemple, sa religion, ses opinions politiques ou l’existence d’une procédure pénale). Cette suppression concerne uniquement la page de résultats et ne signifie donc pas l’effacement des informations sur le site web source. Les informations continuent d’exister, mais il est plus difficile et long de les retrouver.
Au regard des textes successivement applicables (4), et des enseignements de la jurisprudence « Google Spain » (5) de 2014, la CJUE apporte les précisions suivantes :

Les interdictions et les restrictions au traitement de certaines données, comme les exceptions prévues par les textes, s’appliquent à l’exploitant d’un moteur de recherche à l’occasion de la vérification qu’il doit opérer à la suite d’une demande de déréférencement. Le rôle du moteur de recherche est décisif dans la mesure où, techniquement, il permet de trouver immédiatement, dans l’océan des données disponibles sur Internet, toutes les informations sur une personne dénommée, et, en les regroupant, de constituer ainsi un profil. La cour rappelle que l’exploitant d’un moteur de recherche n’est pas responsable des données existantes, mais uniquement de leur référencement et de leur affichage dans une page de résultats suite à une requête nominative. Cet exploitant doit respecter la législation sur le traitement des données comme les éditeurs de sites web. Tout autre interprétation constituerait « une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » qui sont garantis par les textes.

L’exploitant d’un moteur de recherche a l’obligation de faire droit à la demande de la personne concernée… sauf si des exceptions (prévues par les textes) s’appliquent. La CJUE rappelle que les Etats membres doivent garantir aux personnes concernées le droit d’obtenir du responsable de traitement l’effacement des données dont le traitement n’est pas conforme aux textes. De même, en cas de demande de déréférencement, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, des liens vers des pages web, publiées par des tiers et contenant des informations sensibles relatives à cette personne, même si lesdites informations ne sont pas effacées préalablement ou simultanément de ces pages web, et même lorsque leur publication en elle-même sur lesdites pages est licite. Enfin, la cour rappelle que le consentement de la personne au traitement de ce type d’information est nécessaire et qu’il n’existe plus à partir du moment où ladite personne demande le déférencement. Il n’est donc pas nécessaire de prouver que le référencement cause un préjudice.

Droit absolu et principe de proportionnalité
Ce régime extrêmement protecteur, eu égard à l’importance de l’impact d’une telle publication pour l’individu, connaît néanmoins une exception de taille. En effet, l’ingérence dans les droits fondamentaux d’un individu peut cependant être justifiée par l’intérêt prépondérant du public à avoir accès à l’information (6) en question. Le droit au déréférencement des données à caractère personnel n’est donc pas un droit absolu, il doit être systématiquement comparé avec d’autres droits fondamentaux conformément au principe de proportionnalité. En conséquence, le droit à l’oubli de la personne concernée est exclu lorsqu’il est considéré que le traitement desdites données est nécessaire à la liberté d’information. Le droit à la liberté d’information doit répondre à des objectifs d’intérêt général reconnu par l’Union européenne ou, au besoin, de protection des droits et des libertés d’autrui.

Droits fondamentaux et liberté d’informer
Lorsqu’il est saisi d’une demande de déréférencement, l’exploitant d’un moteur de recherche doit donc mettre en balance, d’une part, les droits fondamentaux de la personne concernée et, d’autre part, la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche. D’après la CJUE, si les droits de la personne concernée prévalent, en règle générale, sur la liberté d’information des internautes, cet équilibre peut toutefois dépendre de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que l’intérêt du public à disposer de cette information. Or, cet intérêt peut varier notamment en fonction du rôle joué par cette personne dans la vie publique, comme l’illustre la jurisprudence « Google Spain ».

