Dans le Far-West numérique, le juge commence à se faire entendre. On attend plus que le shérif !

La révolution numérique a fait exploser notre système juridique. Que ce soit avec la dématérialisation ou l’abolition des frontières, le droit national de l’ancien monde est devenu ineffectif. Progressivement, la législation et la jurisprudence s’adaptent, en attendant le gendarme…

Fabrice Lorvo*, avocat associé, FTPA.

Les acteurs de l’Internet, par philosophie ou par appât du gain, se sont opposés à toute régulation au nom de la liberté. Avec la révolution numérique, il s’est de nouveau posé l’éternelle question : peut-il y avoir de liberté sans contrainte ? Dans tous les cas, ce cyberespace est rapidement devenu un Far-West. Sur Internet, au nom de la liberté
(de la culture, du savoir, des échanges), certains ont partagé, ou même vendu des créations originales, au mépris des droits d’auteur. Sur les réseaux sociaux, la liberté d’expression est parfois comprise comme permettant l’outrance, l’invective, l’insulte, voire la haine et le harcèlement.

Escrocs, mules, sites web et victimes
Force est de constater que les tribunaux, notamment français, ont pris la dimension de certains comportements néfastes et des peines de plus en plus lourdes commencent à sanctionner les abus. On doit noter les décisions suivantes :

• Une mesure répressive contre des escrocs aux numéros de cartes bancaires (1) : de la prison ferme. Courant 2010, le FBI a mené une enquête concernant la cybercriminalité et notamment un forum baptisé « Cardshop » sur lequel s’échangeaient ou se vendaient des logiciels permettant la compromission de systèmes informatiques. Parmi les membres du forum ont été identifiés plusieurs ressortissants français apparaissant impliqués dans du « carding » – comprenez du commerce illicite de numéros de cartes bancaires sur Internet. Informé par le FBI, l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC) (2) a entrepris des investigations et a fait mettre hors ligne ce forum le 26 juin 2012. Ce type d’escroquerie se déroulait en trois temps. D’abord, commander des marchandises, et pour ce faire : obtenir des numéros de cartes bancaires frauduleux notamment sur des forums comme « Carderprofit » ; utiliser des systèmes d’anonymisation (3) ; accéder à des comptes clients existants et piratés ou créés à partir d’identités fictives ou réelles sur des sites de e-commerce ; modifier les données (notamment les adresses e-mail de réception des commandes) et utiliser les données bancaires usurpées ; passer des commandes et ainsi tromper les sites web de ecommerce pour les déterminer à remettre des biens. Ensuite, aller chercher les marchandises dans des relais colis directement ou par des « mules » (drops) recrutées à cet effet, à l’aide de faux documents d’identité et fausses procurations. Enfin, revendre tout ou partie des marchandises frauduleusement obtenues sur des sites web tels que PriceMinister ou LeBonCoin. Le tribunal a jugé que les faits commis par les quatorze prévenus sont d’une très grande gravité. Il y a les préjudices financiers (évalués à 141.142 euros) causés aux sociétés de e-commerce, mais également l’atteinte à la sécurité des transactions effectuées sur Internet et à la confiance des utilisateurs. Ces derniers, lorsqu’ils sont victimes de l’utilisation indue de leurs données bancaires et de leurs comptes clients, peuvent rencontrer des difficultés importantes vis-à-vis des sociétés de e-commerce et/ou de leur établissement bancaire. Les six organisateurs ont été condamnés à des peines de prison ferme de quinze, dix-huit mois et deux ans, notamment pour escroquerie réalisée en bande organisée, participation
à une association de malfaiteurs en vue de préparer un délit (puni d’au moins cinq ans de prison), accès, maintien frauduleux dans un système de traitement automatisé de données et modification frauduleuse de données. Les autres participants ont été condamnés à des peines de prison avec sursis de six, neuf, douze et dix-huit mois.

Topsite : organisation très hiérarchisée
• Une mesure répressive contre des pirates diffusant des oeuvres protégées contre rémunération (4) : 22 millions d’euros d’indemnisation. En 2007-2008, le
« topsite » Bulltrack (5) proposait des fichiers contrefaisants de musique, œuvres audiovisuelles et jeux vidéogrammes à des utilisateurs en contrepartie du paiement d’un droit d’accès. Ces contrefaçons étaient réalisées grâce à la location de serveurs de stockage puissants et à la mise à disposition par un groupe de « racers » (6) de fichiers. Une organisation hiérarchisée, avec quatre niveaux différents, permettait de faire fonctionner le topsite et chaque protagoniste avait un rôle déterminé. Au premier niveau, l’administrateur principal décidait de son orientation, de son utilisation, du lieu de location et du type de serveur. Au deuxième niveau, deux autres personnes assuraient la location des serveurs (financée par les utilisateurs), mis à la disposition du topsite, et leur maintenance. Au troisième niveau, des « racers » étaient chargés d’une part de fabriquer des nouvelles copies d’oeuvres contrefaites, appelées « release » ou d’autre part de diffuser les fichiers.

Contrefaçon en bande organisée
Enfin au dernier niveau, les derniers membres du réseau recrutaient les utilisateurs (entre 150 et 300) appelés les « supplies », à qui ils accordaient l’accès au site web contre paiement sur les comptes PayPal des administrateurs d’un droit d’accès (entre 20 et 80 euros selon le nombre de giga-octets qu’ils pouvaient télécharger). Le topiste avait passé un accord avec le « tracker » Snowtigers.net (un tracker étant un serveur qui aide à la communication entre pairs et au partage de fichiers) qui fournissait un système de partage haute vitesse dit « powerseed » et qui permettaient de télécharger rapidement les fichiers contrefaisants mis à disposition.
Le tribunal correctionnel avait déjà jugé que cette activité constituait une contrefaçon d’œuvres de l’esprit en bande organisée (7). L’affaire revenait devant la cour d’appel essentiellement sur les intérêts civils (8), dont le montant avait été contesté par les auteurs du délit. La Cour a infirmé la décision des premiers juges et aggravé les sanctions. Elle a fixé l’indemnisation du préjudice à 5 euros (au lieu de 0,20 euros) pour les films catalogue et à 8 euros (au lieu de 1 euro) pour les films en exclusivité. C’est donc plus de 22 millions d’euros qui ont été alloués aux victimes de la plateforme illégale de téléchargement.

