Ce que prévoit le projet européen MediaForEurope de l’italien Mediaset, contesté par Vivendi

Les milliardaires Vincent Bolloré et Silvio Berlusconi sont à couteaux tirés, le premier empêchant le second de créer la nouvelle holding MediaForEurope (MFE) destinée à lancer une plateforme vidéo OTT pour contrer Netflix, Amazon Prime Video ou encore Disney+ en Europe.

(Depuis la publication de cet article dans Edition Multimédi@ n°226, le tribunal de Milan a rejeté le 3 février le recours de Vivendi qui fait appel. Au tribunal d’Amsterdam cette fois, une audience est prévue le 10 février)

Depuis le revirement de Vivendi durant l’été 2016 sur un « contrat de partenariat stratégique » signé le 8 avril de la même année avec Mediaset, selon lequel le groupe français acquerrait 3,5 % du capital du groupe italien et 100 % de celui de Mediaset Premium (bouquet italien de chaînes payantes), cédant en échange 3,5 % de son propre capital, rien ne va plus entre les deux milliardaires Vincent Bolloré (photo de gauche) et Silvio Berlusconi (photo de droite), propriétaires de respectivement Vivendi et Mediaset. Et cela fait trois ans et demi que ce conflit s’éternise devant les tribunaux, exacerbé par la décision unilatérale de Vivendi de lancer en décembre 2016 une campagne d’acquisition hostile d’actions de Mediaset : alors déjà actionnaire minoritaire de Mediaset, le groupe de Vincent Bolloré est devenu très rapidement le deuxième actionnaire à hauteur de 28,8 % du capital de Mediaset, soit près de 30 % des droits de vote.

Vivendi à l’origine des hostilités il y a plus de trois ans
Bien que qualifiée, cette participation minoritaire ne permet pas à Vivendi de contrôler Mediaset qui est restée dans le giron du groupe Fininvest appartenant à Silvio Berlusconi (39,53 % du capital et 41,09 % des droits de vote). Dernier épisode en date de la énième saison de cette mauvaise série juridico-médiatique : le 13 janvier, Mediaset a fait savoir que Vivendi a de nouveau porté plainte aux Pays-Bas contre son projet de holding européenne MediaForEurope (MFE). Cette nouvelle entité, qui sera basée à Amsterdam et cotée en Bourse en Italie et en Espagne, a été validée le 4 septembre 2019 lors d’une assemblée générale de Mediaset, ses actionnaires en ayant aussi approuvé les modalités le 10 janvier dernier. MFE chapeautera les activités italiennes et espagnoles de Mediaset, tout en détenant la participation de 15,1 % héritée de Mediaset (1) dans le groupe audiovisuel allemand ProSiebenSat.1 Media. Ce dernier est le premier partenaire européen de MFE pour notamment développer la future plateforme vidéo OTT (2), surnommée pour l’instant Continuer la lecture

A la poursuite du droit à l’oubli et d’un équilibre par rapport aux autres droits fondamentaux

Le droit à l’oubli sur Internet – dont le droit au déréférencement sur les moteurs de recherche – n’est pas un droit absolu. Il s’arrête là où commencent d’autres droits fondamentaux comme la liberté d’informer – selon le principe de proportionnalité. Mais cet équilibre est à géométrie variable.

Fabrice Lorvo*, avocat associé, FTPA.

L’oubli est une préoccupation récente aux racines millénaires. C’est d’abord un concept auquel notre civilisation est rompue depuis le code de Hammurabi (1). Cependant, l’effectivité de l’oubli a été profondément remise en cause par la révolution numérique car la donnée devient aujourd’hui indéfiniment apparente sur les sites web et immédiatement accessible par les moteurs de recherche. Dès lors, le législateur comme le juge œuvrent pour adapter un droit à l’oubli (2) à l’outil numérique.

Conditions du droit au déréférencement
Deux arrêts ont été rendus le 24 septembre 2019 par la Cour de justice de l’Union européenne (CJUE) qui contribuent à en définir les modalités. Nous nous intéresserons à celui (3) qui apporte d’importantes précisions sur les conditions dans lesquelles une personne peut exercer son droit au déréférencement. Ce droit permet à une personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite avec son nom et son prénom lorsque ces résultats renvoient vers des pages contenant des informations sensibles la concernant (par exemple, sa religion, ses opinions politiques ou l’existence d’une procédure pénale). Cette suppression concerne uniquement la page de résultats et ne signifie donc pas l’effacement des informations sur le site web source. Les informations continuent d’exister, mais il est plus difficile et long de les retrouver.
Au regard des textes successivement applicables (4), et des enseignements de la jurisprudence « Google Spain » (5) de 2014, la CJUE apporte les précisions suivantes :