Enfin, la CJUE aborde la question cruciale de la publication relative à une procédure judiciaire, notamment quand ces informations sont devenues obsolètes. Il s’agit des informations concernant une enquête, une mise en examen ou un procès et, le cas échéant, de la condamnation qui en a résulté. La cour rappelle que la publication de ces données est soumise à des restrictions particulières (7) et qu’elle peut être licite lorsqu’elle est divulguée au public par les autorités publiques. Cependant, un traitement initialement licite de données exactes peut devenir avec le temps illicite, notamment lorsque ces données apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes, ou sont excessives au regard des finalités du traitement ou du temps qui s’est écoulé. L’exploitant d’un moteur de recherche doit encore vérifier, au jour de la demande de déréférencement, si l’inclusion du lien dans le résultat est nécessaire à l’exercice du droit à la liberté d’information des internautes potentiellement intéressés par l’accès à cette page web au moyen d’une telle recherche. Dans la recherche de ce juste équilibre entre le droit au respect de la vie privée des personnes, et notamment la liberté d’information du public, il doit être tenu compte du rôle essentiel que la presse joue dans une société démocratique et qui inclut la rédaction de comptes rendus et de commentaires sur les procédures judiciaires, ainsi que le droit pour le public de recevoir ce type d’information. En effet, selon la jurisprudence (8), le public a un intérêt non seulement à être informé sur un événement d’actualité, mais aussi à pouvoir faire des recherches sur des événements passés, l’étendue de l’intérêt du public quant aux procédures pénales étant toutefois variable et pouvant évoluer au cours du temps en fonction, notamment, des circonstances de l’affaire : notamment « la nature et la gravité de l’infraction en question, le déroulement et l’issue de ladite procédure, le temps écoulé, le rôle joué par cette personne dans la vie publique et son comportement dans le passé, l’intérêt du public à ce jour, le contenu et la forme de la publication ainsi que les répercussions de celle-ci pour ladite personne ».

Outre l’actualité ou le passé définitif, une difficulté demeure pour les informations obsolètes ou partielles. Par exemple, qu’en est-il pour une mise en examen annoncée sur Internet qui a aboutie à un non-lieu ? Ou pour une décision de condamnation frappée d’appel ? L’apport nouveau et essentiel de cet arrêt du 24 septembre 2019 est que la CJUE considère que même si la liberté d’information prévaut, l’exploitant est en tout état de cause tenu – au plus tard à l’occasion de la demande de déréférencement – d’aménager la liste de résultats, de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation judiciaire actuelle. Ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste. Il s’agit là d’une précision essentielle, en théorie, mais qui peut s’avérer complètement inefficace en pratique. Pour apparaître dans les résultats, ces pages (sur la situation judiciaire actuelle) doivent… exister. Que se passe-t-il si des pages web ne comportent pas d’informations sur la suite de la procédure ? Souvent, la presse s’intéresse plus aux mises en examen qu’aux cas de nonlieu. La personne concernée devra-t-elle publier elle-même des pages web sur sa situation judiciaire actuelle ? Mais dans l’esprit du public, quelle force aura cette preuve pro domo (9) ? Devra-t-elle avoir recours à une agence de communication pour ce faire ? Enfin, les délais de traitement des demandes de référencement sont très longs, d’abord pour les moteurs de recherche puis au niveau des autorités de contrôle (la Cnil en France), et, pendant ce temps-là, les résultats de la recherche demeurent affichés ; le mal est fait. Avoir raison trop tard, c’est toujours avoir tort dans l’esprit du public.

Renverser la charge de la preuve ?
Dans ces conditions, pour ce type d’information d’une extrême sensibilité et, au moins, pour les personnes qui ne recherchent pas les suffrages du public, ne conviendrait-il pas de renverser la charge de la preuve ? D’imposer que l’exploitant du moteur de recherche ait l’obligation, à première demande, de déréférencer ces données ? Et s’il considère que la balance penche dans l’intérêt du public, l’exploitant devra saisir l’autorité de contrôle puis, en cas de refus, les tribunaux pour demander l’autorisation de re-référencer le lien. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Décisions de justice à l’heure du RGPD : délicat équilibre entre liberté de la presse et vie privée

Jusqu’à maintenant, la jurisprudence favorise habituellement – mais pas toujours –
le droit à l’information en cas de différends sur la publication de données issues de comptes-rendus de procès ou de décisions de justice. Depuis l’entrée en vigueur du RGPD, la recherche d’un juste équilibre s’impose.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) s’applique aussi aux comptesrendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès. Le RGPD confie aux Etats membres de l’Union européenne le soin de concilier « […] par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire » (1).

