Non-respect d’une licence de logiciel par le licencié : manquement contractuel ou contrefaçon ?

Deux affaires récentes ont opposé respectivement Free et Orange à des éditeurs de logiciels, lesquels les accusaient de contrefaçon. Mais le non-respect d’un contrat de licence de logiciel par le détenteur de cette licence de logiciel peut soit relever de la contrefaçon, soit du manquement contractuel.

Par Charles Bouffier, avocat, cabinet August Debouzy

La question de la nature de la responsabilité de toute personne qui souscrit à une licence pour l’utilisation d’un logiciel (le « licencié ») mais qui ne respecte pas les termes du contrat de licence du logiciel a donné lieu ces dernières années à des solutions jurisprudentielles contrastées en droit français (1). Et ce, compte-tenu du principe de non-cumul des responsabilités (2). Cette question délicate se trouve au coeur de deux affaires récentes opposant des opérateurs – respectivement Free Mobile et Orange – à des éditeurs de logiciels.

Affaire « Free » : question préjudicielle
Le 16 octobre 2018, la Cour d’appel de Paris (3) a posé une question préjudicielle à la Cour de justice de l’Union européenne (CJUE) dans le cadre d’une affaire opposant Free Mobile à la société IT Development (4). Les faits sont les suivants : la société IT Development a consenti par contrat à la société Free Mobile une licence sur un logiciel de gestion de déploiement de réseaux mobiles dénommé ClickOnSite. Arguant d’une décompilation non-autorisée et de modifications apportées au code-source de son logiciel en violation du contrat de licence, notamment pour créer des formulaires, la société IT Development a fait procéder à une saisie-contrefaçon dans les locaux d’un sous-traitant de l’opérateur Free Mobile puis a assigné ce dernier en contrefaçon de logiciel. En défense, Free Mobile a opposé que les actes invoqués ne constituent pas une violation de droits de propriété intellectuelle, mais une inexécution contractuelle. Par jugement du 6 janvier 2017, le TGI de Paris a considéré qu’il était reproché à la société Free Mobile « des manquements à ses obligations contractuelles, relevant d’une action en responsabilité contractuelle et non pas des faits délictuels de contrefaçon de logiciel, de sorte que l’action en contrefaçon initiée par la demanderesse est irrecevable » (5). La Cour d’appel de Paris, elle, a accepté de surseoir à statuer et de renvoyer à la CJUE la question préjudicielle suivante : « Le fait pour un licencié de logiciel de ne pas respecter les termes d’un contrat de licence de logiciel (par expiration d’une période d’essai, dépassement du nombre d’utilisateurs autorisés ou d’une autre unité de mesure, comme les processeurs pouvant être utilisés pour faire exécuter les instructions du logiciel, ou par modification du code-source du logiciel lorsque la licence réserve ce droit au titulaire initial) constitue-t-il : une contrefaçon (au sens de la directive 2004/48 du 29 avril 2004 [sur le respect des droits de propriété intellectuelle, dite IPRED, ndlr]) subie par le titulaire du droit d’auteur du logiciel réservé par l’article 4 de la directive 2009/24/CE du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur, ou bien peut-il obéir à un régime juridique distinct, comme le régime de la responsabilité contractuelle de droit commun ». Très attendues, les conclusions de l’avocat général de la CJUE ont été publiées le 12 septembre dernier (6). Après avoir réduit la portée de la question préjudicielle à la seule hypothèse de la modification du code source du logiciel (au motif que les trois autres seraient étrangères aux faits litigieux), l’avocat général suggère à la CJUE d’y répondre de la façon suivante : « Il y a lieu d’interpréter les articles 4 et 5 de la directive (…) concernant la protection juridique des programmes d’ordinateur, pris avec l’article 3 de la directive (…) relative au respect des droits de propriété, en ce sens que :
• La modification du code source d’un programme d’ordinateur, effectuée en violation d’un contrat de licence, constitue une atteinte aux droits de propriété intellectuelle qui appartiennent au titulaire du droit d’auteur sur le programme, à condition que cette modification ne soit pas exonérée d’autorisation conformément à la directive [sur la protection juridique des programmes d’ordinateur].
• Le fondement juridique de l’action que le titulaire des droits d’auteur sur un programme informatique peut exercer contre le titulaire de la licence, pour cause de violation des facultés propres du titulaire des droits, est de nature contractuelle lorsque le contrat de licence réserve ces facultés au titulaire du programme, conformément à l’article 5 paragraphe 1, de la directive [sur la protection juridique des programmes d’ordinateur].

Des facultés réservées au titulaire
• Il appartient au législateur national de déterminer, en respectant les dispositions de la directive [IPRED] et les principes d’équivalence et d’effectivité, les modalités procédurales nécessaires à la protection des droits d’auteur sur le programme d’ordinateur en cas de violation de ces derniers, lorsque cette violation implique simultanément une violation de ces droits et un manquement contractuel. » Ainsi, selon l’avocat général de la CJUE, si le manquement reproché au licencié consiste dans le non-respect d’une clause contractuelle par laquelle le titulaire s’est expressément réservé l’exclusivité de certaines des facultés énumérées dans la directive concernant la protection juridique des programmes d’ordinateur, « la qualification juridique du différend serait uniquement contractuelle » et il n’y aurait alors pas de place pour la contrefaçon. En revanche, la modification du code source d’un programme d’ordinateur effectuée en violation d’un contrat de licence se situe en dehors de la réserve des facultés énumérées dans cette directive. Elle implique une décompilation (afin de reconstituer le code source du logiciel), qui ne figure pas parmi les facultés précitées et qui n’est permise qu’à des fins d’interopérabilité, sous réserve de certaines conditions (8).
Aussi, selon l’avocat général, un tel manquement « pourrait être qualifié, simultanément, de manquement contractuel et de violation du devoir général du respect du droit d’auteur selon les contours définis par la loi […]. Dans ce cas de figure, le principe de non-cumul serait applicable ». Par application de la règle de non-cumul – et sous-réserve de la conformité de cette règle avec le droit de l’Union européenne (en particulier la directive IPRED) ce qu’il appartiendra à la juridiction de renvoi de dire, le fondement de l’action du titulaire serait alors de nature contractuelle.

