Abonnements payants de Facebook et Instagram en Europe : Meta se heurte aux exigences du RGPD

Pour Instagram ou Facebook sans publicités, il en coûte désormais aux Européens 9,99 euros par mois sur le Web et même 12,99 euros sur application mobile. C’est cher payé pour ne plus être ciblé dans sa vie privée. Et le consentement « libre » des utilisateurs exigé par le RGPD est-il respecté ?

(Cet article juridique a été publié dans EM@ n°312 du 18 décembre 2023. Le 11 janvier 2024, l’organisation Noyb a annoncé avoir déposé plainte contre Meta)

Par Vanessa Bouchara (photo), cabinet Bouchara Avocats

Cinq ans après l’entrée en vigueur du règlement général européen sur la protection des données (RGPD), l’entreprise américaine Meta Platforms a mis un place un système d’abonnement qui apparaît comme susceptible de rassurer les utilisateurs désireux d’échapper à la publicité, notamment ciblée. Pourtant, cet abonnement soulève un certain nombre d’interrogations sur la portée et l’effectivité de la protection des données personnelles en Europe. Pendant des années, Facebook affichait fièrement sur sa page d’accueil sa gratuité : « C’est gratuit (et ça le sera toujours) ». En 2019, la mention disparaissait dans le sillage des déclarations plus nuancées de son cofondateur Mark Zuckerberg qui, auditionné devant le Congrès américain, affirmait « qu’il y aurait toujours une version gratuite de Facebook ». Quatre ans plus tard, en novembre 2023, le groupe Meta propose, en parallèle d’une version gratuite, un abonnement payant pour ses services Instagram et Facebook, à 9,99 ou 12,99 euros, pour ses utilisateurs européens.

A la recherche d’une base légale adéquate
La mise en place de cet abonnement pourrait être une réponse aux résultats financiers décevants de Meta en 2022. En effet, le groupe de Menlo Park avait enregistré pour la première fois une baisse de son chiffre d’affaires (1). Or, il semblerait qu’il ne s’agisse pas d’une réponse strictement financière. En effet, il pourrait également s’agir de répondre au contexte normatif relatif aux géants du numérique, qui est en pleine ébullition à l’échelle européenne. Digital Markets Act (DMA), Digital Services Act (DSA), AI Act (AIA), futur Digital Networks Act (DNA), … En vigueur ou en discussion, ces nouveaux textes feraient presque oublier le RGPD, sa portée, et les sanctions infligées à ce titre à Meta, à hauteur d’environ 2,4 milliards d’euros à ce jour. La maison mère de Facebook et Instagram ne s’explique pas vraiment sur sa décision d’instaurer un abonnement, si ce n’est par un bandeau informatif à destination de ses utilisateurs européens, en évoquant un « changement de lois » le contraignant à proposer un Continuer la lecture

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

Conservation et accès aux données de connexion : le grand écart entre sécurité et libertés !

C’est un sujet à rebondissements multiples ! Entre textes et jurisprudence sur la conservation des données de connexion, opérateurs télécoms, hébergeurs et fournisseurs en ligne sont ballotés. Mais il y a une constante : pas de conservation généralisée et indifférenciée, et l’accès y est limité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral

Rappelons tout d’abord que les données de connexion désignent les informations techniques qui sont automatiquement engendrées par les communications effectuées via Internet ou par téléphonie. Il s’agit en quelque sorte des informations qui « enveloppent » un message, par exemple le nom et l’adresse IP d’un internaute, l’heure et la durée d’un appel téléphonique… Ce sont elles qui vont permettre de géolocaliser une conversation, ou de déterminer que telle personne échangeait à telle heure avec telle autre, ou encore qu’elle lui a transmis un message de tel volume.