Jurisprudence et droit à l’information
De même, le RGPD prévoit des règles similaires pour le « traitement et l’accès du public aux documents officiels » (2) afin de concilier les intérêts liés à la communication au public des documents administratifs et la protection des données à caractère personnel. Cela changera-t-il la jurisprudence qui jusqu’alors favorise habituellement – mais pas toujours – le droit à l’information ? Six mois après l’entrée en vigueur du RGPD, un arrêt de la cour d’appel de Paris daté du 28 novembre 2018 a confirmé une décision du président du tribunal de grande instance de Paris disant qu’il n’y avait pas lieu à référé concernant une demande de déréférencement à l’encontre de Google France de liens pointant vers un article publié sur le site Internet d’un journal – en l’occurrence Le Parisien (3). Les juges ont retenu que « l’information donnée au public sur la mise en cause pénale d’une personne et sa condamnation définitive participe du droit à l’information, particulièrement lorsqu’il s’agit d’infractions pénales sérieuses ». Elle a également relevé que « l’information communiquée quant à la mise en examen (…) ne constitu[ait] pas une atteinte à [la] vie privée s’agissant de la relation de faits publics et particip[ait] du droit du public à être informé ». Les juges, qui procèdent à une analyse de contexte pour apprécier l’intérêt de l’information sur un sujet d’actualité pour le public, en ont conclu que le demandeur « ne justifi[ait] pas de raisons prépondérantes et légitimes prévalant sur le droit d’expression et d’information ».
Toujours après la promulgation du RGPD, mais cette fois huit mois après, la Cour européenne des droits de l’homme (CEDH) s’est prononcée – dans un arrêt du 10 janvier 2019 – sur une décision par laquelle les juges allemands avaient interdit la publication dans la presse d’une photographie représentant une célébrité suisse alors incarcérée. La CEDH a précisé qu’il convenait d’apprécier « la notoriété de [l’intéressé], la contribution de la photo à un débat d’intérêt général, les circonstances dans lesquelles la photo litigieuse a été prise, le comportement antérieur de [l’intéressé] vis-à-vis des médias, la forme, le contenu et les répercussions pour [l’intéressé] de la publication de la photo litigieuse ainsi que la gravité de la sanction prononcée à l’encontre des requérantes ». Elle a notamment considéré en l’espèce que la photo litigieuse « n’avait pas de valeur informative supplémentaire par rapport à celle du texte de l’article », relatant « un fait connu du public depuis longtemps ». Il n’y avait « dès lors aucun motif d’en rendre compte de nouveau ». La CEDH a ainsi considéré qu’elle n’avait « aucune raison sérieuse de substituer son avis à celui des juridictions allemandes ».
Publier ou ne pas publier dans un contexte judiciaire : telle est la question au regard de la vie privée. La Cour de cassation, dans un arrêt du 12 mai 2016, a ainsi rejeté la demande de deux personnes ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et Libertés », la suppression d’informations identifiantes les concernant sur le moteur de recherche du site Internet d’un journal, en l’occurrence Lesechos.fr (4), qui donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre il y a plusieurs années. La Cour a considéré que « le fait d’imposer à un organe de presse […] de supprimer du site Internet dédié à l’archivage de ses articles […] l’information elle-même contenue dans l’un de ces articles […] privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».

Article en ligne et intimité de la vie privée
La notion d’« actualité » s’apprécie au cas par cas, à l’exemple de cette ordonnance de référé du 8 janvier 2016 (5) : le tribunal de grande instance de Paris a également rejeté la demande de suppression des nom et prénom d’une personne condamnée pour violence aggravée, dans un article paru en 2004 dans le quotidien 20 Minutes et toujours en ligne dix ans après les faits incriminés. Après avoir procédé à une analyse du contexte, le juge a notamment considéré « qu’il n’est donc nullement illégitime, dans ce contexte, pour la société 20 Minutes France, de mentionner l’identité du demandeur ». Donc « que dans ces conditions, il n’apparaît pas, avec l’évidence requise en matière de référé, que (le requérant) puisse se prévaloir d’une quelconque atteinte à l’intimité de sa vie privée ».