Parallèle avec l’affaire « Orange »
En attendant l’arrêt de la CJUE sur cette question, un parallèle peut être fait avec une autre affaire récente. Le contentieux impliquant des licences de logiciel libre est suffisamment rare(lire ci-dessous une autre affaire « Free » de 2008) pour que l’on s’attarde sur un jugement du TGI de Paris du 21 juin 2019 rendu dans une affaire opposant l’éditeur de logiciel libre Entr’ouvert aux sociétés Orange et Orange Applications for Business (10). L’opérateur télécoms avait répondu à un appel d’offres de l’Agence pour le gouvernement de l’administration électronique (ADAE) en vue de la conception et de la réalisation d’un portail informatique, en proposant un outil interfacé avec la bibliothèque logicielle Lasso éditée par la société Entr’ouvert sous licence libre GNU GPL version 2. Estimant que la mise à disposition par Orange de cette bibliothèque à son client ne respectait pas les articles 1 et 2 de cette licence libre, la société Entr’ouvert a fait procéder à une saisie-contrefaçon au siège d’Orange puis l’a assigné en contrefaçon de droit d’auteur devant le TGI de Paris. En substance, elle reprochait à l’opérateur télécoms une déclaration d’utilisation de la version 0.6.3 de la licence litigieuse – alors qu’il aurait également employé la version 2.2.90, ainsi que l’indication prétendument trompeuse à l’ADAE de ce que la bibliothèque serait un module autonome.

Non-cumul de responsabilité
Orange et sa filiale Orange Application for Business (cette dernière étant intervenue volontairement à l’instance) soulevaient pour leur part l’irrecevabilité de l’action intentée au motif que le litige relèverait de la responsabilité contractuelle et non pas de la contrefaçon. L’opérateur télécoms a été suivi en cela par le TGI. En effet, après avoir rappelé – à l’instar de l’avocat de la CJUE dans l’affaire « Free » – que « la violation des droits réservés de l’auteur [listés à l’article L.122-6 du code de la propriété intellectuelle] est sanctionnée par la contrefaçon » et que « les modalités particulières d’usage pour permettre l’utilisation du logiciel conformément à sa destination, par [le licencié] sont aménagées, selon l’alinéa 2 de l’article L122-6-1 du code de la propriété intellectuelle, par contrat entre les parties », le TGI a finalement considéré « que la société Entr’ouvert poursuit en réalité la réparation d’un dommage généré par l’inexécution par les sociétés défenderesses d’obligations résultant de la licence et non pas la violation d’une obligation extérieure au contrat de licence ». En application du principe de non-cumul de responsabilité, nous dit le jugement, « seul le fondement de la responsabilité contractuelle est susceptible d’être invoqué par la demanderesse, qui doit donc être déclarée irrecevable en son action en contrefaçon et en ses prétentions accessoires ». L’affaire rebondira peut-être devant la Cour d’appel de Paris… @

ZOOM

Il y a dix ans, Free était déjà accusé de contrefaçon – sur sa Freebox
La licence libre GNU GPL Version 2 (GNU signifiant « GNU’s Not UNIX » et GPL « General Public License ») avait déjà été au cœur il y a dix ans d’une précédente affaire de contrefaçon portée devant le TGI de Paris : l’affaire « Free/ Welte, Andersen et Landley » qui avait défrayé la chronique à l’époque. En 2008, les auteurs de deux logiciels libres (Iptables et BusyBox) avaient assigné Free en contrefaçon de leurs droits d’auteur devant le TGI de Paris. Ils reprochaient à l’opérateur télécoms l’utilisation, dans la Freebox, des deux logiciels litigieux sans permettre l’accès à leurs codes sources, en méconnaissance des termes de cette licence GNU GPL Version 2 (https:// lc.cx/Assign2008). Free s’était alors défendue en expliquant que le terminal n’était pas vendu mais simplement prêté, ce qui l’exonérait — selon son fondateur Xavier Niel — de toute obligation de divulgation dudit code source. Un accord avait finalement été conclu en juillet 2011 entre les parties mettant fin au procès (https:// lc.cx/FSF-Free2011). Cet accord prévoyait notamment le libre accès aux codes sources des logiciels libres utilisés dans les Freebox. Compte-tenu de cette issue amiable, le TGI n’avait pas eu à se prononcer sur la recevabilité de l’action en contrefaçon des demandeurs pour non-respect des termes de la licence GNU GPL Version 2. Huit ans après, l’occasion lui en a été donnée dans le cadre d’une affaire visant cette fois-ci l’opérateur Orange. @

Internet de l’espace : la Commission européenne doit proposer une régulation des satellites

L’Union européenne aura mis environ vingt ans avant de s’emparer de la nécessité de réguler l’Internet en matière fiscale, de protection des données personnelles et de lutte contre le terrorisme. Il reste à espérer qu’elle saura réagir plus promptement pour réguler les satellites en orbite basse.

Par Rémy Fekete, avocat associé, cabinet Jones Day

La FFC (1) – entité américaine en charge de réguler le secteur des télécommunications ainsi que les contenus des émissions de radio, télévision et Internet – a approuvé fin mars dernier le projet Starlink de SpaceX. Le projet Starlink vise à fournir des services mondiaux haut débit par satellite en orbite basse terrestre. L’autorisation d’exploitation valait pour le nombre de 4.225 satellites, auxquels s’ajouteront 7.518 satellites supplémentaires pour lesquels l’autorité de réglementation américaine vient de donner son accord.