Les interdictions et les restrictions au traitement de certaines données, comme les exceptions prévues par les textes, s’appliquent à l’exploitant d’un moteur de recherche à l’occasion de la vérification qu’il doit opérer à la suite d’une demande de déréférencement. Le rôle du moteur de recherche est décisif dans la mesure où, techniquement, il permet de trouver immédiatement, dans l’océan des données disponibles sur Internet, toutes les informations sur une personne dénommée, et, en les regroupant, de constituer ainsi un profil. La cour rappelle que l’exploitant d’un moteur de recherche n’est pas responsable des données existantes, mais uniquement de leur référencement et de leur affichage dans une page de résultats suite à une requête nominative. Cet exploitant doit respecter la législation sur le traitement des données comme les éditeurs de sites web. Tout autre interprétation constituerait « une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » qui sont garantis par les textes.

L’exploitant d’un moteur de recherche a l’obligation de faire droit à la demande de la personne concernée… sauf si des exceptions (prévues par les textes) s’appliquent. La CJUE rappelle que les Etats membres doivent garantir aux personnes concernées le droit d’obtenir du responsable de traitement l’effacement des données dont le traitement n’est pas conforme aux textes. De même, en cas de demande de déréférencement, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, des liens vers des pages web, publiées par des tiers et contenant des informations sensibles relatives à cette personne, même si lesdites informations ne sont pas effacées préalablement ou simultanément de ces pages web, et même lorsque leur publication en elle-même sur lesdites pages est licite. Enfin, la cour rappelle que le consentement de la personne au traitement de ce type d’information est nécessaire et qu’il n’existe plus à partir du moment où ladite personne demande le déférencement. Il n’est donc pas nécessaire de prouver que le référencement cause un préjudice.

Droit absolu et principe de proportionnalité
Ce régime extrêmement protecteur, eu égard à l’importance de l’impact d’une telle publication pour l’individu, connaît néanmoins une exception de taille. En effet, l’ingérence dans les droits fondamentaux d’un individu peut cependant être justifiée par l’intérêt prépondérant du public à avoir accès à l’information (6) en question. Le droit au déréférencement des données à caractère personnel n’est donc pas un droit absolu, il doit être systématiquement comparé avec d’autres droits fondamentaux conformément au principe de proportionnalité. En conséquence, le droit à l’oubli de la personne concernée est exclu lorsqu’il est considéré que le traitement desdites données est nécessaire à la liberté d’information. Le droit à la liberté d’information doit répondre à des objectifs d’intérêt général reconnu par l’Union européenne ou, au besoin, de protection des droits et des libertés d’autrui.

Droits fondamentaux et liberté d’informer
Lorsqu’il est saisi d’une demande de déréférencement, l’exploitant d’un moteur de recherche doit donc mettre en balance, d’une part, les droits fondamentaux de la personne concernée et, d’autre part, la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche. D’après la CJUE, si les droits de la personne concernée prévalent, en règle générale, sur la liberté d’information des internautes, cet équilibre peut toutefois dépendre de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que l’intérêt du public à disposer de cette information. Or, cet intérêt peut varier notamment en fonction du rôle joué par cette personne dans la vie publique, comme l’illustre la jurisprudence « Google Spain ».

Enfin, la CJUE aborde la question cruciale de la publication relative à une procédure judiciaire, notamment quand ces informations sont devenues obsolètes. Il s’agit des informations concernant une enquête, une mise en examen ou un procès et, le cas échéant, de la condamnation qui en a résulté. La cour rappelle que la publication de ces données est soumise à des restrictions particulières (7) et qu’elle peut être licite lorsqu’elle est divulguée au public par les autorités publiques. Cependant, un traitement initialement licite de données exactes peut devenir avec le temps illicite, notamment lorsque ces données apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes, ou sont excessives au regard des finalités du traitement ou du temps qui s’est écoulé. L’exploitant d’un moteur de recherche doit encore vérifier, au jour de la demande de déréférencement, si l’inclusion du lien dans le résultat est nécessaire à l’exercice du droit à la liberté d’information des internautes potentiellement intéressés par l’accès à cette page web au moyen d’une telle recherche. Dans la recherche de ce juste équilibre entre le droit au respect de la vie privée des personnes, et notamment la liberté d’information du public, il doit être tenu compte du rôle essentiel que la presse joue dans une société démocratique et qui inclut la rédaction de comptes rendus et de commentaires sur les procédures judiciaires, ainsi que le droit pour le public de recevoir ce type d’information. En effet, selon la jurisprudence (8), le public a un intérêt non seulement à être informé sur un événement d’actualité, mais aussi à pouvoir faire des recherches sur des événements passés, l’étendue de l’intérêt du public quant aux procédures pénales étant toutefois variable et pouvant évoluer au cours du temps en fonction, notamment, des circonstances de l’affaire : notamment « la nature et la gravité de l’infraction en question, le déroulement et l’issue de ladite procédure, le temps écoulé, le rôle joué par cette personne dans la vie publique et son comportement dans le passé, l’intérêt du public à ce jour, le contenu et la forme de la publication ainsi que les répercussions de celle-ci pour ladite personne ».