Actualité, intérêt légitime et droit à l’oubli
De même, s’agissant d’une demande de déréférencement de plusieurs liens sur Google Images pointant sur des articles faisant état de la condamnation du requérant, le juge a constaté en 2017 que le refus du moteur de recherche était fondé dès lors qu’il s’agissait d’une information exacte sur un sujet d’actualité récent (6). Ce parti pris n’est pas nouveau puisque, dans une affaire concernant la publication dans un journal d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu. Ce dernier avait sollicité du directeur de la publication l’insertion d’un droit de réponse. Le journal s’était contenté de mettre à jour l’article. L’individu en cause l’a assigné aux fins de voir supprimer l’article. Les juges ont considéré en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime « tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants », et qu’aucun abus de la liberté de la presse n’était établi (7). C’est le même raisonnement qui conduit des juridictions étrangères à refuser le retrait de résultats affichés sur des moteurs de recherche.
Parfois, les juges considèrent que le droit au déréférencement doit obéir au principe de proportionnalité. Certaines décisions – surtout étrangères – visent à concilier les intérêts de la personne concernée par le traitement de données personnelles avec les intérêts des autres parties en présence, et donc le droit du public à avoir accès à l’information en cause. En quelque sorte, le juge recherche un équilibre entre le droit au respect de la vie privée et aux données à caractère personnel et le droit à la liberté d’expression et à l’information. Deux arrêts américains assez anciens sont également particulièrement éclairants sur ce point. Le premier arrêt rendu par la Cour suprême des Etats- Unis en 1989 concernait un journaliste qui demanda au FBI (9) l’accès aux documents concernant les arrestations, inculpations et condamnations visant quatre individus. Pour le seul survivant des quatre individus ciblés par le journaliste, le FBI refusa de transmettre l’information qu’il détenait sous forme compilée, estimant que la communication porterait atteinte à la vie privée des individus en question. La Cour suprême soutint à l’unanimité cette argumentation (10). Elle rejeta l’argument retenu par la cour d’appel, selon lequel il n’y a plus de Privacy Interest en présence d’informations déjà rendues publiques. Pour la Cour, il y a une importante différence entre une communication « éparpillée » de fragments d’information et la divulgation de l’information dans son ensemble (11). Le second arrêt est issu de la cour d’appel de l’Etat de Californie (12) qui a considéré en 1994 que « c’est la nature agrégée de l’information qui lui donne de la valeur aux yeux du défendeur ; c’est la même qualité qui rend sa diffusion constitutionnellement dangereuse ».
De même, un arrêt de la Cour de cassation belge du 29 avril 2016 retient l’attention. Dans cette affaire, le demandeur, médecin de profession, avait provoqué un grave accident de la circulation ayant entraîné la mort de deux personnes, alors qu’il se trouvait sous l’emprise d’alcool. Ce fait avait été relaté dans l’édition papier du quotidien Le Soir, en 1994. L’article avait été ensuite rendu accessible en ligne non anonymisé. La Cour de cassation a confirmé tout d’abord que la mise en ligne de cet article doit être assimilée à « une nouvelle divulgation du passé judiciaire du défendeur portant atteinte à son droit à l’oubli ». Par ailleurs, elle a relevé que si l’article 10 de la CEDH confère aux organes de presse écrite le droit de mettre en ligne des archives et au public celui d’accéder à ces archives, ces droits ne sont pas absolus et qu’ils doivent, le cas échéant et dans certaines circonstances, céder le pas à d’autres droits également respectables. Aussi, la Haute juridiction a-t-elle considéré que l’arrêt attaqué a justifié léga-lement sa décision en considérant que « le maintien en ligne de l’article litigieux non anonymisé, de très nombreuses années après les faits qu’il relate, est de nature à […] causer un préjudice disproportionné [au médecin] par rapport aux avantages liés au respect strict de la liberté d’expression [de l’éditeur] » (13).

Cas particulier de déréférencement du lien
En France, on relève une ordonnance du tribunal de grande instance de Paris en date du 19 décembre 2014 qui a admis les « raisons prépondérantes et légitimes prévalant sur le droit à l’information » invoquées par la demanderesse (14). Le juge a considéré que la nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant – et l’absence de mention de la condamnation au casier judiciaire de l’intéressée justifiaient le déréférencement du lien renvoyant à un article de 2006. @

* Christiane Féral-Schuhl, présidente du Conseil national des
barreaux (CNB), est ancien bâtonnier du Barreau de Paris, et
auteure de « Cyberdroit », paru aux éditions Dalloz.

Dans le Far-West numérique, le juge commence à se faire entendre. On attend plus que le shérif !

La révolution numérique a fait exploser notre système juridique. Que ce soit avec la dématérialisation ou l’abolition des frontières, le droit national de l’ancien monde est devenu ineffectif. Progressivement, la législation et la jurisprudence s’adaptent, en attendant le gendarme…

Fabrice Lorvo*, avocat associé, FTPA.

Les acteurs de l’Internet, par philosophie ou par appât du gain, se sont opposés à toute régulation au nom de la liberté. Avec la révolution numérique, il s’est de nouveau posé l’éternelle question : peut-il y avoir de liberté sans contrainte ? Dans tous les cas, ce cyberespace est rapidement devenu un Far-West. Sur Internet, au nom de la liberté
(de la culture, du savoir, des échanges), certains ont partagé, ou même vendu des créations originales, au mépris des droits d’auteur. Sur les réseaux sociaux, la liberté d’expression est parfois comprise comme permettant l’outrance, l’invective, l’insulte, voire la haine et le harcèlement.