Orbite basse : nouvel eldorado télécoms ?
SpaceX n’est pas la seule entreprise à avoir obtenu une telle autorisation ; Kepler Communications, Télésat Canada et LeoSat MA ont elles aussi bénéficiées d’agréments de la FCC pour offrir des services haut débit aux Etats-Unis. Amazon est en embuscade avec la société Kuiper Systems, devancé par le projet OneWeb qui a commencé cette année à déployer ses satellites fabriqués par son partenaire Airbus. La fourniture de services de télécommunications par satellites n’est pas un enjeu nouveau. Les satellites télécoms sont pour la plupart placés en orbite géostationnaire, c’està- dire à 36.000 km d’altitude. Ils se déplacent à la même vitesse que la rotation de la Terre, et sont donc situés en permanence au-dessus d’un même point terrestre.
Si ce positionnement facilite la couverture des zones les plus peuplées du globe, il présente plusieurs inconvénients, comme le temps de latence lié à la distance entre la terre et le satellite et l’encombrement significatif de cette orbite du fait du nombre importants de satellites et de déchets présents à cette altitude. Le développement de nouvelles technologies permet désormais de palier à la principale contrainte des orbites basses en rendant possible le relais entre satellites couvrant successivement la même zone terrestre. L’orbite basse, située à une altitude comprise entre 500 et 1.000 km, comporte plusieurs avantages notables pour les opérateurs. Dans un premier temps, en réduisant la distance du signal et en conséquence la rapidité d’acheminement, elle est plus adaptée aux très haut débit. Réduire ce temps de latence permet une plus grande efficacité en matière de transactions électroniques et d’accès à Internet. Il s’agit donc d’un enjeu de taille en matière commerciale. En plus de permettre une réduction du temps de latence, les satellites en basse orbite émettent des signaux plus facilement captables depuis la Terre, grâce à leur proximité avec celle-ci (2). Reste que l’inconvénient majeur de cette technologie est tout de même celui de la couverture : les satellites placés en basse orbite tournent plus rapidement que la Terre, et ne permettent pas de couvrir en permanence le même secteur. Il est donc nécessaire d’envoyer plusieurs satellites côtes-à-côtes, qui se transfèrent les différents signaux et appels : on parle alors de constellations de satellites. Pour autant, cet inconvénient est largement compensé par la couverture intégrale de la surface de la Terre permise par le mouvement des satellites en basse orbite. Cette couverture permet ainsi de fournir des services de télécommunications dans des zones très enclavées, où il n’est aujourd’hui pas envisageable de fournir des services à haut débit. L’information circulant plus vite dans l’espace que sur Terre, l’envoi de signaux par satellites permet de concurrencer très largement les communications transmises via la fibre optique.
Le positionnement de satellites en orbite basse est rendu possible par l’utilisation principalement de deux bandes : les bandes Ka et Ku. Il s’agit de gammes de fréquences du spectre électromagnétique, permettant l’envoi et la réception de signaux entre la Terre et les satellites. La bande Ka est surtout utilisée pour l’Internet par satellite. L’énergie est mieux concentrée dans cette bande que dans de nombreuses autres, ce qui permet de multiplier la capacité offerte par une bande, tout en permettant une réduction importante des coûts dans la proposition de services. L’offre de services d’Internet par satellites utilisant cette bande se situe dans des prix comparables à ceux proposés via l’ADSL. La bande Ku, elle, est utilisée en particulier pour la télévision et la radio. L’utilisation des bandes Ka et Ku est répandue en Europe et présente l’avantage, notamment en droit de l’urbanisme, de ne pas nécessiter de paraboles de grande taille.

Pionniers : Skybridge, Celestri, Teledesic
Les projets de constellations de satellites en orbite basse ont déjà fait l’objet d’un cycle significatif au cours des années 1990-2000. Les principaux projets Skybridge pour Alcatel, Celestri pour Motorola ou Teledesic pour Bill Gates n’avaient cependant pas pleinement abouti. L’offre satellitaire en orbite basse des années 1990 tablait, déjà, sur une promesse de connectivité haut débit sur l’ensemble du globe, avec les services associés déjà envisagés à l’époque comme la télémédecine, l’e-éducation et l’e-administration, … La presque totalité de ces projets ont fait long feu, non seulement du fait de l’assèchement des financements liés à l’éclatement de la bulle Internet, mais sans doute aussi du fait de la généralisation de la téléphonie mobile et la multiplication des accords de roaming, qui, sans investissement en réseau supplémentaire, rendent de fait interopérables les réseaux d’opérateurs de pays différents, sans contrainte technologique pour les consommateurs.