Pas de conservation généralisée
On imagine donc assez aisément l’intérêt que peuvent avoir la collecte et l’utilisation de telles données et les atteintes que cela peut porter au droit fondamental à la confidentialité des communications. C’est précisément pour préserver le droit au respect de la vie privée que la conservation des données de connexion est interdite par principe. Les opérateurs télécoms, les fournisseurs d’accès à Internet ou encore les hébergeurs doivent donc effacer ou rendre anonymes les données relatives aux communications électroniques. Et ce, conformément à l’article 34-1 du code des postes et des communications électroniques (CPCE). Mais il existe des exceptions, envisagées immédiatement par le même texte, notamment pour prévenir les menaces contre la sécurité publique et la sauvegarde de la sécurité nationale, ainsi que pour lutter contre la criminalité et la délinquance grave. Aussi, les opérateurs de communications électroniques doivent ils conserver un certain temps – pour des raisons tenant à la défense d’intérêts publics ou privés – les données de connexion.
Ces obligations pèsent ainsi sur les fournisseurs d’accès – au cloud notamment – et d’hébergement mais aussi sur les entreprises qui fournissent un accès Wifi au public à partir d’une connexion Internet, en ce qu’elles sont assimilées à un intermédiaire technique. C’est ce que précise le même article 34-1 du CPCE : « Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions [sur la conservation des données de connexion, ndlr] ». Ces acteurs se trouvent donc au cœur d’un arsenal sécuritaire avec des obligations qui n’en finissent pas de fluctuer au gré des réponses apportées par le législateur et/ou par le juge, tant au niveau national qu’européen.
La Cour de justice de l’Union européenne (CJUE) rappelle, de manière constante (1) que la conservation généralisée et indifférenciée, à titre préventif, des données de connexion par les opérateurs est interdite. Cependant, elle admet qu’une restriction au droit à la vie privée est possible lorsqu’elle est justifiée par une nécessité urgente, pour une durée déterminée, et lorsqu’elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique. Autrement dit, la haute juridiction européenne autorise l’obligation de conservation « ciblée » des données, obligation qui peut être renouvelable en cas de persistance de la menace.
C’est également la position adoptée par la CJUE qui s’est exprimée sur le sujet à deux reprises en 2022 : en avril d’abord, concernant la localisation d’appel téléphonique obtenue sur le fondement d’une loi irlandaise (2); en septembre 2022 ensuite, cette fois pour des poursuites pénales de délits d’initiés engagées sur le fondement du décret français de lutte contre les infractions d’abus de marché (3). Dans les deux cas, la haute juridiction européenne confirme que les législations nationales des Etats membres ne peuvent aboutir à la conservation généralisée et indifférenciée des données de trafic. A défaut, elle les juge contraire au droit de l’Union européenne.

En France, 3 décrets : délais de 1 à 5 ans
En France, la mise en œuvre de ce dispositif a donné lieu à l’entrée en vigueur de différentes obligations, répondant à un certain nombre de cas limitativement énumérés et pour une durée qui varie d’un an à cinq ans selon les informations concernées. Ces obligations sont prévues par trois décrets pris en application de l’article L.34-1 du CPCE, encore lui. Leur périmètre est en constante évolution, à la recherche d’un équilibre entre objectifs sécuritaires et protection de la vie privée :
Le décret n°2021-1361 relatif aux catégories de données conservées par les opérateurs de communications électroniques.
Le décret n°2021-1362 relatif à la conservation des données permettant d’identifier toute personne ayant contribué à la création d’un contenu mis en ligne (4).
Le décret n°2022-1327 portant injonction, au regard de la menace grave et actuelle contre la sécurité? nationale, de conservation pour une dure?e d’un an de certaines catégories de données de connexion (5).