Outre l’actualité ou le passé définitif, une difficulté demeure pour les informations obsolètes ou partielles. Par exemple, qu’en est-il pour une mise en examen annoncée sur Internet qui a aboutie à un non-lieu ? Ou pour une décision de condamnation frappée d’appel ? L’apport nouveau et essentiel de cet arrêt du 24 septembre 2019 est que la CJUE considère que même si la liberté d’information prévaut, l’exploitant est en tout état de cause tenu – au plus tard à l’occasion de la demande de déréférencement – d’aménager la liste de résultats, de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation judiciaire actuelle. Ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste. Il s’agit là d’une précision essentielle, en théorie, mais qui peut s’avérer complètement inefficace en pratique. Pour apparaître dans les résultats, ces pages (sur la situation judiciaire actuelle) doivent… exister. Que se passe-t-il si des pages web ne comportent pas d’informations sur la suite de la procédure ? Souvent, la presse s’intéresse plus aux mises en examen qu’aux cas de nonlieu. La personne concernée devra-t-elle publier elle-même des pages web sur sa situation judiciaire actuelle ? Mais dans l’esprit du public, quelle force aura cette preuve pro domo (9) ? Devra-t-elle avoir recours à une agence de communication pour ce faire ? Enfin, les délais de traitement des demandes de référencement sont très longs, d’abord pour les moteurs de recherche puis au niveau des autorités de contrôle (la Cnil en France), et, pendant ce temps-là, les résultats de la recherche demeurent affichés ; le mal est fait. Avoir raison trop tard, c’est toujours avoir tort dans l’esprit du public.

Renverser la charge de la preuve ?
Dans ces conditions, pour ce type d’information d’une extrême sensibilité et, au moins, pour les personnes qui ne recherchent pas les suffrages du public, ne conviendrait-il pas de renverser la charge de la preuve ? D’imposer que l’exploitant du moteur de recherche ait l’obligation, à première demande, de déréférencer ces données ? Et s’il considère que la balance penche dans l’intérêt du public, l’exploitant devra saisir l’autorité de contrôle puis, en cas de refus, les tribunaux pour demander l’autorisation de re-référencer le lien. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

La loi Hadopi – dont fut rapporteur l’actuel ministre de la Culture, Franck Riester – fête ses dix ans

Cela fait une décennie que la loi Hadopi du 12 juin 2009 a été promulguée – mais sans son volet pénal, censuré par le Conseil constitutionnel, qui sera rectifié et promulgué quatre mois plus tard. Franck Riester en fut le rapporteur à l’Assemblée nationale. Jamais une loi et une autorité n’auront été autant encensées que maudites.

Alors que le conseiller d’Etat Jean-Yves Ollier doit rendre au ministre de la Culture Franck Riester (photo), qui l’a missionné, son rapport de réflexion sur « l’organisation de la régulation » – fusion Hadopi-CSA ? – dans la perspective de la future loi sur l’audiovisuel, la Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) fête ses dix ans. Car il y a en effet une décennie que la loi du 12 juin 2009 « favorisant la diffusion et la protection de la création sur Internet » a porté cette autorité publique sur les fonts baptismaux. Cette loi, dite « Création et Internet » – ou loi « Hadopi » – a donc modifié le code de la propriété intellectuelle (CPI) pour remplacer l’ARMT (1) par l’actuelle Hadopi. Car, face à la montée du piratage sur Internet boosté par les réseaux de partage décentralisés peer-to-peer, le président de la République de l’époque – Nicolas Sarkozy – rêvait d’instaurer des radars automatiques sur Internet en s’inspirant des radars routiers qu’il avait lui-même décidé lorsqu’il était ministre l’Intérieur. Autant ces derniers, installés au nom de la sécurité routière, n’ont jamais fait l’objet d’aucun débat parlementaire (2), autant le dispositif d’infraction dans la lutte contre le piratage sur Internet a âprement été discuté au Parlement.

La tentation de Sarkozy pour des radars du Net
Comme la loi dite DADVSI (3) de 2006 ne prévoyait pas de sanction en cas de piratage, Nicolas Sarkozy, tout juste élu président de la République en mai 2007, et sa ministre de la Culture et de la Communication de l’époque, Christine Albanel, ont entrepris d’y remédier, poussés par les industries culturelles – au premier rang desquelles la musique. C’est ainsi qu’ils ont confié dès juillet 2007 à Denis Olivennes, alors PDG
de la Fnac, une « mission de lutte contre le téléchargement illicite et le développement des offres légales d’œuvres musicales, audiovisuelles et cinématographiques ». Quatre mois et quatre-vingts auditions plus tard, son rapport (4) fut remis à Nicolas Sarkozy et aboutira aux accords dits « Olivennes », « pour le développement et la protection des œuvres et des programmes culturels sur les nouveaux réseaux », appelés aussi
« accords de l’Elysée » car signés justement au Château en présence du chef de l’Etat le 23 novembre 2007.