Un défaut de régulation depuis des années
L’explosion des besoins de capacités de transmission à haut ou très haut débit et la généralisation des usages consommateurs en données (en particulier le remplacement progressif de l’écrit par la communication par vidéo) semblent offrir de nouveau un intérêt aux projets satellitaires en orbite basse. Après la multiplication de faillites retentissantes de plusieurs milliards de dollars chacune dans les années 1990, les conditions sont-elles réunies pour un nouvel âge de l’Internet par satellite ou faut-il s’attendre à de nouvelles catastrophes industrielles ? Les risques inhérents à la limite de la régulation internationale applicable à la mise en orbite et l’exploitation de satellites risquent de se voir décuplés s’agissant des constellations en orbite basse. Ces risques comprennent désormais une attention particulière sur les aspects environnementaux, relativement peu contraignants il y a vingt ans. L’Union astronomique internationale – l’International Astronomical Union (IAU) qui fête son centenaire cette année – a notamment publié un communiqué faisant part de son inquiétude vis-à-vis du déploiement de constellations de satellites. Son point de vue est soutenu par l’International Dark-Sky Association (IDA). Il s’avère que la plupart des constellations en orbite basse seraient visibles depuis la Terre. Elles sont susceptibles d’engendrer une pollution lumineuse massive. Au point que l’IAU s’inquiète des effets de ces constellations sur les études astronomiques en cours et sur la vie des espèces nocturnes. Bill Keel, astronome à l’Université de l’Alabama constate que « dans moins de 20 ans, les gens verront plus de satellites que d’étoiles à l’oeil nu pendant une bonne partie de la nuit ». Le défaut de régulation internationale reste également préoccupant sur le sujet, pourtant ancien, de la gestion des débris spatiaux et de la fin de vie des satellites. Le phénomène, pour l’instant surtout concentré sur l’orbite géostationnaire, pourrait être multiplié du fait de la mise en orbite de satellites sur les différentes orbites basses. Les millions de débris spatiaux déjà en orbite, à une vitesse allant jusqu’à 28.000 km/h, constituent des dangers significatifs tant pour les autres satellites que pour la navigation spatiale et même la vie des astronautes. Si Elon Musk, milliardaire américain fondateur de la société SpaceX, assure que les mesures nécessaires seront prises pour éviter ces collisions, et que la probabilité qu’elles aient réellement lieu demeure faible, il reste qu’un dispositif de droit international contraignant serait le bienvenu pour selon les cas : imposer le « désorbitage » des satellites en fin de vie, assurer la tenue plus rigoureuse d’un inventaire des débris spatiaux (voir encadré ci-dessous), préciser les règles de responsabilité applicables en cas de collision. Il est vrai que le nombre de satellites de défense, dont les caractéristiques et la localisation sont confidentiels, ne facilite pas cette évolution du droit international. Au-delà des inquiétudes de la Commission européenne (3), les textes européens de droit positif manquent encore. Certes l’Union internationale des télécommunications (UIT) exerce son imperium sur la gestion des orbites spatiales et la coordination internationale des bandes de fréquences satellitaires (4), mais la gestion du trafic spatial demeure en grande partie régie, de fait, par la FCC. Les nouveaux projets de constellations de satellites en orbite basse rendent également d’actualité le besoin d’avancée des travaux du Comité pour les usages pacifiques de l’atmosphère extra-atmosphérique de l’ONU (5). L’action de l’Union européenne (UE) dans l’espace est plutôt récente. La plupart des initiatives prises au niveau intergouvernemental ont été prises dans le cadre de l’Agence spatiale européenne (6). Certains Etats se sont également emparés du sujet, comme la France, mais à l’échelon national. Dans le cadre du prochain cadre financier pluriannuel 2021- 2027, l’UE cherche à mettre en place un règlement sur la politique spatiale européenne. Elle aura mis environ vingt ans avant de s’emparer de la nécessité de réguler l’Internet en matière fiscale, de protection des données personnelles et de lutte contre le terrorisme. Il reste à espérer qu’elle saura réagir plus promptement pour trouver le savant équilibre qui permettra l’avènement de champions européens dans la construction, le lancement et l’exploitation de satellites en orbite basse, tout en préservant les impératifs environnementaux et le règlement pacifique des conflits entre appareils en orbite. @

FOCUS

Débris spatiaux : l’Europe budgète 500 millions d’euros
Sur les 16 milliards d’euros du prochain budget 2021-2027 que l’Union européenne veut consacrer « au maintien et au renforcement du leadership de l’UE dans le domaine de l’espace » (7), la Commission européenne a proposé en juin 2018 de consacrer 500millions d’euros pour améliorer les performances et l’autonomie de la « surveillance de l’espace » — ou SSA (Space Situational Awareness). Objectif : éviter les collisions dans l’espace et de permettre de surveiller la rentrée d’objets spatiaux dans l’atmosphère terrestre. Les déchets de l’espace ou débris spatiaux en orbite autour de la Terre faisant plus de 1 cm sont estimés à 780.000, ceux supérieurs à 10 cm 34.000 en janvier 2019. @

Décisions de justice à l’heure du RGPD : délicat équilibre entre liberté de la presse et vie privée

Jusqu’à maintenant, la jurisprudence favorise habituellement – mais pas toujours –
le droit à l’information en cas de différends sur la publication de données issues de comptes-rendus de procès ou de décisions de justice. Depuis l’entrée en vigueur du RGPD, la recherche d’un juste équilibre s’impose.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) s’applique aussi aux comptesrendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès. Le RGPD confie aux Etats membres de l’Union européenne le soin de concilier « […] par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire » (1).

Jurisprudence et droit à l’information
De même, le RGPD prévoit des règles similaires pour le « traitement et l’accès du public aux documents officiels » (2) afin de concilier les intérêts liés à la communication au public des documents administratifs et la protection des données à caractère personnel. Cela changera-t-il la jurisprudence qui jusqu’alors favorise habituellement – mais pas toujours – le droit à l’information ? Six mois après l’entrée en vigueur du RGPD, un arrêt de la cour d’appel de Paris daté du 28 novembre 2018 a confirmé une décision du président du tribunal de grande instance de Paris disant qu’il n’y avait pas lieu à référé concernant une demande de déréférencement à l’encontre de Google France de liens pointant vers un article publié sur le site Internet d’un journal – en l’occurrence Le Parisien (3). Les juges ont retenu que « l’information donnée au public sur la mise en cause pénale d’une personne et sa condamnation définitive participe du droit à l’information, particulièrement lorsqu’il s’agit d’infractions pénales sérieuses ». Elle a également relevé que « l’information communiquée quant à la mise en examen (…) ne constitu[ait] pas une atteinte à [la] vie privée s’agissant de la relation de faits publics et particip[ait] du droit du public à être informé ». Les juges, qui procèdent à une analyse de contexte pour apprécier l’intérêt de l’information sur un sujet d’actualité pour le public, en ont conclu que le demandeur « ne justifi[ait] pas de raisons prépondérantes et légitimes prévalant sur le droit d’expression et d’information ».
Toujours après la promulgation du RGPD, mais cette fois huit mois après, la Cour européenne des droits de l’homme (CEDH) s’est prononcée – dans un arrêt du 10 janvier 2019 – sur une décision par laquelle les juges allemands avaient interdit la publication dans la presse d’une photographie représentant une célébrité suisse alors incarcérée. La CEDH a précisé qu’il convenait d’apprécier « la notoriété de [l’intéressé], la contribution de la photo à un débat d’intérêt général, les circonstances dans lesquelles la photo litigieuse a été prise, le comportement antérieur de [l’intéressé] vis-à-vis des médias, la forme, le contenu et les répercussions pour [l’intéressé] de la publication de la photo litigieuse ainsi que la gravité de la sanction prononcée à l’encontre des requérantes ». Elle a notamment considéré en l’espèce que la photo litigieuse « n’avait pas de valeur informative supplémentaire par rapport à celle du texte de l’article », relatant « un fait connu du public depuis longtemps ». Il n’y avait « dès lors aucun motif d’en rendre compte de nouveau ». La CEDH a ainsi considéré qu’elle n’avait « aucune raison sérieuse de substituer son avis à celui des juridictions allemandes ».
Publier ou ne pas publier dans un contexte judiciaire : telle est la question au regard de la vie privée. La Cour de cassation, dans un arrêt du 12 mai 2016, a ainsi rejeté la demande de deux personnes ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et Libertés », la suppression d’informations identifiantes les concernant sur le moteur de recherche du site Internet d’un journal, en l’occurrence Lesechos.fr (4), qui donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre il y a plusieurs années. La Cour a considéré que « le fait d’imposer à un organe de presse […] de supprimer du site Internet dédié à l’archivage de ses articles […] l’information elle-même contenue dans l’un de ces articles […] privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».