Cour de cassation : les arrêts de l’été 2022
Quant à nos juridictions nationales, elles se sont penchées plus spécifiquement sur la question des personnes habilitées à avoir accès à ces données. Le législateur français a prévu que seules l’autorité judiciaire et certaines administrations – par exemple, les services de renseignement – peuvent exiger la communication des données de connexion. Le Conseil constitutionnel, saisi d’une question prioritaire de constitutionnalité (QPC) à l’initiative d’associations de défense des droits et libertés sur Internet (6), a considéré que les agents des douanes étaient exclus de ce périmètre. Ils ne peuvent donc pas exiger la communication de ces données (7).
La Cour de cassation a, quant à elle, apporté quelques précisions complémentaires dans plusieurs arrêts rendus au cours de l’été 2022, en juillet (8). Elle considère que l’accès aux données de connexion doit se faire sous le contrôle effectif d’une juridiction. En conséquence, le juge d’instruction – qu’elle a qualifié de juridiction indépendante et non de partie – ou une autorité administrative indépendante peuvent ordonner et contrôler les procédures d’accès aux données de connexion. En revanche, le procureur de la République, parce qu’il est une autorité de poursuite et non une juridiction, ne dispose pas de cette possibilité. En conséquence, l’accès aux données de connexion, lorsqu’il est ordonné par un procureur, serait irrégulier. De quoi remettre en cause la régularité de beaucoup de procédures pénales !
La haute juridiction française, dans ces mêmes arrêts du mois de juillet, a rappelé que la personne mise en examen, victime d’un accès irrégulier, a la possibilité de contester la pertinence des preuves tirées de ses données. De quoi permettre au juge pénal d’annuler les actes ayant permis d’accéder aux données !
La Conférence nationale des procureurs de la République (CNPR) y voit un « obstacle majeur à l’identification des délinquants et criminels », et a dénoncé les « conséquences [de ces décisions] sur la capacité des magistrats du ministère public et des enquêteurs à exercer leurs missions de manifestation de la vérité et de protection des victimes ». En dépit de cette levée de boucliers, la chambre criminelle de la Cour de cassation a entériné fin octobre 2022 (9) son analyse. Elle confirme que le juge d’instruction, qui est une juridiction, doit contrôler le respect par les enquêteurs des modalités d’accès aux données de trafic et de localisation qu’il a autorisées. Or, dans l’affaire en question, le magistrat instructeur n’avait pas autorisé en des termes spécifiques de sa commission rogatoire les réquisitions litigieuses, et ce notamment parce qu’il n’avait pas précisé la durée et le périmètre de cette commission rogatoire. La Cour de cassation a donc jugé que des réquisitions adressées aux opérateurs télécoms par les enquêteurs devaient être annulées sous réserve qu’un grief soit établi par le requérant.
La haute juridiction a précisé, dans ce même arrêt, que la preuve de ce grief suppose la démonstration de trois éléments : l’accès a porté sur des données irrégulièrement conservées ; la finalité ayant motivé l’accès aux données doit être moins grave que celle ayant justifié leur conservation (hors hypothèse de la conservation rapide) ; l’accès a dépassé les limites de ce qui était strictement nécessaire.
Le sujet a pris une dimension politique, en écho aux magistrats du Parquet. Deux sénateurs (LR) ont considéré que ces décisions « [les] privent ainsi que les forces de police judiciaire d’un outil précieux dans l’identification des auteurs de crimes ou d’infractions graves ». Yves Bouloux (10) et Serge Babary (11) ont chacun saisi le gouvernement d’une question écrite (12) afin que ce dernier prenne en urgence les mesures nécessaires afin de permettre aux procureurs de la République d’exercer leurs missions. Serge Babary a même appelé à envisager une réforme institutionnelle afin de conférer aux magistrats du Parquet les garanties d’indépendance exigées par le droit de l’Union européenne.