• Une mesure préventive de mise hors ligne contre des pirates diffusant des œuvres protégées gratuitement (9). Le groupe Elsevier est une maison d’édition de publications scientifiques qui met à disposition des professionnels de santé et des sciences, des publications et analyses de données. Il commercialise ses articles de revues scientifiques et chapitres d’ouvrages (plus de 15 millions de publications) via
sa plateforme propriétaire et base de données ScienceDirect.com. Le groupe Springer Nature édite des publications (environ 300.000 par an) qui s’adressent aux chercheurs, étudiants, professeurs et professionnels. Ses publications sont notamment commercialisées via la plateforme Nature.com. Ces deux éditeurs reprochent aux sites web accessibles via les noms de domaine « Sci-Hub » et « LibGen » de mettre à disposition des internautes gratuitement les publications scientifiques en violation des droits d’Elsevier, Springer Nature et d’autres éditeurs. Les plateformes Sci-Hub et LibGen se revendiquent clairement comme des plateformes « pirates » rejetant le principe du droit d’auteur et contournant les portails d’accès par abonnement des éditeurs. Ainsi la fondatrice de la plateforme (10) se décrit comme une « fervente
pirate » pour laquelle « le droit d’auteur doit être aboli », et la page Facebook de
« Libgen.in » invite ses utilisateurs à mettre en ligne des ouvrages protégés en violation des droits d’auteur. Le tribunal a donc ordonné aux fournisseurs d’accès à Internet (FAI) (11) de mettre en oeuvre et/ou faire mettre en oeuvre, toutes mesures propres à empêcher l’accès aux plateformes Sci-Hub et LibGen, à partir du territoire français par leurs abonnés par le blocage des 57 noms de domaine, dans les quinze jours de la décision à intervenir – et ce, pendant une durée de douze mois. Il est notable que le tribunal ait jugé qu’en dépit du système d’irresponsabilité de principe des fournisseurs d’accès tel qu’organisé par la loi de 2004 pour la confiance dans l’économie numérique (LCEN), les fournisseurs d’accès et d’hébergement sont tenus de contribuer à la lutte contre les contenus illicites et, plus particulièrement, contre la contrefaçon de droits d’auteur et de droits voisins, dès lors qu’ils sont les mieux à même de mettre fin à
ces atteintes. Aucun texte ne s’oppose à ce que le coût des mesures strictement nécessaires à la préservation des droits en cause, ordonnées sur le fondement de l’article L. 336-2 du code de la propriété intellectuelle, soit supporté par les intermédiaires techniques, quand bien même ces mesures sont susceptibles de représenter pour eux un coût important.

Rapprochement « Arcep-CSA-Hadopi » ?
En conclusion, le monde numérique commence à ne plus être un Far-West où la liberté est le prétexte d’abus. Des lois commencent à protéger concrètement l’industrie créative (12). Des décisions judiciaires sanctionnent de manière de plus en plus lourde les atteintes portées à l’économie numérique et aux auteurs. On ne peut que se féliciter de cette évolution, même s’il nous semble nécessaire de compléter le dispositif en créant « un shérif du numérique ». On doit se demander si le rapprochement « Arcep-CSA-Hadopi » ne servirait pas à mieux lutter contre le piratage en général et ce type d’atteinte en particulier. @

* Auteur du livre « Numérique : de la révolution au
naufrage ? », paru en 2016 chez Fauves Éditions.

Les Etats et la régulation des GAFAM : le paradoxal retour à la souveraineté nationale

Dès le début du XXe siècle avec la Standard Oil, puis avec les conglomérats
de l’électricité, du rail ou des télécoms, et récemment de l’agro-alimentaire
ou de l’industrie pharmaceutique, les lois antitrust américaines ont préservé
la concurrence en démantelant des groupes surpuissants. Et sur Internet ?

Par Rémy Fekete, avocat associé, cabinet Jones Day

Indulgence des autorités de la concurrence ou inadaptation de la régulation de la concurrence à l’ère numérique, les GAFAM ont été laissés libres de poursuivre leur croissance interne et l’acquisition de leurs concurrents (1) pour devenir non seulement les « géants du numérique », mais surtout des concurrents significatifs dans tous les domaines d’activité : régie publicitaire, secteur bancaire
et financier, et vente de tous biens et services.

L’exéquatur rendu difficile
On a pu en conclure que la régulation à l’échelle nationale – que ce soit en matière fiscale, sociale, concurrentielle ou dans les domaines de la régulation des médias et des télécoms – n’était plus adaptée à ces acteurs globaux. Il est vrai que le principe
de l’économie numérique, cette désintermédiation mettant en contact directement l’entreprise globale et ses consommateurs à travers le monde, laisse peu de prises
aux instruments juridiques traditionnels. Sans présence physique, ni filiale ni distributeur ou agent, il est en effet difficile d’appréhender l’entité à qui imposer la réglementation nationale. Au surplus, les groupes internationaux ont su optimiser les conditions légales applicables selon les pays, dans des organisations qui rendent difficiles l’exéquatur des règles et décisions de justice à leur encontre.
Ce phénomène s’illustre particulièrement en matière de fiscalité : dès lors que le critère pour taxer une entreprise repose sur la présence physique de celle-ci – à savoir un établissement stable –, la fourniture de ses prestations numériques ne saurait justifier
à elle seule une imposition de son activité, du moins à l’aune du droit positif (2).
Il y a également une inadéquation de certaines modalités d’application du droit de la concurrence à l’économie numérique, laissant la porte ouverte à des activités non contrôlées, à des acteurs non régulés. En effet, dès lors que le chiffre d’affaires déclaré est érigé en critère de référence dans l’examen d’une concentration à l’échelle nationale (3), l’organisation en nuage des entreprises du numérique leur a permis
de demeurer sous les seuils nationaux en vigueur. Devant l’inertie des mécanismes nationaux, on a pu craindre que l’Etat soit devenu impuissant – voire obsolète – pour engager une régulation efficace du numérique, et orienter ses espoirs vers une action supranationale pour tenter de régenter efficacement les acteurs globaux du Net. L’année 2018 a été en partie décisive pour la régulation internationale des grandes entreprises du numérique, avec l’entrée en vigueur en Europe à compter de mai 2018 du RGPD (4) : la concomitance de son entrée en vigueur avec le déferlement médiatique lié aux affaires de pillage de données personnelles à des fins électorales
a sûrement aidé au succès du modèle européen. On est loin du modèle initial défendu par Eric Schmidt (5) en 2009 lorsqu’il affirmait que « seuls les criminels se soucient de protéger leurs données personnelles » (6). Ironie, dix ans plus tard, le 21 janvier 2019, la Cnil a infligé à Google une amende de 50 millions d’euros pour non-respect du RGPD justement (lire pages 6 et 7).
Sur le terrain fiscal, les espoirs d’une solution globale risquent de s’évanouir. La Commission européenne avait pourtant proposé le 21 mars 2018 une taxe européenne sur les recettes publicitaires (7). Cependant, au sein du Conseil de l’Union européenne (UE), l’unanimité est requise en matière fiscale (8). Tant que certains pays membres – Irlande, Suède, Danemark – verront leurs intérêts propres à héberger des groupes internationaux comme supérieurs à l’intérêt global qui tend à une régulation fiscale raisonnable de ceux-ci, le vote d’une taxe européenne sur les services numériques restera à l’état de chimère. La Commission européenne vient de suggérer le passage
à la majorité qualifiée pour certaines propositions législatives relatives à la fiscalité (9). Mais cette modification ne requiert-elle pas elle-même un vote à l’unanimité ? Il est parfois des gesticulations qui sont autant d’aveux d’impuissance.