Escrocs, mules, sites web et victimes
Force est de constater que les tribunaux, notamment français, ont pris la dimension de certains comportements néfastes et des peines de plus en plus lourdes commencent à sanctionner les abus. On doit noter les décisions suivantes :

• Une mesure répressive contre des escrocs aux numéros de cartes bancaires (1) : de la prison ferme. Courant 2010, le FBI a mené une enquête concernant la cybercriminalité et notamment un forum baptisé « Cardshop » sur lequel s’échangeaient ou se vendaient des logiciels permettant la compromission de systèmes informatiques. Parmi les membres du forum ont été identifiés plusieurs ressortissants français apparaissant impliqués dans du « carding » – comprenez du commerce illicite de numéros de cartes bancaires sur Internet. Informé par le FBI, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) (2) a entrepris des investigations et a fait mettre hors ligne ce forum le 26 juin 2012. Ce type d’escroquerie se déroulait en trois temps. D’abord, commander des marchandises, et pour ce faire : obtenir des numéros de cartes bancaires frauduleux notamment sur des forums comme « Carderprofit » ; utiliser des systèmes d’anonymisation (3) ; accéder à des comptes clients existants et piratés ou créés à partir d’identités fictives ou réelles sur des sites de e-commerce ; modifier les données (notamment les adresses e-mail de réception des commandes) et utiliser les données bancaires usurpées ; passer des commandes et ainsi tromper les sites web de ecommerce pour les déterminer à remettre des biens. Ensuite, aller chercher les marchandises dans des relais colis directement ou par des « mules » (drops) recrutées à cet effet, à l’aide de faux documents d’identité et fausses procurations. Enfin, revendre tout ou partie des marchandises frauduleusement obtenues sur des sites web tels que PriceMinister ou LeBonCoin. Le tribunal a jugé que les faits commis par les quatorze prévenus sont d’une très grande gravité. Il y a les préjudices financiers (évalués à 141.142 euros) causés aux sociétés de e-commerce, mais également l’atteinte à la sécurité des transactions effectuées sur Internet et à la confiance des utilisateurs. Ces derniers, lorsqu’ils sont victimes de l’utilisation indue de leurs données bancaires et de leurs comptes clients, peuvent rencontrer des difficultés importantes vis-à-vis des sociétés de e-commerce et/ou de leur établissement bancaire. Les six organisateurs ont été condamnés à des peines de prison ferme de quinze, dix-huit mois et deux ans, notamment pour escroquerie réalisée en bande organisée, participation
à une association de malfaiteurs en vue de préparer un délit (puni d’au moins cinq ans de prison), accès, maintien frauduleux dans un système de traitement automatisé de données et modification frauduleuse de données. Les autres participants ont été condamnés à des peines de prison avec sursis de six, neuf, douze et dix-huit mois.

Topsite : organisation très hiérarchisée
• Une mesure répressive contre des pirates diffusant des oeuvres protégées contre rémunération (4) : 22 millions d’euros d’indemnisation. En 2007-2008, le
« topsite » Bulltrack (5) proposait des fichiers contrefaisants de musique, œuvres audiovisuelles et jeux vidéogrammes à des utilisateurs en contrepartie du paiement d’un droit d’accès. Ces contrefaçons étaient réalisées grâce à la location de serveurs de stockage puissants et à la mise à disposition par un groupe de « racers » (6) de fichiers. Une organisation hiérarchisée, avec quatre niveaux différents, permettait de faire fonctionner le topsite et chaque protagoniste avait un rôle déterminé. Au premier niveau, l’administrateur principal décidait de son orientation, de son utilisation, du lieu de location et du type de serveur. Au deuxième niveau, deux autres personnes assuraient la location des serveurs (financée par les utilisateurs), mis à la disposition du topsite, et leur maintenance. Au troisième niveau, des « racers » étaient chargés d’une part de fabriquer des nouvelles copies d’oeuvres contrefaites, appelées « release » ou d’autre part de diffuser les fichiers.