Article en ligne et intimité de la vie privée
La notion d’« actualité » s’apprécie au cas par cas, à l’exemple de cette ordonnance de référé du 8 janvier 2016 (5) : le tribunal de grande instance de Paris a également rejeté la demande de suppression des nom et prénom d’une personne condamnée pour violence aggravée, dans un article paru en 2004 dans le quotidien 20 Minutes et toujours en ligne dix ans après les faits incriminés. Après avoir procédé à une analyse du contexte, le juge a notamment considéré « qu’il n’est donc nullement illégitime, dans ce contexte, pour la société 20 Minutes France, de mentionner l’identité du demandeur ». Donc « que dans ces conditions, il n’apparaît pas, avec l’évidence requise en matière de référé, que (le requérant) puisse se prévaloir d’une quelconque atteinte à l’intimité de sa vie privée ».

Actualité, intérêt légitime et droit à l’oubli
De même, s’agissant d’une demande de déréférencement de plusieurs liens sur Google Images pointant sur des articles faisant état de la condamnation du requérant, le juge a constaté en 2017 que le refus du moteur de recherche était fondé dès lors qu’il s’agissait d’une information exacte sur un sujet d’actualité récent (6). Ce parti pris n’est pas nouveau puisque, dans une affaire concernant la publication dans un journal d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu. Ce dernier avait sollicité du directeur de la publication l’insertion d’un droit de réponse. Le journal s’était contenté de mettre à jour l’article. L’individu en cause l’a assigné aux fins de voir supprimer l’article. Les juges ont considéré en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime « tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants », et qu’aucun abus de la liberté de la presse n’était établi (7). C’est le même raisonnement qui conduit des juridictions étrangères à refuser le retrait de résultats affichés sur des moteurs de recherche.
Parfois, les juges considèrent que le droit au déréférencement doit obéir au principe de proportionnalité. Certaines décisions – surtout étrangères – visent à concilier les intérêts de la personne concernée par le traitement de données personnelles avec les intérêts des autres parties en présence, et donc le droit du public à avoir accès à l’information en cause. En quelque sorte, le juge recherche un équilibre entre le droit au respect de la vie privée et aux données à caractère personnel et le droit à la liberté d’expression et à l’information. Deux arrêts américains assez anciens sont également particulièrement éclairants sur ce point. Le premier arrêt rendu par la Cour suprême des Etats- Unis en 1989 concernait un journaliste qui demanda au FBI (9) l’accès aux documents concernant les arrestations, inculpations et condamnations visant quatre individus. Pour le seul survivant des quatre individus ciblés par le journaliste, le FBI refusa de transmettre l’information qu’il détenait sous forme compilée, estimant que la communication porterait atteinte à la vie privée des individus en question. La Cour suprême soutint à l’unanimité cette argumentation (10). Elle rejeta l’argument retenu par la cour d’appel, selon lequel il n’y a plus de Privacy Interest en présence d’informations déjà rendues publiques. Pour la Cour, il y a une importante différence entre une communication « éparpillée » de fragments d’information et la divulgation de l’information dans son ensemble (11). Le second arrêt est issu de la cour d’appel de l’Etat de Californie (12) qui a considéré en 1994 que « c’est la nature agrégée de l’information qui lui donne de la valeur aux yeux du défendeur ; c’est la même qualité qui rend sa diffusion constitutionnellement dangereuse ».
De même, un arrêt de la Cour de cassation belge du 29 avril 2016 retient l’attention. Dans cette affaire, le demandeur, médecin de profession, avait provoqué un grave accident de la circulation ayant entraîné la mort de deux personnes, alors qu’il se trouvait sous l’emprise d’alcool. Ce fait avait été relaté dans l’édition papier du quotidien Le Soir, en 1994. L’article avait été ensuite rendu accessible en ligne non anonymisé. La Cour de cassation a confirmé tout d’abord que la mise en ligne de cet article doit être assimilée à « une nouvelle divulgation du passé judiciaire du défendeur portant atteinte à son droit à l’oubli ». Par ailleurs, elle a relevé que si l’article 10 de la CEDH confère aux organes de presse écrite le droit de mettre en ligne des archives et au public celui d’accéder à ces archives, ces droits ne sont pas absolus et qu’ils doivent, le cas échéant et dans certaines circonstances, céder le pas à d’autres droits également respectables. Aussi, la Haute juridiction a-t-elle considéré que l’arrêt attaqué a justifié léga-lement sa décision en considérant que « le maintien en ligne de l’article litigieux non anonymisé, de très nombreuses années après les faits qu’il relate, est de nature à […] causer un préjudice disproportionné [au médecin] par rapport aux avantages liés au respect strict de la liberté d’expression [de l’éditeur] » (13).