La censure du Conseil constitutionnel
Les fournisseurs d’accès Internet (FAI) – à savoir France Télécom (devenu Orange), Iliad (maison mère de Free), Neuf Cegetel et Numéricâble (devenus SFR, aujourd’hui groupe Altice), etc. – s’étaient alors engagés auprès des ayants droit et des pouvoirs publics à « expériment[er] des technologies de filtrage des réseaux disponibles (…) et
à les déployer si les résultats s’avèr[ai]ent probants et la généralisation techniquement et financièrement réaliste » (5). Quant aux plateformes d’hébergement et de partage de contenus sur Internet, autrement dit les Google, YouTube et autres Dailymotion, ils ont promis de « généraliser à court terme les techniques efficaces de reconnaissance de contenus et de filtrage » (par empreinte numérique). Très réticents à généraliser le filtrage sur leur réseau, ce qu’exigeaient d’eux les industries culturelles, les FAI feront tout pour ne pas y donner suite. Et les plateformes numériques, elles, rappelleront que le filtrage généralisé contrevient aux directives européennes « E-commerce » de 2000 et « DADVSI » de 2001.
Nicolas Sarkozy, lui, voulait non seulement des « radars » partout sur le Net (6), mais aussi taxer les FAI pour compenser la fin de la publicité sur la télévision publique. Cela faisait beaucoup ! Le spectre du filtrage envenimera les débats au Parlement lors des premiers pas du projet de loi « Olivennes » (encore lui), dont l’arbitre sera in fine le président de la République lui-même. Quant au député (UMP puis LR) Franck Riester, artisan et farouche défenseur de cette future loi controversée « favorisant la diffusion
et la protection de la création sur Internet », il en sera nommé rapporteur à l’Assemblée nationale. Les joutes parlementaires dureront du dépôt du texte le 18 juin 2008 jusqu’à sa version finale du 12 juin 2009, après censure du Conseil constitutionnel.
La loi renvoie les expérimentations de « reconnaissance des contenus et de filtrage »
à leur évaluation par la haute autorité nouvellement instituée par cette loi « Hadopi ». La censure constitutionnelle porta, elle, sur le volet pénal adopté le 13 mai. Le texte prévoyait alors que les sanctions pour piratage – mécanismes d’avertissement et de sanction administrative pouvant aller jusqu’à la suspension de l’accès à Internet pendant une durée d’un mois à trois mois – devaient être prononcées non pas par l’autorité judiciaire (le juge) mais par la seule Hadopi et son bras armé la commission de protection des droits (CPD) – dont Franck Riester sera membre de fin 2009 à fin 2015. Dans leur décision du 10 juin 2019, les sages du Palais-Royal ont reproché au législateur d’enfreindre la Déclaration des droits de l’homme et du citoyen de 1789, laquelle a gravé dans le marbre « la libre communication des pensées et des opinions » (article 11), et de « confier de tels pouvoirs (de sanctions) à une autorité administrative (qui n’est pas une juridiction) dans le but de protéger les droits des titulaires du droit d’auteur et de droits voisins » (7). Résultat : le Parlement a dû non seulement amender sa loi « Hadopi 1 » (8), d’où sa date du 12 juin 2009, mais en plus adopter une loi
« Hadopi 2 » (9) datée du 29 octobre de la même année instaurant « la protection pénale de la propriété littéraire et artistique sur Internet ». Franck Riester est là aussi rapporteur de ce nouveau volet pénal. Cette fois, l’Hadopi ne se voit plus confier de pouvoir de sanction mais une « réponse graduée » qui consiste à envoyer aux abonnés soupçonnés de piratage sur Internet jusqu’à trois avertissements pour « négligence caractérisée », à savoir pour manquement à l’obligation faite à tout abonné auprès d’un FAI de « veiller à ce que cet accès [à Internet] ne fasse pas l’objet d’une utilisation à des fins [de piratage] ».
L’abonné qui n’aurait pas assuré la « sécurisation de son accès à Internet » est donc condamnés par le juge pénal à des amendes pouvant aller jusqu’à 1.500 euros, voire
à la suspension de son accès à Internet pour une durée maximale d’un mois (au lieu
de deux mois à un an initialement prévu). Cette coupure de l’accès, décriée, sera finalement supprimée par décret du 9 juillet 2013 à l’initiative d’Aurélie Filippetti, farouche opposante à la loi « Hadopi » devenue ministre de la Culture et de la Communication, et de la ministre de la Justice, Christiane Taubira. La fameuse contravention de cinquième classe, dite de « négligence caractérisée », fut officiellement introduite dans le CPI par un décret d’application daté 25 juin 2010.
C’est donc avec retard (10) que l’Hadopi – pourtant installée depuis le début de cette année-là – mettra en route sa « réponse graduée » avec l’aide de la toujours très discrète société nantaise TMG (11) (*) (**).