L’OCDE espère « le consensus d’ici 2020 »
L’OCDE (10) s’est pourtant saisi du sujet de la fiscalité des acteurs du numérique depuis plus de vingt ans (11) avec son « Plan d’action sur l’érosion de la base d’imposition et le transfert de bénéfices » (BEPS). Malgré son rapport de 2015 sur
« l’Action 1 » (12) et son rapport du 16 mars 2018 sur « les défis fiscaux soulevés par
la numérisation » (13), un accord international dans le cadre de l’OCDE ne sera pas adopté avant 2020. Pascal Saint-Amans, directeur du centre de politique et d’administration fiscales de l’OCDE, peut se réjouir, le 21 janvier 2019, que « la communauté internationale [ait] fait un pas significatif vers la résolution des défis fiscaux soulevés par la numérisation de l’économie » (14). Il reste qu’il a fallu cinq ans
à l’organisation internationale pour produire un rapport qui n’est que la première étape de longues discussions. A titre de comparaison, dans l’intervalle, Amazon a plus que doublé son chiffre d’affaires entre 2014 et 2018 (15).

Organisations internationales : impéritie ?
L’Afrique n’est pas en reste : si la téléphonie et le paiement mobile sont largement diffusés, l’économie numérique africaine n’en est qu’à son émergence, et c’est un euphémisme de dire que les GAFAM sont jusqu’à présent peu sensibles aux interpellations des autorités africaines. L’exiguïté des marchés domestiques nationaux du Continent rend d’autant plus urgente une intervention panafricaine. L’Union africaine (UA) vient de lancer un forum de discussion avec l’UE en matière d’économie numérique afin de trouver des solutions communes (16). L’alliance Smart Africa
– qui comprend neuf Etats membres et qui est présidée par Paul Kagamé (17) – promeut une plus grande souveraineté numérique via l’investissement dans les infrastructures et la gouvernance numérique panafricaine.
Toujours est-il que le temps d’élaboration de propositions internationales apparaît d’une longueur en décalage avec la vitesse à laquelle les géants de l’Internet acquièrent de nouvelles parts de marché dans tous les domaines de l’économie. La compétence des organismes internationaux, UA ou OCDE, reste pour l’essentiel au stade de l’aimable recommandation. Ils ne porteront pas d’effet avant de faire l’objet de mise en oeuvre
au sein du droit positif de chaque pays. A la suite de ce long cheminement qui aura consacré l’impéritie des organisations communautaires et internationales, il semble que l’on voit sous un jour plus favorable aujourd’hui la pertinence d’interventions étatiques dans la régulation du Net.
Face à l’urgence soulevée par l’économie numérique, la souveraineté nationale fait l’objet d’un retour en grâce.
• Levier n°1 : le droit national fiscal
Face à un projet européen de taxe sur les services numériques en difficulté, la France
a déclaré vouloir prélever sa propre taxe sur les GAFAM dès le 1er janvier 2019. Un projet de loi sera voté cette année, avec un effet rétroactif pour l’année 2019 (18). L’Espagne a voté un impôt de 3 % sur la publicité  en ligne, les plateformes et la revente de données personnelles dans le cadre de son budget pour 2019 ; la Grande-Bretagne s’apprête à adopter une taxe de 2 % sur le chiffre d’affaires des géants du numérique ; l’Italie a voté un prélèvement de 3 % sur les transactions digitales entre entreprises ; l’Autriche devrait suivre. Le sujet est également à l’ordre du jour en Inde
et à Singapour.
• Levier n°2 : Le droit national de la concurrence Faut-t-il encore considérer que le
e-commerce est un marché différent du commerce physique et que les acteurs de ces deux mondes ne sont pas concurrents ? Avec sa décision Fnac-Darty (19), il semble que l’Autorité de la concurrence considère désormais comme appartenant au même marché pertinent les ventes en ligne et les ventes en magasins. Dorénavant, celle-ci tend à englober les acteurs de l’ecommerce dans son analyse des marchés pertinents pour évaluer les concurrents des magasins physiques, de sorte que les deux canaux sont pleinement substituables.
• Levier n°3 : Le droit national des communications électroniques La neutralité
du Net constitue un principe fondateur d’Internet, protégé par un règlement européen
« Internet ouvert » (20) de 2015 et en France par la loi pour une « République numérique » (21) de 2016, tandis que certains parlementaires proposent même une Charte du numérique à l’occasion de la future réforme constitutionnelle. Pourtant,
ses effets peuvent être préjudiciables pour l’écosystème national et donner lieu à
des situations asymétriques au profit des géants du numérique, au détriment des opérateurs investissant en infrastructures.
Si le nouveau code européen des communications électroniques (22) tend à inclure
ces nouveaux acteurs dans son champ d’application, le régime des Over-The-Top (OTT) reste moins contraignant que celui des opérateurs télécoms classiques (23). Surtout, la généralisation de la vidéo et la multiplication d’applications gourmandes
en capacités augmentent le besoin en débit. Or, une participation des GAFAM aux investissements considérables dans la fibre ou la 5G n’est manifestement pas à l’ordre du jour. Totem fragile, le principe de neutralité du Net commence à être révisé, y compris aux Etats Unis, au nom de l’investissement et de l’innovation (24).
• Levier n°4 : Le droit national de l’audiovisuel
Force est de constater que les acteurs OTT, qui fournissent des services audiovisuels en accès direct sur Internet, ne sont pas soumis aux mêmes règles de diffusion que
les éditeurs de services hertziens. L’adoption en novembre dernier de la révision de la directive européenne SMA (25) devrait permettre d’étendre le champ d’application de
la régulation audiovisuelle aux plateformes et aux réseaux sociaux. Audiovisuel : deux poids, deux mesures Toutefois, certaines obligations – telles que l’obligation de pluralisme, de diversité culturelle et de visibilité des contenus d’intérêt général – n’ont pas été mises à la charge des plateformes de partage vidéo, alors même qu’elles proposent des contenus reçus sur les mêmes terminaux que les acteurs classiques. Aussi, c’est une des fiertés du président sortant du CSA, Olivier Schrameck (26), de penser avoir obtenu que la future loi sur l’audiovisuel confère au CSA une compétence sur la régulation des médias numériques. @