Cas particulier de déréférencement du lien
En France, on relève une ordonnance du tribunal de grande instance de Paris en date du 19 décembre 2014 qui a admis les « raisons prépondérantes et légitimes prévalant sur le droit à l’information » invoquées par la demanderesse (14). Le juge a considéré que la nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant – et l’absence de mention de la condamnation au casier judiciaire de l’intéressée justifiaient le déréférencement du lien renvoyant à un article de 2006. @

* Christiane Féral-Schuhl, présidente du Conseil national des
barreaux (CNB), est ancien bâtonnier du Barreau de Paris, et
auteure de « Cyberdroit », paru aux éditions Dalloz.

Consentement des internautes : cookies et autres traceurs sont dans le viseur de la Cnil, Europe oblige

Sont parues le 19 juillet au Journal Officiel les lignes directrices de la Cnil concernant les « opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) », en attendant ses recommandations pour début 2020, et le futur règlement « ePrivacy » européen.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

L’utilisation des cookies et a u t re s t raceurs est actuellement encadrée par la directive européenne dite « ePrivacy » (1), plusieurs fois modifiée, notamment par la directive de 2009 renforçant l’obligation d’information des internautes et leur consentement (2). Si cette dernière a vocation à être abrogée et remplacée par le règlement européen « ePrivacy » (3), celui-ci est toujours en discussion devant les instances européennes. Toutefois, l’entrée en vigueur en mai 2018 du RGPD – règlement général sur la protection des données du 27 avril 2016 – a permis un premier pas vers la modernisation des règles entourant l’utilisation de traceurs et cookies.

Le consentement doit être « éclairé »
Dans cette lignée, la Commission nationale de l’informatique et des libertés (Cnil) a d’ores et déjà anticipé les changements à venir, forçant ainsi les acteurs du secteur de la publicité en ligne à prévoir une évolution très prochaine de leurs pratiques. Pour se mettre en conformité avec le RGPD, l’ordonnance du 12 décembre 2018 a abrogé l’article 32-II de la loi relative à l’informatique, aux fichiers et aux libertés (la fameuse loi de 1978, modifiée depuis) au profit du nouvel article 82 remplaçant le terme « accord » par celui de « consentement » tenant ainsi compte de la nouvelle terminologie consacrée par le RGPD.
Résultat, vis-à-vis de l’internaute : « Ces accès [à des informations déjà stockées dans son équipement terminal] ou inscriptions [des informations dans cet équipement] ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle » (4). Le 21 mars 2019, l’avocat général de la Cour de justice de l’Union européenne (CJUE) présentait, dans l’affaire « Planet49 » des conclusions répondant à plusieurs questions préjudicielles posées par la cour fédérale de justice allemande sur l’encadrement du recours aux cookies et l’application du RGPD. L’avocat général rappelle notamment que pour être valide le consentement doit être « éclairé ». Cela implique que l’internaute doit être informé de la durée de fonctionnement des cookies, ainsi que de l’identité des tiers qui ont accès à ses informations par ce biais (5). Cette position est conforme aux recommandations du groupe de travail « Article 29 », devenu le Comité européen de la protection des données (CEPD), qui place le consentement au coeur du régime des données personnelles. Le CEPD précise que « la notion de consentement telle que présentée dans le projet de règlement “ePrivacy” reste liée à la notion de consentement au sens du RGPD » (6).
Prenant acte de ces évolutions et dans la continuité de son plan d’action 2019-2020 sur le ciblage publicitaire en ligne, publié en juin dernier, la Cnil a fait évoluer ses recommandations, anticipant elle aussi les évolutions du futur règlement « ePrivacy » qui remplacera la directive de 2002 et dont la dernière version du projet officiel a été publiée le 22 février dernier (7). L’autorité de contrôle française a ainsi adopté le 4 juillet dernier une délibération afin de remplacer les lignes directrices promulguées par la délibération de 2013 encadrant jusqu’à présent l’utilisation des cookies (8).
Elle montre sa volonté de faire du renforcement de l’encadrement du ciblage publicitaire une priorité et de mettre fin à des pratiques encore très répandues dans ce secteur. Ces nouvelles lignes directrices permettent ainsi d’apporter de premières explications sur l’application concrète du nouvel article 82 de la loi « Informatique et Libertés » (9).

Cookies « http », cookies « flash », etc.
Il ne s’agit que d’une première étape, puisque la Cnil a déjà annoncé qu’elle publierait d’autres recommandations sectorielles, notamment « au premier trimestre 2020 » une recommandation qui « précisera les modalités pratiques de recueil du consentement » (10), lesquelles feront suite à une consultation publique et une concertation avec les professionnels du secteur. « Des groupes de travail se tiendront au second semestre 2019 entre les services de la Cnil et chaque catégorie d’acteurs (éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing, représentants de la société civile), par l’intermédiaire de leurs organisations professionnelles représentatives » (11). La Cnil revoit sa position et renforce les règles applicables aux cookies et autres traceurs. Les nouvelles lignes directrices de 2019 apportent des changements majeurs par rapport à ses recommandations antérieures de 2013.