In fine, 243 condamnations depuis 2010
Les envois d’avertissements ont commencé en septembre 2010. Depuis, l’Hadopi
a expédié plus de 11,1 millions de premiers e-mails (cumul au 31 mars 2019), suivis
de plus de 1 million de deuxième avertissement, et a transmis 3.795 dossiers à
la Justice, dont 1.318 ont donné lieu à une suite pénale – pour 243 condamnations (12). Tout ça pour ça, diront certains. Il faut dire qu’en une décennie, les usages se sont déplacés des réseaux peer-to-peer – où l’Hadopi est compétente – vers le streaming qui échappe encore à ses prérogatives. @

Charles de Laubier

Alors que son fondateur Julian Assange est victime d’un harcèlement judiciaire, Wikileaks fait de la résistance

L’Australien Julian Assange, fondateur de Wikileaks, n’aura jamais autant défrayé la chronique depuis son arrestation le 11 avril à l’ambassade d’Equateur à Londres où il était réfugié depuis sept ans. Il est accusé de « piratage informatique » par les Etats-Unis qui demandent son extradition. Mais rien n’arrêtera Wikileaks.

Son fondateur Julian Assange (photo) aura beau être accusé, harcelé, arrêté, détenu arbitrairement, menacé d’extradition à la demande des Etats-Unis ou encore victime en Angleterre d’une condamnation « disproportionnée » (1) – comme l’a qualifiée le 3 mai, journée mondiale de la liberté de la presse, le comité des droits de l’homme de l’ONU –, cela n’empêchera pas le site « multi-national » d’informations Wikileaks de continuer à exister
et à révéler secrets, scandales, désinformations, corruptions ou compromissions. Créé en 2006 par l’Australien né Julian Hawkins (du nom de sa mère qui s’est ensuite remariée), le média indépendant le plus redouté des puissants de la planète continue à divulguer des données censées ne pas être rendues publiques – avec l’aide de lanceurs d’alertes préservés par l’anonymat et le chiffrement de leurs envois. « Wikileaks se spécialise dans l’analyse et la publication de grands ensembles de données de documents officiels censurés ou bien restreints concernant la guerre, l’espionnage et la corruption. Jusqu’à présent, plus de 10 millions de documents et d’analyses associées ont été publiés », indique Wikileaks sur son site web principal. Ses révélations ne cessent de déstabiliser et de provoquer des remous à travers le monde – surtout aux Etats-Unis.

« Wikileaks, j’adore Wikileaks ! » (Trump, en 2016)
Donald Trump, à qui l’on demandait le 12 avril dernier son avis sur l’arrestation la veille à Londres de Julian Assange, a dû botter en touche : « Je ne sais rien de Wikileaks, ce n’est pas mon affaire ». Alors que trois ans plus tôt, lors de la campagne présidentielle américaine, il s’était montré enthousiaste à la suite de la publication par Wikileaks – en juillet puis octobre 2016 – de plusieurs milliers de contenus d’e-mails embarrassants du Parti démocrate et surtout ceux du directeur de campagne d’Hillary Clinton : « Wikileaks, j’adore Wikileaks ! », s’était alors exclamé Donald Trump…
« Je suis juste un grand fan », avait-il ensuite tweeté en janvier 2017 une fois président des Etats-Unis. Jusqu’à ce que Wikileaks publie par la suite des documents compromettants pour la CIA, l’agence centrale de renseignements et d’opérations clandestines américaine, selon lesquels le Département de la Justice (DoJ) avait relancé secrètement une procédure contre Julian Assange pour « association de malfaiteur en vue de piratage informatique » – ce pourquoi le fondateur de Wikileaks a été inculpé en mars 2018 et fait maintenant l’objet d’une demande d’extradition afin d’être jugé aux Etats-Unis.