La publicité doit-elle être soumise au consentement quand elle est géolocalisée ?

Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l’informatique et des libertés (Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n’exige pas toujours le consentement préalable des utilisateurs.

Etienne Drouard, avocat associé, et Lucile Rolinet, juriste, cabinet K&L Gates

La Cnil a d’abord publié deux mises en demeure à l’encontre des sociétés Fidzup et Teemo pour défaut de recueil du consentement à la collecte et au traitement de données de géolocalisation à des fins publicitaires. Dès le 3 octobre cependant,
elle mettait fin à la mise en demeure de la société Teemo (1) en décrivant précisément les mesures nouvelles prises par cette dernière pour se conformer à ses injonctions publiques (2). Sans discussion.

Réguler par les médias ou par le droit ?
Puis le 23 octobre, Singlespot (3) subissait à son tour la même mise au pilori de la part de la Cnil (4), et le 9 novembre 2018 (5), la société Vectaury était elle aussi épinglée (6) pour non recueil du consentement à la géolocalisation publicitaire. Jusqu’à présent, la Cnil publiait rarement ses mises en demeure – de quatre à quinze par an au cours des six dernières années – mais la série de publications qui s’est ouverte depuis l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 semble marquer une nouvelle méthode de régulation. Celle-ci repose davantage sur la vindicte médiatique que sur le débat contradictoire, pourtant essentiel à un procès équitable. Elle incarne le souhait de la Cnil de montrer l’exemple (et les dents), tout en laissant aux sociétés intimées la possibilité de se conformer dans le délai qui leur est imparti, sans encourir d’autre sanction que médiatique. Il faut dire qu’une simple mise en demeure suffit pour la Cnil obtienne tout ce qu’elle désire…,
tant le niveau des amendes que peut désormais prononcer la Cnil depuis la date d’entrée en application du RGPD est effrayant (jusqu’à 4 % du chiffre d’affaires mondial consolidé). Au risque d’ancrer une doctrine sans le moindre débat juridique et avec
des raisonnements discutables sur le fond. Discutons-en, donc.
• A chaque finalité son consentement ? La Cnil menace de sanctionner l’absence de consentement des personnes concernées au traitement de leurs données personnelles pour recevoir de la publicité ciblée sur leur téléphone mobile. Pour ce faire, elle se fonde sur un élément de doctrine non expliqué, qui pourrait se résumer à la formule très simple – et très fausse : « Une finalité, un consentement ». Selon cette doctrine, toute personne ayant consenti à la géolocalisation devrait par ailleurs avoir la possibilité de consentir – ou de ne pas consentir – séparément et pour chaque finalité distincte, à chacune des utilisations de sa géolocalisation : contractuelle, publicitaire, etc.
La définition du consentement stabilisée par la directive européenne « Protection des données personnelles » de 1995 (95/46) n’a pas été modifiée par les quatre années d’élaboration du RGPD. Le consentement se définit comme toute manifestation de volonté univoque, libre, explicite, informée et spécifique, par laquelle une personne concernée peut accepter par une déclaration ou un acte positif clair le traitement de ses données personnelles (7), notamment le premier d’entre eux : la collecte de données. Selon les récentes lignes directrices des régulateurs européens (8) (*) (**) (***) (****),
le consentement est absolument discrétionnaire. Lorsqu’il est requis, il doit être spécifique à chaque finalité. Il ne peut être soumis à aucune condition, avantage ou détriment. Il est rétractable à l’envi ; il est d’une durée de validité limitée et il doit être renouvelé. Il est indépendant de l’accès à un service, quel que soit le modèle économique en jeu. Ainsi, lorsque le consentement est requis, le traitement d’une donnée est interdit tant qu’un consentement valable n’a pas été exprimé sur la base d’une information complète fournie aux personnes, dénuée de toute manipulation ou omission susceptible de les influencer dans leur libre choix.

Des cookies à la géolocalisation publicitaire
Le consentement est donc un régime d’interdiction a priori, qui déplace l’action de réguler sur les personnes. Ce véritable « droit au caprice », qui place la volonté libre
de l’individu au-dessus de toute autre considération, ne peut constituer le fondement d’aucun service (le consentement se distingue de l’adhésion à un contrat) ni d’aucun modèle économique. En effet, quelqu’un a-t-il déjà donné pareil consentement à l’usage publicitaire de la géolocalisation, sans contrepartie, à un tiers qui ne lui promet rien ? Créé en France en 1978 pour interdire le traitement des données sensibles relatives aux opinions politiques, philosophiques, religieuses ou syndicales, ce consentement-là, absolu et sanctifié, n’a jamais été « lâché seul » dans la sphère économique sans coexister avec des alternatives tout autant protectrices de l’individu (et malgré lui) et économiquement compatibles.
• Géolocalisation, consentement et information. Le consentement à la collecte de données de géolocalisation est exigé par la directive européenne « ePrivacy » (9) de 2002 (2002/58), transposée en droit français dans le code des postes et des télécommunications électroniques (10). Il est d’une nature similaire à l’exigence du consentement à la collecte des données sensibles (11) ou du consentement au dépôt ou à la lecture de « cookies » ou de traceurs en ligne (12).