Révision et renforcement des règles
A titre préliminaire, l’autorité de contrôle prend soin de préciser que le champ d’application de cette délibération est très large, puisqu’elle vise tous types de terminaux – notamment, smartphones, ordinateurs, consoles de jeux – et porte non seulement sur (12) : les cookies dit « http » (« par lesquels ces actions sont le plus souvent réalisées ») mais également sur les cookies dit « flash » (« local shared objects », ou objets locaux partagés), le « local storage » (ou stockage local) mis en oeuvre au sein du HTML5, les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non) et les identifiants matériels (adresses MAC, numéros de série, …).
La Cnil réitère le principe selon lequel le consentement doit être manifesté par l’utilisateur « de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif » (13), conformément aux dispositions du RGPD (Article 7 concernant « les conditions applicables au consentement » du RGPD). L’autorité de contrôle française détaille les contours de ce principe par des illustrations. Ainsi, elle affirme sans ambiguïté que les « cookies walls », à savoir la pratique consistant à bloquer l’accès à un site Internet ou un service pour « qui ne consent à être suivi » est contraire à l’exigence d’un consentement libre.
De même, le consentement doit être spécifique, ce qui signifie que l’acceptation globale de conditions générales d’utilisation « ne peut être une modalité valable de recueil du consentement » qui doit être donné de manière distincte pour chaque finalité. Un simple renvoi vers des conditions générales d’utilisation ne saurait non plus suffire à répondre à l’exigence d’un consentement « éclairé » qui requiert qu’une information complète, visible, accessible et aisément compréhensible soit mise à disposition de l’utilisateur au moment du recueil de son consentement. Enfin, l’un des changements les plus contraignants pour les acteurs du secteur de la publicité en ligne reste la suppression de la pratique dite du « soft opt-in », consacrée par la Cnil en 2013, consistant à considérer que la poursuite de la navigation sur un site Internet ou une application mobile valait consentement. Le caractère « univoque » du consentement requis par le RGPD exige à présent que l’internaute procède à une action positive pour recueillir son accord. Il ne sera plus non plus possible de se référer aux paramètres du navigateur de l’internaute, puisque la Cnil considère, conformément à la jurisprudence du Conseil d’Etat (14) que les « nombreux réglages » mis à disposition par les navigateurs web ne « permettent pas d’assurer un niveau suffisant d’information préalable des personnes », ni de « distinguer les cookies en fonction de leurs finalités ».
L’ensemble des exigences ne visent, néanmoins, que les cookies et traceurs pour lesquels un consentement est requis. De fait, la Cnil a réaffirmé le principe d’exemption pour certains cookies, notamment ceux dédiés aux mesures d’audience ou ceux destinés à « permettre ou faciliter la communication par voie électronique » ou « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » (par exemple, les cookies d’identification).

Mais cette exception confirme la règle : continuer sa navigation ou scroller, autrement dit, faire défiler la page vers le bas de l’écran à l’aide de la molette d’une souris, d’un pavé tactile, mais également sur un écran tactile de téléphone portable ou de tablette à l’aide d’un doigt, n’est plus suffisant pour recueillir le consentement de l’internaute. Il faudra entreprendre les changements nécessaires pour assurer d’isoler le consentement de l’internaute et de rendre visibles les informations exigées. La preuve d’avoir recueilli, de manière conforme, le consentement de l’utilisateur, devra en outre être apportée et conservées par ses acteurs, lesquels devront pour ce faire mettre en place certainement de nouveaux outils, comme ceux d’historisation.

Délai accordé d’environ un an
Il est à noter que pour les opérateurs en conformité avec la délibération de 2013, la Cnil a concédé une période transitoire d’adaptation d’un an environ (six mois après la publication de la future recommandation prévue en 2020), laissant ainsi à ceux-ci le temps de mettre en oeuvre les mesures opérationnelles qui s’imposent. Mais l’autorité a déjà prévenu que « cette période d’adaptation n’empêchera pas la Cnil de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes ». @

Face aux entreprises et au secret des affaires, la liberté de la presse bat de l’aile devant les tribunaux

La liberté de la presse s’arrête-t-elle là où commence le secret des affaires et la confidentialité des procédures de conciliation ou de mandat ad hoc ? Les affaires
« Conforama » et « Consolis » rappellent la menace judiciaire qui pèse sur le droit d’informer. L’avenir de la démocratie est en jeu.

Fabrice Lorvo*, avocat associé, FTPA.

Deux décisions importantes ont été rendues en juin 2019, qui contribuent à la définition des limites de la liberté d’expression lorsqu’elle est confrontée aux dossiers économiques. Ces deux décisions concernent des révélations, faites par les sites de presse en ligne, sur la désignation d’un mandataire ad hoc dans l’intérêt de sociétés – d’un côté le groupe Conforama (1), de l’autre le groupe Consolis (2). Dans ces deux cas, c’est la responsabilité de l’organe de presse qui a été recherchée devant les tribunaux.

La presse non tenue à la confidentialité
Car selon l’article L611-15 du code du commerce, les procédures de mandat ad hoc et
de conciliation sont couvertes par la confidentialité (3). Il ne s’agit pas, ici, de contester la nécessité de protéger les droits et libertés des entreprises qui recourent à une mesure de prévention des difficultés. La confidentialité permet d’abord de favoriser le succès de la négociation en assurant aux créanciers ou partenaires que les efforts ou les sacrifices qu’ils vont consentir ne puissent servir de références ultérieures. La confidentialité permet aussi d’éviter que les difficultés de l’entreprise qui sollicite ces mesures ne soient aggravées par leur publicité (vis-à-vis des tiers, fournisseurs, clients et concurrents). Cependant, cette obligation de confidentialité pèse sur les personnes limitativement énumérées par le texte
(à savoir « toute personne qui est appelée à la procédure de conciliation ou à un mandat ad hoc ou qui, par ses fonctions, en a connaissance »). Il apparaît clairement que les organes de presse ne figurent pas sur la liste des personnes tenues à la confidentialité.
Si une des personnes énumérées par L611-15 astreints à la confidentialité viole son obligation légale pour informer la presse, cette dernière doit-elle s’autocensurer et ne pas diffuser l’information (puisqu’elle provient de la violation d’une disposition légale) ou doit-elle diffuser l’information au nom du droit à l’information du public ?
Dans l’affaire « Conforama », l’organe de presse – en l’occurrence Challenges – avait été condamné par le tribunal de commerce à retirer l’information de son site web et à ne plus évoquer l’affaire « sous astreinte de 10.000 euros par infraction constatée ». La cour d’appel de Paris a cassé ce jugement dans un arrêt (4) du 6 juin 2019. Elle a jugé que les difficultés économiques importantes (5) du groupe sud-africain Steinhoff et ses répercussions sur Conforama, qui se présente comme un acteur majeur de l’équipement de la maison en Europe et qui emploie 9.000 personnes en France, constituent sans conteste un sujet d’intérêt général tel que garantit par l’article 10 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (CSDHLF). Si cette décision constitue manifestement un progrès, force est de constater que les dossiers économiques continuent de bénéficier d’une protection dérogatoire qui remet en cause tant la jurisprudence de la Cour européenne des droits de l’homme (CEDH) que la conception traditionnelle de la liberté d’expression.
D’abord, la cour d’appel de Paris suit respectueusement la jurisprudence de la Cour de cassation (6), selon laquelle – au nom de l’effectivité du principe – la confidentialité pèse aussi sur la presse, attachant ainsi la confidentialité à l’information et non aux personnes visées par L611-15. De plus, probablement par timidité, la cour d’appel ne s’est pas contentée de constater que les informations diffusées sur Conforama contribuaient à l’information légitime du public sur un débat d’intérêt général. Elle n’a pas pu s’empêcher
de relativiser l’appréciation par plusieurs autres constats. La cour a relevé que la publication des informations a été faite au mode conditionnel. Si l’information avait été publiée de manière affirmative, la publication aurait-elle perdue son caractère d’intérêt général ?