Les défenseurs de la vie privée veillent
Mais la question est loin de faire consensus avec ceux qui dénoncent avec force les « velléités sécuritaires du gouvernement ». En première ligne de ces défenseurs de la vie privée, il y a notamment l’association La Quadrature du Net, qui salue comme autant de bonnes nouvelles les décisions qui diminuent l’obligation de conservation des données de connexion. Ce fut le cas notamment en février 2022 à la suite de la décision du Conseil constitutionnel qui avait censuré une partie de l’obligation de conservation généralisée et indifférenciée des données de connexion. (13) Si la lutte contre la criminalité légitime l’ingérence de l’Etat, reste donc toujours et encore à positionner le curseur à bon niveau pour ne pas porter atteinte à la vie privée et aux libertés individuelles. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris, est l’auteure
de « Cyberdroit » (Dalloz 2019-2020) et co-auteure
de « Cybersécurité, mode d’emploi » (PUF 2022).

RGPD : toute personne a un droit d’accès étendu à ses données personnelles, à deux limites près

La Cour de justice de l’Union européenne (CJUE) devrait suivre les conclusions de son avocat général sur l’interprétation étendue de l’article 15 du RGPD donnant droit aux individus l’accès à leurs données personnelles et à l’identité des destinataires de ces données. Sauf dans deux cas de figure.

D’après Giovanni Pitruzzella, avocat général à la Cour de justice de l’Union européenne (CJUE).

Giovanni Pitruzzella (photo), avocat général à la Cour de justice de l’Union européenne (CJUE), a présenté le 9 juin dernier ses conclusions dans une affaire opposant un citoyen autrichien dit « RW » et la poste autrichienne Österreichische Post (OP). Le litige commence en janvier 2019 lorsque le premier a demandé à la seconde d’accéder aux données à caractère personnel le concernant. Sa demande portait non seulement sur ses données personnelles conservées par l’OP, mais aussi celles communiquées à des tiers – afin d’être informé sur l’identité des destinataires. Et ce, en application de l’article 15 « Droit d’accès de la personne concernée » du RGPD, le règlement général européen sur la protection des données (1).

Le « ou » de la discorde
La poste autrichienne a répondu à RW en lui expliquant qu’elle utilise des données dans le cadre de son activité d’éditeur d’annuaires téléphoniques et qu’elle les propose à des partenaires commerciaux à des fins de marketing. L’OP a aussi renvoyé le requérant vers deux sites web d’information, l’un sur les finalités du traitement des données, l’autre sur les catégories générales de destinataires auxquels elle communique les données à caractère personnel (en l’occurrence à des partenaires commerciaux, parmi lesquels des annonceurs dans le secteur de la vente par correspondance et du commerce physique, des entreprises informatiques, des éditeurs d’annuaires téléphoniques et des associations telles que des organisations caritatives, des ONG ou des partis politiques). Pour autant, à aucun moment, l’OP n’a révélé à RW les destinataires spécifiques auxquels elle avait communiqué ses données.
L’intéressé a alors introduit un recours pour tenter de faire condamner la poste autrichienne à lui fournir davantage d’informations en application de l’article 15 du RGPD, concernant notamment d’éventuels transferts de ses données à caractère personnel à des tiers, ainsi que le ou les destinataires spécifiques auxquels ces données ont été communiquées. La demande de RW a ensuite été rejetée par les juridictions autrichiennes, tant en première instance qu’en appel, en invoquant le fait que l’article 15 du RGPD mentionne – parmi les huit types d’informations que doit fournir le responsable du traitement des données – « les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées ». C’est ce « ou » qui rend flou l’interprétation de cet article 15. Selon l’avocat général de la CJUE, « cette disposition accorde au responsable du traitement la possibilité de choisir de se limiter à communiquer à la personne concernée les catégories de destinataires, sans devoir indiquer de manière nominative les destinataires spécifiques auxquels ses données à caractère personnel sont transmises ».
Or, sur ce point, il y a débat justement, certains voyant au contraire dans ce « ou » la possibilité pour la personne concernée soit de se contenter d’obtenir du responsable du traitement des données les « catégories » de destinataires auxquels ses données personnelles ont été communiquées, soit d’aller plus loin en exigeant la liste spécifique de ces mêmes destinataires. C’est dans ce sens que le citoyen RW s’est pourvu en cassation en introduisant un nouveau recours. Du coup, la cour suprême d’Autriche – Oberster Gerichtshof – a eu un doute quant à l’interprétation de l’article 15 du RGPD qui a été retenue par les juridictions du fond, et a donc décidé de surseoir à statuer et de poser à la CJUE la question préjudicielle suivante : « L’article 15, paragraphe 1, sous c), du [RGPD] doit-il être interprété en ce sens que le droit d’accès [de la personne concernée] est limité à l’information sur les catégories de destinataires si les destinataires concrets ne sont pas encore connus lorsque les communications sont envisagées, mais qu’il doit impérativement s’étendre également à l’information sur les destinataires de ces informations lorsque des données ont déjà été communiquées ? ».