Des raccourcis trompeurs et dangereux ?
La Cnil a mis en demeure les entreprises concernées au motif du défaut d’information préalable relatif à l’usage des données de géolocalisation à des fins publicitaires. Cette information est requise, quelle que soit la base légale sur laquelle repose la ou les finalité(s) de collecte ou d’utilisation des données. Elle peut, juridiquement, être concomitante à la collecte de la donnée de géolocalisation, mais elle doit en tout état
de cause être préalable à l’usage publicitaire d’une donnée de géolocalisation (13).
Le RGPD n’exige pas toujours le consentement ; il exige une base légale. C’est la faculté de collecter la donnée – de géolocalisation, ou sensible ou de l’identifiant d’un terminal – qui est soumise au consentement et non pas l’usage ultérieur qui sera fait
de cette donnée. Cet usage ultérieur peut être justifié par une nécessité technique, servicielle ou contractuelle, ou une faculté publicitaire ou une obligation légale. Cet usage ultérieur doit donc faire l’objet d’une information des personnes – dans tous les cas. Toutefois, chacun de ces usages postérieurs n’est pas forcément soumis au consentement des personnes. Tout dépendra de la base légale qui fonde chacun de ces usages ultérieurs. En effet, la règle posée par le RGPD n’est pas « une finalité =
un consentement », mais « une finalité = une base légale ». Or, le consentement n’est qu’une des six bases légales retenues par le RGPD et il n’a pas de rang prioritaire sur les autres. Tout dépend de la finalité d’utilisation concernée. La Cnil ne justifie pas en quoi l’utilisation publicitaire des données de géolocalisation collectées avec le consentement des personnes (14), serait-elle-même soumise à un consentement spécifique. En effet, lorsque la finalité d’utilisation d’une donnée est une géolocalisation servicielle, c’est-à-dire strictement nécessaire à la fourniture d’un service ou souscrit par la personne, le consentement discrétionnaire des personnes s’effacera au profit
de la nécessité pour l’entreprise d’exécuter un contrat d’adhésion souscrit par les personnes et qui implique l’utilisation « servicielle » – contractuelle – de la donnée de géolocalisation (15). Tel est le cas pour l’utilisateur d’une application de cartographie routière de type Waze, Plans, Mappy ou Google Maps. Lorsque la collecte des données de géolocalisation est nécessaire à la sauvegarde de la vie humaine (16), le consentement sera écarté et l’utilisation d’une donnée de géolocalisation par les services d’urgence (Police Secours, SAMU, Pompiers) leur permet d’obtenir des opérateurs télécoms la géolocalisation de l’appel d’une personne en détresse. Enfin, lorsque la géolocalisation est nécessaire à l’exécution d’une mission de service public, telle la collecte des points et horaires d’entrée et de sortie d’une section d’autoroute à péage, l’absence du recueil du consentement, matériellement impossible, n’empêchera pas les sociétés d’exploitation d’autoroute de recueillir les données de géolocalisation de leurs usagers.
Concernant la géolocalisation destinée à déclencher l’affichage publicitaire sur mobile, la base légale ne pourra être que l’intérêt légitime prévu par le RGPD et explicitement décrit à son considérant 47. D’ailleurs, quel utilisateur averti serait-il assez « original » pour désirer librement et sans la moindre incitation faire l’objet de publicités géociblées ? Si l’usage publicitaire d’une donnée n’est possible qu’à l’égard des personnes qui y consentent librement, cela signifie en droit et en pratique que l’usage publicitaire est interdit a priori par le RGPD. Or, c’est tout le contraire qui a été arbitré dans le RGPD, malgré la réticence à cet égard des régulateurs nationaux tels que la Cnil. En effet,
le RGPD requiert la démonstration d’un équilibre entre les garanties offertes aux personnes en contrepartie de l’intérêt commercial pour l’entreprise exploitant les données (17). La personne ayant téléchargé une application et ayant expressément consenti à la collecte de ses données de géolocalisation, doit être informée que ses données peuvent être utilisées à des fins de publicité et elle doit pouvoir… s’y opposer, dès lors que cette faculté d’opposition lui est offerte aisément et à tout moment.

Le RGPD n’est pas un texte « à la carte »
Il serait dangereux que le RGPD devienne un texte « à la carte » pour les régulateurs.
Il ne l’est pas pour les justiciables. Ne rompons pas la belle promesse de sécurité juridique et d’harmonisation européenne que l’Union européenne brandit à la face du monde avec le RGPD. Si nous ne tenions pas cette promesse, nous en serions, nous Européens, les principales victimes. @

Vers un droit fondamental de l’accès à l’Internet dans la Constitution de 1958 ?

Comme il existe une Charte de l’environnement adossée à la Constitution française depuis 2004, une « Charte du numérique » faisant de l’accès à Internet un droit-liberté serait historique après une décennie de débats. Le 11 juillet, le projet a été rejeté. Mais la réflexion continue.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Un groupe de parlementaires de tous horizons politiques a proposé d’adosser à la Constitution de 1958 une « Charte du numérique », comme il y a une Charte de l’environnement adoptée, elle, en 2004 (1). Cette charte du numérique – qui comprend sept articles (2) – vise à consolider les grands principes du numérique en garantissant des droits et libertés numériques qui pourront alors faire l’objet d’un contrôle de constitutionnalité.