Préjudice versus intérêt général
De même, la cour d’appel a noté que la publication faisait suite « à plusieurs autres articles de presse décrivant les difficultés financières importantes du groupe Steinhoff, maison mère du groupe Conforama, et de ce dernier ». Si la publication avait été un scoop, aurait-elle perdue son caractère d’intérêt général ? Ensuite, la cour a mentionné que le déficit de la maison-mère de Conforama avait eu pour cause « des irrégularités comptables ». Si tel n’avait pas été le cas, la publication aurait-elle perdu de son caractère d’intérêt général ? Enfin, quel est le besoin de faire référence à l’absence de démonstration du préjudice du plaignant ? Si le préjudice avait été démontré, la publication aurait-elle perdu son caractère d’intérêt général ? Et comment démontrer le préjudice si ce n’est en prouvant que la conciliation a échoué ? Mais l’échec de la conciliation (dont le succès n’est jamais garanti) peut-il réellement être imputable à la publication de l’information ?

Le risque des dommages et intérêts
L’unique critère qui doit être appliqué par un tribunal est de savoir si la publication contribue à la nécessité d’informer le public sur une question d’intérêt général sans avoir à ajouter des critères surabondants. Ce critère unique est déjà difficile à apprécier du fait de son absence de définition. De plus, l’arrêt rendu par la Cour de cassation (7) dans l’affaire « Consolis » rajoute de l’incertitude en appréciant la manière dont l’organe de presse évoque ledit sujet d’intérêt général. Mergermarket avait diffusé sur son site web Debtwire.com, spécialisé dans le suivi de l’endettement des entreprises et consultable par abonnement, des articles sur l’évolution d’une procédure de conciliation demandée par la société Consolis en exposant notamment les négociations engagées avec les créanciers des sociétés du groupe, citant des données chiffrées sur la situation financière des sociétés.
La Cour de cassation a reconnu que la question de la résistance des opérations d’achat avec effet de levier (LBO) à la crise et les difficultés que des sociétés ainsi financées peuvent connaître relevait d’un débat d’intérêt général. Cependant, elle a aussi considéré que l’information diffusée portait sur le contenu même des négociations en cours et leur avancée. De ce fait, les informations divulguées n’étaient plus justifiées par un débat sur des questions d’intérêt général et ne contribuaient pas à la nécessité d’en informer le public puisque ces informations intéressaient, non le public en général, mais les cocontractants
et partenaires de ces sociétés en recherche de protection. En conséquence, un organe de presse peut informer le public mais à la condition de se contenter d’informations générales. A l’inverse, une information détaillée peut retirer à un sujet sa qualification d’intérêt général. L’absence de définition d’un sujet d’intérêt général et sa possible remise en cause en fonction de la manière dont l’information a été traitée sont de nature à exposer la presse à des sanctions d’une gravité inconnue à ce jour. En effet, les organes de presse sont dorénavant sous la menace d’une sanction pouvant conduire à leur disparition pure et simple. C’est là une seconde particularité dont bénéficient les dossiers économiques. Jusqu’à ce jour, et pour tous les sujets, les organes de presse bénéficiaient d’une immunité totale en cas d’abus de la liberté d’expression. Certes, le directeur de publication ainsi que le journaliste pouvaient s’exposer en cas de délits de presse (essentiellement la diffamation ou l’injure) à une peine de prison ainsi qu’à une amende, mais un organe de presse n’était jamais condamné à des dommages et intérêts. La raison en était simple, vu l’importance de la liberté de la presse (8), un abus – s’il doit être sanctionné – ne doit pas conduire à la disparition économique du journal. C’est pour cela aussi que régulièrement, la jurisprudence fermait la porte à toute tentative d’engager la responsabilité d’un organe de presse en dehors de la loi de 1881 sur la liberté de la presse (9) et notamment sur le fondement de la responsabilité civile (10).
La Cour de cassation vient de mettre définitivement fin à cette immunité de fait dans l’affaire « Mergermarket » (11). Après avoir obtenu en référé le retrait de l’ensemble des articles contenant les informations confidentielles et l’interdiction de publier d’autres articles, Consolis a ensuite assigné Mergermarket en indemnisation des préjudices subis du fait de la publication des articles litigieux et a obtenu devant la cour d’appel la somme de 175.854 euros.
Dans son arrêt, la Cour de cassation soumet donc l’organe de presse en ligne au régime de droit commun et juge « qu’ayant retenu qu’en divulguant des informations qu’elle savait couvertes par la confidentialité sans que cette divulgation soit justifiée par la nécessité d’informer le public sur une question d’intérêt général, la société Mergermarket avait commis une faute à l’origine d’un préjudice, c’est dans l’exercice de son pouvoir souverain que la cour d’appel a évalué le montant de la réparation propre à indemniser ce préjudice ».

La presse indépendante menacée
Quand on connaît les difficultés financières des organes de presse indépendants, seuls les groupes de presse puissants vont pouvoir survivre à des condamnations financières de cette nature. L’évolution de la jurisprudence sur ces dossiers économiques n’est pas de bon augure au regard des dossiers à venir concernant le périmètre strict du secret des affaires. C’est probablement lorsque la presse indépendante aura disparu qu’on se rendra compte des effets bénéfiques qu’elle avait sur notre démocratie, mais une fois de plus, il sera probablement trop tard. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.