L’interprétation de l’article 15
Après avoir rappelé que l’article 15 du RGPD concrétise et précise le droit de toute personne d’accéder aux données la concernant, lequel droit est consacré par la charte des droits fondamentaux de l’Union européenne (2), l’avocat général Giovanni Pitruzzella s’est attardé plus précisément sur l’interprétation du « ou » (dans « les destinataires ou catégories de destinataires ») : « Le libellé de la disposition (…) ne permet pas (…), indique-t-il, d’apporter une réponse définitive à la question de savoir s’il convient de considérer que le droit d’accès de la personne concernée qui est prévu à cet article inclut nécessairement l’accès à des informations relatives aux destinataires précis de la communication de données à caractère personnel la concernant, ou si sa portée peut être limitée à l’accès à des informations relatives aux catégories de destinataires ». Et d’ajouter : « Cette disposition ne précise pas non plus explicitement s’il est possible de choisir entre les deux catégories d’informations possibles qui sont prévues (à savoir les “destinataires” ou les “catégories de destinataires“) ni à qui (c’est-à-dire à la personne concernée ou au responsable du traitement) il appartient, le cas échéant, de choisir à quel type d’informations l’accès doit être garanti ». Informations sur les destinataires Cependant, Giovanni Pitruzzella indique privilégier une interprétation de la disposition permettant à la personne concernée – « et donc pas au responsable du traitement comme l’ont jugé les deux juridictions nationales du fond dans la présente affaire » – de choisir entre les deux solutions alternatives qui y sont prévues. Et, dans cette logique, cet article prévoit le droit pour la personne concernée de demander, lorsque c’est possible, l’accès aux informations relatives aux destinataires spécifiques auxquels ses données à caractère personnel sont communiquées. Pour conforter cette interprétation, l’avocat général a rappelé le considérant 63 du RGPD prévoyant explicitement que la personne concernée doit « avoir le droit de connaître et de se faire communiquer […] l’identité des destinataires de ces données à caractère personnel ». Aussi, dans cette affaire « RW contre l’OP », ce considérant ne mentionne en aucune manière que ce droit d’accès de la personne concernée pourrait être limité, à la discrétion du responsable du traitement, aux seules catégories de destinataires.
La spécification des destinataires auxquels les données à caractère personnel de l’individu sont communiquées participe en outre à l’objectif du RGPD visant à la transparence des modalités de traitement des données à l’égard des personnes concernées, lesquelles peuvent prendre connaissance du traitement de leurs données et d’en vérifier la licéité : « L’exercice de ce droit d’accès doit, en particulier, permettre à la personne concernée de vérifier non seulement que les données la concernant sont exactes, mais également qu’elles ont été communiquées à des destinataires autorisés. Cela présuppose en principe que les indications fournies soient les plus précises possibles », relève Giovanni Pitruzzella. Le considérant 39 du RGPD consacre aussi le principe de transparence (3). De plus, ce droit d’accès permet à la personne concernée d’exercer le droit de rectification, le droit à l’effacement – le droit à l’oubli – et le droit à la limitation du traitement qui lui sont conférés par, respectivement, les articles 15, 17 et 18 du RGDP. Aussi, le responsable du traitement est tenu de notifier à chaque destinataire – auquel les données à caractère personnel ont été communiquées – toute rectification ou tout effacement de données à caractère personnel ou toute limitation du traitement effectué, « à moins qu’une telle communication se révèle impossible ou exige des efforts disproportionnés » (4).
Les destinataires ainsi informés sont dès lors obligés de procéder immédiatement à la rectification, à l’effacement ou à la limitation du traitement, pour autant qu’ils sont encore en train de traiter les données en question. En conséquence, afin de garantir l’effet utile des droits de la personne concernée à l’effacement, à la rectification ou à la limitation du traitement, celle-ci doit disposer – « en principe » – d’un droit à être informée de l’identité des destinataires spécifiques.
Néanmoins, l’avocat général de la CJUE voit « une limite » à cette extension du droit d’accès prévu par le RGPD, « dans au moins deux cas de figure » :
Dans le cas où il est matériellement impossible de fournir des informations sur les destinataires spécifiques, par exemple parce que ceux-ci ne sont pas encore effectivement connus. Aussi, dans ce cas, le droit d’accès de la personne concernée ne pourra porter que sur les « catégories » de destinataires.
L’exercice du droit d’accès de la personne concernée doivent être examinés au regard des principes de loyauté et de proportionnalité. Les demandes de la personne concernée ne doivent pas être manifestement infondées ou excessives et que, si tel est le cas, le responsable du traitement peut également refuser de donner suite à ces demandes.
Au-delà de ces deux cas de figure limitatifs, Giovanni Pitruzzella a rappelé qu’il convenait de « trouver un juste équilibre entre, d’un côté, l’intérêt de la personne à protéger sa vie privée (…) et, de l’autre, les obligations incombant au responsable du traitement ».