Caillou dans la chaussure de l’oncle Sam
La justice américaine l’accuse de conspiration en ayant aidé la soldat américano-britannique Chelsea Manning – ex-analyste informaticienne du renseignement militaire américain (3) – à obtenir un mot de passe de la Défense. Celui qui est toujours directeur de la publication (publisher) du site d’investigation le plus célèbre du monde n’est en revanche pas poursuit à ce stade pour publication de documents confidentiels ni pour espionnage. Pourtant, le directeur de la non moins célèbre Central Intelligence Agency – qui était alors Mike Pompeo, devenu il y a un an le 70e secrétaire d’Etat
des Etats-Unis d’Amérique (l’équivalent du ministre des Affaires étrangères) – s’était emporté en accusant publiquement Wikileaks d’être un « service de renseignement
non étatique hostile » !
Le média en ligne de Julian Assange s’était déjà mis à dos le pays de l’oncle Sam
en publiant à partir de juillet 2010 des centaines de milliers de documents militaires classés secret-défense de la guerre en Afghanistan, puis des « câbles » (télégrammes) diplomatiques américains compromettants sur les activités et les bavures de l’armée américaine lors de la guerre en Irak (4). A la suite de ces divulgations sans précédent, l’Australien s’était réfugié en 2012 à l’ambassade d’Equateur à Londres pour ne pas tomber dans les mains de la justice américaine – prête à tout pour incarcérer le journaliste, qui refuse d’être extradé vers la Suède, laquelle pourrait à son tour le remettre aux Etats-Unis. « L’enjeu pourrait être une question de vie ou de mort pour Monsieur Assange », a prévenu le 2 mai Kristinn Hrafnsson, le journaliste d’investigation islandais et rédacteur en chef de Wikileaks depuis septembre 2018, après en avoir été le porte-parole. Le 7 mai, Julian Assange (47 ans) a eu la visite en prison de l’actrice Pamela Anderson qui a appelé à lui « sauver la vie ».
Outre son bras de fer avec la plus grande puissance mondiale, le cybermilitant a maille à partir avec Google à qui il reproche sa duplicité. En 2018, Julian Assange a publié
« Google contre Wikileaks. L’histoire secrète de ma confrontation avec le président
de Google [Eric Schmidt, ancien PDG de Google qu’il vient de quitter en mai, ndlr] », publié aux éditions Ring. Le différend remonte à 2012, lorsque que le géant du Net a permis aux autorités américaines d’accéder aux courriers électroniques de Kristinn Hrafnsson et deux autres journalistes de Wikileaks. Et ce, à la suite de mandats émis cette année-là – dont Wikileaks a publié les copies –, mais « contestables » au regard du Privacy Protection Act américain qui protège les médias des intrusions judiciaires.
« Consternés », les trois journalistes avaient reproché en janvier 2015 à Google d’avoir tardé à les en avertir (fin décembre 2014 seulement). Si, par ailleurs, le site web de Wikileaks mentionne toujours ses médias et organisations partenaires de la première heure (5), tels que Le Monde, Libération, Mediapart (France), Der Spiegel (Allemagne), The Guardian (Grande-Bretagne), El País (Espagne), L’Espresso (Italie), The New York Times, Washington Post (Etats-Unis), ainsi que Reporters sans frontières (RSF), beaucoup ont pris leurs distances par la suite. Certains journaux ont reproché au lanceur d’alertes d’avoir rendu publics des documents bruts au risque de mettre en danger des « sources » dans des pays.
Certains de ses confrères de par le monde semblent avoir oublié que Wikileaks a reçu dès 2008 le « New Media Awards » de l’hebdomadaire britannique The Economist et en 2009 le « Media Awards » d’Amnesty International. Julian Assange, qui a été proposé en 2011 (par le député norvégien Snorre Valen) pour le Prix Nobel de la Paix (6), a été désigné personnalité de l’année 2010 par le magazine américain Time (7) et a reçu la même année du quotidien Le Monde le Prix du choix des lecteurs pour la personnalité de l’année. Parmi d’autres récompenses, le patron de Wikileaks a reçu en 2013 le
« Courage Award for the Arts » de la part de la Japonaise Yoko Ono (8), la femme de feu John Lennon, le guitariste des Beatles.
Aux yeux du grand public, Julian Assange reste une icône de la liberté d’informer et
le plus emblématique des lanceurs d’alertes – avec Edward Snowden, Hervé Falciani
et bien d’autres de plus en plus nombreux. La fréquentation du site web principal – wikileaks.org, aux multiples sites miroirs afin de déjouer les tentatives de neutralisation – dépasse les 2 millions de visites par mois, selon le trafic relevé par Similarweb, dont 30 % provenant d’abord des Etats-Unis, 10 % du Royaume-Unis et 5 % de France.

Financement par dons et produits dérivés
Le modèle économique de Wikileaks, site web édité par l’organisation à but non lucratif Sunshine Press Productions créée en 2010 en Islande, ne s’appuie ni sur la publicité
ni sur des abonnements. Ses sources de revenus proviennent de dons (https://lc.cx/Donate) : « Vos dons financent les projets Wikileaks, le personnel, les serveurs et l’infrastructure de protection ». Ce que l’on sait moins, c’est que Wikileaks fait du e-commerce de produits dérivés à sa marque média (t-shirts, stickers, polos, coques de smartphone, etc.) via le site web wikileaks.shop géré par la société Courageous Merchandise, basée au Canada. @

Charles de Laubier

Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».