Droit d’accès aux réseaux numériques
La Charte du numérique, telle que proposée le 21 juin dernier par le groupe de travail informel commun à l’Assemblée nationale et au Sénat en vue de
« réfléchir à l’inclusion des droits et libertés numériques dans la Constitution », prévoit notamment que « la loi garantit à toute personne un droit d’accès aux réseaux numériques libre, égal et sans discrimination »
et que les réseaux numériques « respectent le principe de neutralité qui implique un trafic libre et l’égalité de traitement ». Ces propositions font écho à la déclaration commune signée le 28 septembre 2015 (3) par le président de l’Assemblée nationale (Claude Bartolone) et la présidente de
la Chambre des députés italienne (Laura Boldrini). Ce texte franco-italien
« sur les droits et devoirs numériques du citoyen » (4) devait être adressé
au Parlement européen pour inviter les Etats de l’Union européenne à y adhérer. Si l’on peut regretter que la Charte du numérique ait été aussitôt rejetée par la commission des lois, le 27 juin 2018 à l’Assemblée nationale, lors de l’étude du projet de loi constitutionnelle au motif que ses conséquences et implications étaient trop hasardeuses, on note qu’elle pourrait être reprise sous forme d’amendements au projet de loi constitutionnelle (5). Le sujet est d’importance. Il suffit, pour s’en convaincre, de constater que l’accès à l’Internet n’est pas libre dans tous
les pays, certains Etats limitant l’accès au réseau des réseaux en utilisant diverses techniques : blocage d’adresses IP de noms de domaine, censure
de certains mots-clés sur les moteurs de recherche ou encore filtrage des sites web contenants ces mots-clés (6). Il suffit également de rappeler que
le Saoudien Raif Badawi a été cruellement sanctionné pour avoir voulu ouvrir un blog afin d’inviter à un débat sur l’influence religieuse dans le Royaume d’Arabie saoudite. Cette initiative a été sévèrement sanctionnée : une peine de prison de dix ans, 1.000 coups de fouet et une amende. Son avocat, Waleed Abu al-Khair a également été condamné, à quinze ans de prison, pour l’avoir défendu et avoir prôné la liberté d’expression. De même, le blogueur mauritanien Cheikh Ould Mohamed Ould Mkheitir a été condamné à mort pour un billet jugé blasphématoire (7). Sa peine de mort avait été confirmée par la cour d’appel de Nouadhibou, tout en requalifiant les faits en « mécréance », mais annulée par la Cour suprême (8) avant de
se voir transformée en une condamnation à deux ans, toujours pour les mêmes faits (9). Il aura été incarcéré durant quatre ans. Quant au chinois Liu Xiaobo, il a également été déclaré coupable d’« avoir participé à la rédaction de la Charte 08, manifeste politique qui défendait une réforme démocratique pacifique et demandait un plus grand respect des droits humains fondamentaux en Chine, ainsi que la fin du système de parti unique ». Il avait été condamné à onze ans de prison pour ce manifeste signé par 303 intellectuels qui a circulé sous forme de pétition sur Internet. Récipiendaire du prix Nobel de la Paix en 2010, il est décédé en juillet 2017 alors qu’il venait de bénéficier d’une mise en liberté conditionnelle à raison de son état de santé très dégradé. Certains, à l’instar de Vinton Cerf (10) – l’un des pères fondateurs de l’Internet – considère que l’Internet est une
« technologie (…) facilitateur de droits, pas un droit en lui-même ».

Un nouveau droit-liberté fondamental
C’est en ce sens également que s’exprime Michaël Bardin, docteur en droit public, lequel considère que si « les juges, par cette décision [Hadopi de 2009, ndlr (11)], confirment bien qu’il est nécessaire de reconnaître l’importance contemporaine du droit d’accès à internet (…), pour autant,
le droit d’accès à internet n’est ni “un droit de l’homme” ni un “droit fondamental” en lui-même ». Et d’ajouter : « Il n’est et n’existe que comme moyen de concrétisation de la liberté d’expression et de communication.
En définitive, le droit d’accès à internet vient prendre sa juste place dans les moyens déjà connus et protégés que sont la presse, la radio ou encore la télévision » (12). Tel n’est pas l’avis du Conseil d’Etat qui qualifie le droit d’accès à l’Internet de droit fondamental (13). En ce sens également, la professeure universitaire Laure Marino observe que le Conseil constitutionnel a élevé la liberté d’accès à Internet au rang de nouveau droit fondamental : « Pour ce faire, le Conseil constitutionnel utilise la méthode d’annexion qu’il affectionne. Il décide que la liberté de communication et d’expression “implique” désormais la liberté d’accès
à Internet. Comme dans un jeu de poupées russes, cela signifie qu’elle l’intègre et l’enveloppe ou, mieux encore, qu’elle l’annexe. On peut se réjouir de cette création d’un nouveau droit-liberté : le droit d’accès à Internet. L’accès à Internet devient ainsi, en lui-même, un droit-liberté, en empruntant par capillarité la nature de son tuteur, la liberté d’expression. Ainsi inventé par le Conseil, le droit d’être connecté à Internet est donc un droit constitutionnel dérivé de l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789 » (14).