Deux limitations sont avancées
Conclusion de l’avocat général que la CJUE devrait suivre dans son prochain arrêt – comme elle le fait le plus souvent : « Il est possible de limiter ce droit d’accès à la seule indication des catégories de destinataires lorsqu’il est matériellement impossible d’identifier les destinataires spécifiques de la communication des données à caractère personnel de la personne concernée ou lorsque le responsable du traitement démontre que les demandes de la personne concernée sont manifestement infondées ou excessives » (5). @

Charles de Laubier

Plus personne ne parle de la société Trident Media Guard (TMG), 20 ans cette année, et pour cause

Spécialisée dans « la recherche de contenu et l’anti-piratage sur Internet », l’entreprise nantaise TMG – créée il y a 20 ans – avait défrayé la chronique après que les SACEM, SDRM, SCPP, SPPF et Alpa l’aient retenue en 2010 pour traquer les internautes « pirates » sur les réseaux peer-to-peer.

Cofondée en mars 2002 par Alain Guislain et Bastien Casalta sous le nom de Mediaguard, la société nantaise TMG – Trident Media Guard – compte depuis 2007 à son capital (1) et dans son conseil d’administration l’acteur-producteur Thierry Lhermitte. C’est elle qui fut choisie fin 2009 par quatre organisations des droits d’auteur de la musique et du cinéma (2) réunis en « consortium » : côté musique, la SACEM et sa SDRM, la SCPP et la SPPF ; côté audiovisuel, l’Alpa.