Communauté d’intérêt et responsabilité
Cet avocat général (2) cherche à construire, en matière de protection des données personnelles comme en matière de propriété intellectuelle, un régime de responsabilité liée à l’insertion d’un lien hypertexte vers les services d’un tiers. En matière de propriété intellectuelle, il aura fallu 14 années de controverses avant de juger au niveau européen qu’un lien hypertexte peut être un acte de représentation d’une oeuvre nécessitant, pour celui qui intègre un lien au sein de son service, de recueillir l’autorisation du titulaire des droits attachés à l’oeuvre accessible via ce lien (3). En matière de protection des données personnelles, cette fois, quelle est la responsabilité pour l’éditeur d’un service en ligne résultant de l’insertion d’un lien hypertexte d’un tiers – en l’occurrence le bouton « J’aime » de Facebook – sur son site web, permettant à ce tiers de collecter des données personnelles des visiteurs du site web concerné ? Comme en matière de propriété intellectuelle, l’avocat général de la CJUE se demande si le critère décisif pour déclencher une telle responsabilité ne serait pas celui d’une communauté d’intérêts entre celui qui intègre le lien sur son site web et celui qui a conçu seul les fonctionnalités que ce lien déclenche. Dans cette affaire « Fashion ID » – du nom de la société allemande de vente en ligne de prêt-à-porter – il est établi que l’adresse IP et l’identifiant du logiciel de navigation du visiteur du site web de Fashion ID sont transmis à Facebook du fait de l’intégration d’un bouton « J’aime » sur ce site, même si le visiteur ne clique pas sur ce bouton « J’aime », et même s’il ne dispose pas d’un compte Facebook. La « Verbraucherzentrale NRW eV », une association allemande de protection des consommateurs a introduit une action en cessation à l’encontre de Fashion ID au motif que l’utilisation du bouton « J’aime » de Facebook sur ce site web était contraire aux lois allemandes sur la protection des données personnelles, lois transposant la directive européenne «Protection des données personnelles » de 1995. Puisque cette action ayant été introduite avant l’entrée en vigueur du RGPD (4), la CJUE rendra donc sa décision en application de cette directive de 1995 et des lois de transposition allemandes (5). L’association reproche ainsi à Fashion ID de n’avoir fourni aucune information à ses visiteurs sur l’existence d’une telle collecte par Facebook. Le régime de responsabilité entre Facebook et Fashion ID reste en suspens : est-elle conjointe, solidaire, ou distincte ? Pour obtenir une réponse fiable, l’association allemande a saisi la CJUE d’une question préjudicielle afin de savoir si Fashion ID peut être considéré comme « responsable du traitement » au sens de la directive de 1995, alors même qu’elle ne peut avoir elle-même aucune influence sur ce processus de traitement des données par Facebook ?
L’avocat général de la CJUE fait référence, dans ses conclusions, à l’arrêt
« Unabhängiges » (6) du 5 juin 2018 dont l’affaire serait similaire à celle de Fashion ID, au motif que : l’éditeur de site web intègre dans son site une fonctionnalité développée et mise à disposition par Facebook, permettant ainsi la collecte de données personnelles par Facebook, résultant de l’enregistrement par Facebook de cookies
sur les terminaux des visiteurs de sa page web. L’occasion de faire cette analogie ayant été trop belle, il en a conclu que le gestionnaire d’un site web qui y intègre un lien hypertexte installant le « plugiciel » (ou plugin en anglais) d’un tiers – en l’espèce,
le bouton « J’aime » de Facebook – permettant la collecte par ce tiers de données personnelles, devrait être considéré comme un « coresponsable » de cette collecte avec ledit tiers ayant conçu ce plugiciel.

« Unité de finalités et de moyens » : vague
Inventer des similitudes peut parfois tourner à la conversation de comptoir. L’avocat général a cherché à découvrir, coûte que coûte, « une identité de finalités et de
moyens » dans l’opération de collecte et de transfert des données personnelles pour que Facebook et Fashion ID soient jugés coresponsables. Selon lui, la détermination commune des moyens serait caractérisée par la décision prise par Fashion ID d’utiliser le plugiciel fourni par Facebook, outil permettant la collecte et la transmission des données personnelles à Facebook. Ainsi, tant Facebook que Fashion ID « paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données ».