La coupure de l’accès Internet
C’est également la position exprimée en 2015 par la commission de réflexion et de propositions sur le droit et les libertés à l’âge du numérique (ComNum) de l’Assemblée nationale dans son rapport (15). Elle observe que plusieurs décisions prises au plan européen militent en ce sens. Ainsi, à titre d’exemple, dès 2009, et en plein débat sur la loi « Hadopi » que devait adopter la France quelques semaines plus tard, le Parlement européen s’est symboliquement opposé, par une recommandation (16), à la riposte graduée et à l’hypothèse de la coupure de l’accès Internet. Dans le même esprit, la directive européenne 2009/140/CE du 25 novembre 2009, composante du troisième « Paquet télécom » (17), prévoit que « les mesures prises par les Etats membres concernant l’accès des utilisateurs finals aux services et applications, et leur utilisation, via les réseaux de communications électroniques respectent les libertés et droits fondamentaux des personnes physiques tels qu’ils sont garantis par la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales et les principes généraux du droit communautaire ». Cette directive impose par conséquent le respect de la présomption d’innocence et la mise en place d’une procédure « préalable, équitable et impartiale » avant toute restriction de l’accès ; elle estime en conséquence que le droit d’accès à Internet comporte des enjeux qui dépassent largement ceux de l’accès à la presse, la radio ou la télévision (18). Plus encore, « l’accès à internet est indispensable non seulement à l’exercice du droit à la liberté d’expression, mais aussi à celui d’autres droits, dont le droit à l’éducation, le droit de s’associer librement avec d’autres et le droit de réunion, le droit de participer pleinement à la vie sociale, culturelle et politique et le droit au développement économique et social » (19). Comme l’indique le Conseil d’Etat dans son étude annuelle de 2014, la liberté d’entreprendre – qui découle de l’article 4 de la Déclaration des droits de l’homme et du citoyen – implique le droit pour les entreprises de développer des activités à caractère numérique. « La loi et la jurisprudence présentent aujourd’hui plusieurs garanties de ce que l’on pourrait qualifier de ‘’droit à une existence numérique’’ de l’entreprise, qui implique différents attributs : droit à un nom de domaine, droit à fournir des services sur Internet, droit d’utiliser certains instruments tels que la publicité, la cryptographie ou les contrats conclus par voie électronique ». Il va sans dire que la liberté d’entreprendre et le droit à une existence numérique impliquent également le droit d’accéder à Internet. On rappellera que la peine de suspension de l’accès à Internet n’a été prononcée qu’une seule fois par la justice française et jamais appliquée. Elle a été supprimée par le décret du 8 juillet 2013 (le rapport Robert de 2014 a émis une proposition de rétablissement de cette peine de suspension en la généralisant aux infractions qui mettent en péril un mineur).
Dans ce contexte, il convient d’acter que le droit fondamental d’accès à Internet doit être assuré dans ses fondements substantiels et pas seulement comme possibilité de connexion à la toile. L’accès comprend le libre choix des systèmes d’exploitation, des logiciels et des applications. La protection effective du droit d’accès exige des interventions publiques adéquates pour surmonter toute forme de fracture numérique – culturelle, infrastructurelle, économique – en ce qui concerne notamment l’accessibilité de la part des personnes handicapées.

A l’instar de la Charte de l’environnement
C’est donc dans cet objectif que le groupe parlementaire transpartisan a proposé d’adosser à la Constitution de 1958 la « Charte du numérique »,
à l’instar de la Charte de l’environnement adoptée en 2004. Les débats du
11 juillet 2018 à l’Assemblée nationale sur le projet de loi constitutionnelle
« pour une démocratie plus représentative, responsable et efficace » ont finalement abouti au rejet de cette charte.
Mais la réflexion, elle, va se poursuivre, d’autant que l’Internet Society (Isoc) soutient l’initiative française après avoir lancé une pétition « pour la consécration constitutionnelle des droits fondamentaux des utilisateurs du numérique ». @

* Ancien bâtonnier du Barreau de Paris,
et auteure de « Cyberdroit », dont la 7e édition
(2018-2019) est parue aux éditions Dalloz

Le tabou de la propriété des données personnelles, éléments de la personnalité et objets de commerce

Parler de la « propriété » des données personnelles est un quasi-blasphème
pour certains. Autant dans l’entreprise, ces dernières font partie du fonds de commerce, autant pour les individus, elles ne sont pas considérées comme tel. Les contrats suffisent-ils ou faut-il créer un droit spécifique ?

Par Winston Maxwell, avocat associé, et Maxime Cordier, stagiaire*, Hogan Lovells

Les entreprises traitent régulièrement les données comme un élément de patrimoine. L’exemple le plus connu est la liste des clients, élément du fonds de commerce (1). Cette liste peut être vendue dans le cadre d’une cession de fonds de commerce,
et si une entreprise concurrente
se l’approprie sans autorisation, le propriétaire du fonds de commerce peut demander réparation en justice. La liste de clients peut figurer au bilan comme une immobilisation incorporelle. Dans les fusions et acquisitions, la valeur des données peut représenter une partie importante du prix de cession. Alors, pourquoi donc autant de difficulté à parler de la « propriété » de données ?

Propriété pour un marché plus efficace ?
La propriété des données pose question sous l’angle de la personne qui les génère,
et sous l’angle de l’entreprise qui les collecte. En ce qui concerne l’individu, le Conseil d’Etat rejette l’idée qu’une personne puisse être propriétaire de ses données à caractère personnel (2). Celles-ci sont conçues comme un élément de la personnalité, et par là, incessibles. La reconnaissance d’un tel droit limiterait pour les pouvoirs publics la possibilité de protéger les individus. Le Conseil d’Etat propose la reconnaissance d’un droit à l’« autodétermination informationnelle », sur le modèle allemand. D’autres encore appellent à une gestion collective des données personnelles, pensées comme un « bien commun » (3). Certains soutiennent que l’individu devrait disposer d’un droit de propriété afin de créer un marché et corriger le déséquilibre entre les individus et certaines grandes plateformes Internet. L’avocat Alain Bensoussan propose de passer d’une logique du don à une logique de l’échange, nécessitant la reconnaissance par les pouvoirs publics d’un droit de propriété sur les données personnelles (4). Utiliser les données comme une monnaie d’échange est reconnu dans le projet de directive européenne de 2015 concernant certains aspects des contrats de fourniture de contenu numérique : « Dans l’économie numérique, les acteurs du marché ont souvent et de plus en plus tendance à considérer les informations concernant les particuliers comme ayant une valeur comparable à celle de l’argent. Il est fréquent que du contenu numérique soit fourni, non pas en échange d’un paiement, mais moyennant une contrepartie non pécuniaire, c’est-à-dire en accordant l’accès à des données à caractère personnel ou autres » (5). Les données à caractère personnel seraient à la fois un objet de commerce et un élément de la personnalité, protégé en tant que droit fondamental.
Les droits de propriété intellectuelle classiques ne reconnaissent pas les données brutes comme un objet de protection. La protection sui generis bénéficient aux bases
de données non « créatives » si elles ont fait l’objet d’un « investissement substantiel du point de vue qualitatif ou quantitatif » (6). Néanmoins, les données en elles-mêmes ne sont pas protégées. Beaucoup de bases de données issues d’objets connectés pourraient ne pas bénéficier la protection sui generis de la directive, soit qu’elles ne sont pas créatives, soient qu’elles ne pourraient bénéficier de la protection sui generis. Certains auteurs soutiennent que la création d’objets connectés avec des capteurs n’entrerait pas dans le calcul de « l’investissement substantiel » nécessaire pour la protection sui generis des bases de données (7). En tout état de cause, cette protection sui generis ne permet pas une protection entière de la base de données, puisque des extractions et réutilisations de parties non substantielles du contenu de la base de données peuvent être réalisées tant qu’elles ne causent pas de préjudice injustifié aux intérêts légitimes du fabricant de la base.