Contrefaçon en bande organisée
Enfin au dernier niveau, les derniers membres du réseau recrutaient les utilisateurs (entre 150 et 300) appelés les « supplies », à qui ils accordaient l’accès au site web contre paiement sur les comptes PayPal des administrateurs d’un droit d’accès (entre 20 et 80 euros selon le nombre de giga-octets qu’ils pouvaient télécharger). Le topiste avait passé un accord avec le « tracker » Snowtigers.net (un tracker étant un serveur qui aide à la communication entre pairs et au partage de fichiers) qui fournissait un système de partage haute vitesse dit « powerseed » et qui permettaient de télécharger rapidement les fichiers contrefaisants mis à disposition.
Le tribunal correctionnel avait déjà jugé que cette activité constituait une contrefaçon d’œuvres de l’esprit en bande organisée (7). L’affaire revenait devant la cour d’appel essentiellement sur les intérêts civils (8), dont le montant avait été contesté par les auteurs du délit. La Cour a infirmé la décision des premiers juges et aggravé les sanctions. Elle a fixé l’indemnisation du préjudice à 5 euros (au lieu de 0,20 euros) pour les films catalogue et à 8 euros (au lieu de 1 euro) pour les films en exclusivité. C’est donc plus de 22 millions d’euros qui ont été alloués aux victimes de la plateforme illégale de téléchargement.

• Une mesure préventive de mise hors ligne contre des pirates diffusant des œuvres protégées gratuitement (9). Le groupe Elsevier est une maison d’édition de publications scientifiques qui met à disposition des professionnels de santé et des sciences, des publications et analyses de données. Il commercialise ses articles de revues scientifiques et chapitres d’ouvrages (plus de 15 millions de publications) via
sa plateforme propriétaire et base de données ScienceDirect.com. Le groupe Springer Nature édite des publications (environ 300.000 par an) qui s’adressent aux chercheurs, étudiants, professeurs et professionnels. Ses publications sont notamment commercialisées via la plateforme Nature.com. Ces deux éditeurs reprochent aux sites web accessibles via les noms de domaine « Sci-Hub » et « LibGen » de mettre à disposition des internautes gratuitement les publications scientifiques en violation des droits d’Elsevier, Springer Nature et d’autres éditeurs. Les plateformes Sci-Hub et LibGen se revendiquent clairement comme des plateformes « pirates » rejetant le principe du droit d’auteur et contournant les portails d’accès par abonnement des éditeurs. Ainsi la fondatrice de la plateforme (10) se décrit comme une « fervente
pirate » pour laquelle « le droit d’auteur doit être aboli », et la page Facebook de
« Libgen.in » invite ses utilisateurs à mettre en ligne des ouvrages protégés en violation des droits d’auteur. Le tribunal a donc ordonné aux fournisseurs d’accès à Internet (FAI) (11) de mettre en oeuvre et/ou faire mettre en oeuvre, toutes mesures propres à empêcher l’accès aux plateformes Sci-Hub et LibGen, à partir du territoire français par leurs abonnés par le blocage des 57 noms de domaine, dans les quinze jours de la décision à intervenir – et ce, pendant une durée de douze mois. Il est notable que le tribunal ait jugé qu’en dépit du système d’irresponsabilité de principe des fournisseurs d’accès tel qu’organisé par la loi de 2004 pour la confiance dans l’économie numérique (LCEN), les fournisseurs d’accès et d’hébergement sont tenus de contribuer à la lutte contre les contenus illicites et, plus particulièrement, contre la contrefaçon de droits d’auteur et de droits voisins, dès lors qu’ils sont les mieux à même de mettre fin à
ces atteintes. Aucun texte ne s’oppose à ce que le coût des mesures strictement nécessaires à la préservation des droits en cause, ordonnées sur le fondement de l’article L. 336-2 du code de la propriété intellectuelle, soit supporté par les intermédiaires techniques, quand bien même ces mesures sont susceptibles de représenter pour eux un coût important.

Rapprochement « Arcep-CSA-Hadopi » ?
En conclusion, le monde numérique commence à ne plus être un Far-West où la liberté est le prétexte d’abus. Des lois commencent à protéger concrètement l’industrie créative (12). Des décisions judiciaires sanctionnent de manière de plus en plus lourde les atteintes portées à l’économie numérique et aux auteurs. On ne peut que se féliciter de cette évolution, même s’il nous semble nécessaire de compléter le dispositif en créant « un shérif du numérique ». On doit se demander si le rapprochement « Arcep-CSA-Hadopi » ne servirait pas à mieux lutter contre le piratage en général et ce type d’atteinte en particulier. @

* Auteur du livre « Numérique : de la révolution au
naufrage ? », paru en 2016 chez Fauves Éditions.