Des millions d’adresses IP identifiées
Ces organisations des ayants droits des industries de la musique et de l’audiovisuel piègent depuis lors les internautes en les amenant à télécharger sur les réseaux peer-to-peer des fichiers musicaux ou cinématographiques protégés par le droit d’auteur. Mais pas n’importe quel fichier. TMG, aujourd’hui présidé et dirigé par Alain Ghanimé (photo), s’infiltre en effet sur les réseaux peer-to-peer comme BitTorrent, eMule ou encore μTorrent pour y déposer des œuvres protégées (musiques ou films), mais leurs fichiers sont banalisés et surveillés à distance. Autrement dit, il s’agit de sorte de leurres ou d’appâts pour « flasher » les internautes pris en flagrant délit de piratage. C’est là que Trident Media Guard porte bien son nom : un trident – du latin tridens – est une fourche à trois pointes servant à harponner les poissons ! Une fois que l’un d’eux a « mordu », son adresse IP est transmise à l’Hadopi (désormais l’Arcom) dans le cadre du « traitement automatisé de données à caractère personnel » qui avait été officialisé le 7 mars 2010. Ce cadre permet à la commission de protection des droits (CPD) de collecter auprès de ces organismes représentant les ayants droit les pseudonymes et adresses IP – y compris le protocole peer-to-peer utilisé – de chaque abonné incriminé (3).
Bref, ce trident – attribut de nombreuses divinités marines… – évolue depuis une douzaine dans les eaux profondes du Net. Le pic du volume d’adresses IP « pirates » livrées à l’Hadopi par les ayants droit (SACEM/SDRM, SCPP, SPPF et Alpa) fut atteint en 2017 avec plus de 18,7 millions dont 15,6 millions adresses IP ont pu être identifiées. C’est d’ailleurs ce qui motive l’action en justice lancée en 2019 par La Quadrature du Net – avec la FFDN (4), la FDN (5) et Franciliens.net – pour demander l’abrogation du décret « Traitement automatisé de données à caractère personnel » (6). L’affaire suit son cours (7) devant la Cour de justice de l’Union européenne (CJUE). Pour les autres adresses IP qui n’ont pu être identifiées, la raison en est qu’il y a un recours croissant aux VPN (8), mais aussi à la pratique du partage d’adresses IP. Même les fournisseurs d’accès à Internet (FAI) recourent eux aussi au partage d’adresses IP entre plusieurs abonnés pour faire face à la pénurie des adresses IPv4 (9). Pour y remédier, l’Hadopi a obtenu qu’un décret pris fin 2021 – en vigueur depuis le 1er janvier 2022 – conserver et traiter le « port source » (« port associé ») que lui communiquent les ayants droit, au même titre que l’adresse IP, puis de le transmettre pour identification aux FAI (10).
Ainsi, alimentée par TMG, l’Hadopi a pu de 2010 à fin 2021 envoyer à des abonnés Internet plus de 13,3 millions d’emails d’avertissement (appelées « recommandations »), dont le deuxième envoi (soit 10 % de ce total) est doublé d’une lettre recommandée avec accusé de réception. Il leur est reproché des « téléchargements et mises à disposition illicites constatés à partir de leur connexion ». Et selon l’Hadopi, au moins sept personnes sur dix averties prennent des mesures pour éviter tout renouvellement d’actes de piratage (11). Concernant les autres, plus de 23.000 dossiers – toujours en cumulé sur plus de dix ans – ont fait l’objet d’un « constat de négligence caractérisée », envoyé par e-mail et courrier remis contre signature. Parmi eux, 8.476 dossiers ont été transmis à la justice (au parquet alias le procureur de la République) puis, selon les calculs de Edition Multimédi@, 3.148 suites judiciaires portées à la connaissance de l’Hadopi ont été engagées. Mais entre les relaxes, les classements sans suite, les rappels à la loi, les mesures alternatives aux poursuites et les régularisations sur demande du parquet, très peu de sanctions pénales sont in fine prononcées : quelques centaines tout au plus depuis douze ans.

Le P2P n’est pas mort ; il bouge encore
La pédagogie de l’Hadopi aurait largement triomphé sur le répressif. Si TMG continue à alimenter la réponse graduée en adresse IP, force est de constater que l’usage du peer-topeer s’est effondré au profit du streaming, du téléchargement direct et du live streaming. « Le nombre d’utilisateurs illicites des réseaux pair-à-pair est passé de 8,3 millions d’internautes par mois en 2009 à environ 3 millions par mois aujourd’hui, soit une baisse de plus de 60 % », s’est félicitée l’Hadopi dans son dernier rapport annuel. @

Charles de Laubier