La protection du secret des affaires
La directive européenne de 2016 sur le secret des affaires (8) permet de protéger le détenteur de données personnelles contre l’acquisition, l’usage et la divulgation illicite de certains secrets. Cependant, son champ d’application se limite aux informations
qui « ne sont pas généralement connues des personnes appartenant aux milieux qui s’occupent normalement du genre d’informations en question, ou ne leur sont pas aisément accessibles ». Pour certains auteurs (9), il n’est pas assuré que les données produites par les capteurs des objets connectés puissent être protégées. Les données ne seraient d’ailleurs protégées que contre certaines actions illégales. Les prérogatives issues de la protection par le « secret des affaires » ne peuvent être qualifiées de droit de propriété, mais ce droit consacre néanmoins une certaine protection, à l’instar de la protection accordée à une liste de clients d’une entreprise (10).

Créer un droit de propriété spécifique ?
Cependant, faut-il nécessairement un droit de propriété spécifique ? Certains ne le pensent pas, car le marché des données fonctionne très bien uniquement sur la base de contrats (11). Ils citent le cas des droits sportifs. Dans de nombreux pays, les événements sportifs ne bénéficient pas d’un droit de propriété intellectuelle. Et pourtant les droits de rediffusion se négocient à prix d’or ! La raison est liée à la possibilité technique de contrôler l’accès au stade. L’organisateur de l’événement sportif peut autoriser un seul diffuseur à accéder au stade pour filmer l’événement, créant ainsi une rareté qui se monnaie. Selon le centre de recherche de la Commission européenne, le Joint Research Centre (JRC), les données seraient comme un match de foot : pas de droit de propriété intellectuelle spécifique, mais une maîtrise technique de l’accès aux données qui permet une négociation efficace par voie contractuelle. « Je donne accès
à mes données à Alice, mais pas à Bob ». Si le marché s’organise efficacement autour de contrats – comme c’est le cas pour les événements sportifs – aucun besoin de créer un droit de propriété spécifique. Le règlement général sur la protection des données,
dit RGPD et applicable à partir du 25 mai 2018, reconnaît une série de droits pour l’individu, et impose une série d’obligations au responsable du traitement pour garantir le respect des droits de l’individu (lire encadré ci-dessous). Le RGPD n’utilise jamais
le terme « propriété » pour caractériser les droits de l’individu ou des droits du responsable du traitement. Et pourtant, selon le JRC, le RGPD reconnaît implicitement un droit de propriété pour le responsable de traitement (12). Il s’agit d’un droit de propriété implicite pour l’ensemble des droits résiduels liés aux données. @

Maxime Cordier est étudiant
« Data Protection Officer » (DPO), à l’université Paris II
Panthéon-Assas, et stagiaire au département
« droit et contrats des données » de Hogan Lovells.

ZOOM

D’après le RGPD, le propriétaire des données est le responsable du traitement
Le règlement général sur la protection des données (RGPD), applicable à partir du
25 mai 2018, répartit les droits sur les données personnelles entre deux acteurs : le responsable de traitement et la personne concernée. La personne concernée dispose du « pouvoir d’initiative » dans la création et la mise à disposition de droits sur ses données personnelles (13). Parmi ces droits, les plus significatifs sont le droit d’obtenir une information préalable, le droit d’accès ou le droit de rectification. Le responsable
de traitement est lui le « gardien des données » et dispose de tous les « droits » qui ne sont pas affectés à la personne concernée, ou qui ne sont pas limités par d’autres droits de la personne concernée. En reconnaissant que le responsable du traitement détient le droit de déterminer la finalité et les moyens de traitement, le RGPD confère un degré de sécurité juridique à son statut de « propriétaire » des données.
Propriétaire des droits résiduels , le responsable du traitement reste néanmoins fortement limité dans son exploitation des données. Les contraintes sont d’origine réglementaire : le RGPD, la directive « ePrivacy », le secret bancaire, le secret
médical, … D’autres textes réglementaires limiteront sa marge de manœuvre. Mais
les contraintes peuvent également être d’origine contractuelle, notamment en cas de partage de données entre plusieurs responsables du traitement, chacun lié par un contrat définissant précisément son rôle. Dans un consortium lié à l’Internet des objets, il pourra exister plusieurs responsables du traitement, chacun responsable pour l’exploitation des données en vue de la réalisation d’une finalité spécifique : recherche, amélioration du produit, sécurité, publicité…

Les quatre couches de la propriété des données
La « propriété » des données pour un responsable du traitement peut s’analyser en quatre couches : la première concerne le contrôle technique de l’accès aux données
(il s’agit de l’équivalent des clés du stade, si l’on prend l’exemple des droits sportifs) ;
la seconde a trait à l’existence ou non de droits de propriété intellectuelle pour les données en question (droit sui generis sur les bases de données, secret des affaires) ; la troisième couche porte sur les contraintes réglementaires qui pèsent sur
l ‘ exploitation des données par le responsable du traitement, dont la liberté en tant
que « propriétaire » des données sera réduite (les droits de l’individu au titre du RGPD seront parmi les plus grandes contraintes , mais d’autres pourraient exister, par exemple en droit de la concurrence, ou en application d’un texte spécifique tel que la directive « Services de paiement en matière bancaire », par exemple) ; la quatrième couche concerne les contraintes liées aux contrats auxquels le responsable du traitement est partie (dans le contexte de l’Internet des objets ces contrats seront nombreux, et délimiteront l’étendue des droits de chaque entreprise membre du consortium, identifiant pour chacun la finalité que l’entreprise pourra poursuivre,
et les mesures de protection que celle-ci mettra en place).
L’empilement de ces quatre couches permet de comprendre la « propriété » des données dans un projet spécifique, comme la création d’une ville intelligente, par exemple. Lorsque de nombreuses entreprises interviennent dans le projet, le contrôle physique des données (première couche) sera particulièrement controversé. Dans certains cas le contrôle physique pourra être confié à une entreprise commune qui gérera l’accès pour le compte de l’ensemble des membres du consortium. Dans ce cas, la gouvernance de l’entreprise commune sera déterminante. @