Des conclusions dénuées de tout fondement
Par ailleurs, l’avocat général, a estimé que la finalité pour laquelle Fashion ID a intégré le bouton « J’aime » sur son site web serait d’améliorer la visibilité de ses produits par le biais du réseau social. S’il admet que cette finalité ne correspond pas à celle poursuivie par Facebook (à savoir le profilage des visiteurs à des fins de publicités ciblées), il affirme cependant que les deux parties « paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire ». Le critère retenu ici ne serait donc pas l’identité de la finalité poursuivie, mais « une unité de la finalité : commerciale et publicitaire », critère beaucoup plus large, vague et sujet à interprétation que le premier. La conclusion à laquelle parvient l’avocat général est dénuée de tout fondement juridique connu ou prévu par les textes en vigueur hier ou aujourd’hui. D’une part, ni la directive de 1995, ni le RGPD, ni la CJUE jusqu’à présent, ne se fondent sur une « identité de finalités » ou encore une « unité de finalités », mais bien sur la détermination commune de finalités par les deux responsables de traitement, c’est-à-dire une (ou plusieurs) finalité(s) déterminée(s) d’un commun accord.
D’autre part, la détermination conjointe de moyens ne fonde pas la décision prise par un éditeur de site web d’intégrer un plugiciel d’un tiers sur sa page web. Il serait, au contraire, grand temps d’admettre qu’un seul et même moyen de traitement de données, peut servir des finalités et des intérêts différents, voire divergents, déclenchant des responsabilités distinctes pour des traitements de données qui peuvent être étrangers l’un de l’autre ou propres à un acteur, et échappant à la connaissance, au contrôle ou au bénéfice d’un autre acteur. C’est au prix de cette distinction des intérêts et des finalités, qu’on peut réguler l’économie numérique en évitant de confondre David et Goliath et de rendre un éditeur européen de services coresponsable de l’activité d’un vendeur américain de profils publicitaires. Fashion ID
et Facebook ne sont pas coresponsables de traitement ; Fashion ID n’a pas déterminé conjointement avec Facebook les finalités et les moyens qu’aura Facebook de traiter des données. La pluralité de responsables de traitement n’implique pas forcément une responsabilité conjointe. Autrement dit, quand on est plusieurs, on ne forme pas qu’un. Selon la directive de 1995, un responsable de traitement est « la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (7). Cette définition a été reprise à l’identique dans le RGPD (8) : elle admet qu’il peut y avoir plusieurs coresponsables décidant conjointement de la finalité du traitement et des moyens à mettre en oeuvre pour la réaliser (9). S’il peut exister différents niveaux de responsabilité conjointe, pour tout ou partie d’un traitement de données, la question posée désormais à la CJUE est celle avant tout de savoir comment caractériser une telle responsabilité conjointe et non de la décréter par paresse lorsqu’on se trouve en présence de plusieurs acteurs autour d’un même moyen de traitement de données. Tant la directive de 1995 que le RGPD
de 2018 posent un critère repris par la CJUE, celui de la « détermination conjointe des finalités et des moyens » du traitement opéré par les personnes physiques ou morales. Or, l’avocat général ne reprend pas ce critère d’appréciation puisque, selon lui, pour qu’il y ait responsabilité conjointe, il est nécessaire que les deux opérateurs poursuivent une unité de finalité et non pas qu’ils déterminent conjointement la finalité de traitement. Or les finalités poursuivies par Fashion ID et par Facebook sont divergentes.
Il est faux d’affirmer en l’espèce que les deux parties auraient déterminé de façon commune la finalité de l’opération de traitement consistant en la collecte des données personnelles des visiteurs du site web de Fashion ID. En effet, Facebook n’est convenu de rien avec personne lorsqu’il a conçu son plugiciel lui permettant à lui – et à lui seul – de collecter les données de personnes visitant un site web tiers. Facebook n’a pas davantage discuté avec quiconque de sa stratégie « data », consistant à collecter et traiter des données à des fins de profilage et de ciblage publicitaire, y compris lorsque les personnes concernées ne se sont jamais inscrites sur Facebook. Fashion ID a simplement décidé, a posteriori, d’intégrer ce plugiciel dans sa page web afin de bénéficier de la diffusion qu’un bouton « J’aime » lui procure au sein des membres
de la communauté Facebook d’un de ses visiteurs, si ce dernier a un compte Facebook et s’il clique « J’aime ». La société Fashion ID n’a en aucun cas déterminé les moyens essentiels à la collecte par Facebook des données car elle n’a pas participé à la conception du plugiciel, de ses fonctionnalités, de ses finalités et de leur participation
à la stratégie « data » de Facebook.

Ce qu’en disent les « Cnil » européennes
Ainsi, Fashion ID et Facebook ne peuvent être qualifiés de responsables conjoints d’un tel traitement, non pas parce que ce serait une erreur d’appréciation discutable, mais parce que les régulateurs européens et le RGPD disent le contraire. Comme l’a relevé le G29 des « Cnil » européennes, « la coopération dans le traitement ne signifie pas qu’il y a forcément coresponsabilité. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble d’opération, doit être considéré uniquement comme un transfert de données entre des responsables distincts » (10). Il faudra être encore un peu patient avant d’avoir la position finale de
la CJUE, en espérant, d’ici là, que celle-ci ne se trompera pas de question ni de raisonnement. @