Archives par mot-clé : CJUE

Comment YouTube et Uploaded ont encore échappé à leurs responsabilités dans deux affaires de piratage

Publié le par

L’article 17 controversé de la directive « Droit d’auteur et les droits voisins dans le marché unique numérique » n’a pu être appliqué ni à YouTube (Google) ni à Uploaded (Cyando). Et pour cause : l’Allemagne, où deux plaintes pour piratage avaient été déposées, n’a pas encore transposé le texte européen.

Par Rémy Fekete, avocat associé, et Eddy Attouche, juriste, Jones Day

On retient de Beaumarchais son Figaro. On sait moins qu’il fut l’inlassable défenseur des droits d’auteurs : « On dit au foyer des Théâtres qu’il n’est pas noble aux Auteurs de plaider pour le vil intérêt, eux qui se piquent de prétendre à la gloire. On a raison. La gloire est attrayante. Mais on oublie que pour en jouir seulement une année, la nature nous condamne à diner trois cent soixante-cinq fois ».

Deux affaires jointes sous l’ancien régime
Depuis près de 230 ans maintenant, sous l’impulsion de Pierre-Augustin Caron – alias Beaumarchais (1) – les droits d’auteurs sont reconnus comme un gagne-pain après la Révolution française. C’est désormais le combat des défenseurs des droits d’auteurs et des droits voisins qui s’opposent aux plateformes Internet. En cause, la difficulté d’identifier le responsable de la communication au public lorsqu’un internaute indélicat se permet de mettre en ligne sans autorisation une œuvre protégée. « Responsable mais pas coupable ». On entend cette défense depuis les origines de l’Internet, chaque fois qu’une plateforme numérique (2) est assignée en raison de comportements illicites qui s’y tiennent. Mais l’évolution en cours du droit européen pourrait rendre la vie moins facile aux géants du Net. Dans la nouvelle affaire qui occupe la Cour de justice de l’Union européenne (CJUE), Frank Peterson, un producteur de musique, poursuit YouTube et sa maison-mère Google, devant les juridictions allemandes, au sujet de la mise en ligne – par des utilisateurs et sans son autorisation, sur la plateforme YouTube – de plusieurs musiques sur lesquelles il allègue détenir des droits (3). Elsevier, un groupe d’édition néerlandais, poursuit également devant les juridictions allemandes Cyando, l’exploitant de la plateforme numérique Uploaded, du fait de la mise en ligne par des utilisateurs, sans son autorisation, de différents ouvrages dont l’éditeur détient les droits exclusifs (4). La Cour fédérale de justice en Allemagne a soumis plusieurs questions préjudicielles à la CJUE sur l’interprétation du droit de l’Union européenne applicable en la matière. La question principale consiste à savoir si les exploitants de plateformes en ligne, telles que YouTube et Uploaded, sont responsables de la mise en ligne illégale d’œuvres protégées, effectuée par les utilisateurs de ces plateformes. La CJUE n’a toujours pas rendu son arrêt dans les deux affaires jointes, mais les conclusions de l’avocat général, Henrik Saugmandsgaard Øe, ont été publiées en juillet (5). Celui-ci précise le cadre juridique applicable à ces deux litiges : il s’agit de deux directives européennes, respectivement « Ecommerce » de 2000 sur le commerce électronique et « DADVSI » de 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information. La directive « E-commerce » a été modifiée par la directive de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique (« DADVMUN »), qui a mis en place, pour les exploitants de plateformes en ligne, un nouveau régime de responsabilité spécifique pour les œuvres illégalement mises en ligne par les utilisateurs de ces plateformes numériques. Cependant, cette nouvelle directive « DADVMUN » ne s’applique pas aux présents litiges étant donné qu’elle n’a toujours pas été transposée en droit allemand. Elle doit l’être dans chaque droit national des Etats membres au plus tard le 7 juin 2021. Pour l’heure, ces deux affaires « allemandes » ne peuvent pas encore s’appuyer sur la directive «DADVMUN» (6). Les conclusions de l’avocat général, qui sont souvent suivies par les juges de la CJUE, ont porté sur la responsabilité directe et la responsabilité indirecte de YouTube et de Uploaded, ainsi que sur la demande d’injonction judiciaire à l’égard de ces deux exploitants de plateformes numérique.

Responsabilité directe
• La responsabilité directe des exploitants de plateformes en ligne est conditionnée par la réalisation d’actes de communication au public. La juridiction de renvoi demande si les exploitants de plateformes en ligne réalisent un acte de « communication au public », au sens de la directive « DADVSI » (7), lorsqu’un utilisateur de leurs plateformes y met en ligne une œuvre protégée. Pour répondre à cette question, l’avocat général opère une distinction fondamentale entre une simple fourniture d’installations, et la réalisation d’actes de communication au public (8). En réalité, selon lui, les exploitants de plateformes en ligne telles que YouTube et Uploaded jouent simplement un rôle d’intermédiaire par le biais de la fourniture d’installations aux utilisateurs de leurs plateformes. Ces exploitants ne décident pas, de leur propre chef, de communiquer des œuvres à un public. Ils suivent les instructions données par les utilisateurs de leurs services qui, eux, décident de transmettre des contenus déterminés et initient activement leur communication (9). Par conséquent, seuls les utilisateurs qui mettent en ligne des œuvres protégées réalisent un acte de communication au public proprement dite de ces œuvres. La responsabilité directe ou primaire susceptible de résulter de cette communication est alors supportée uniquement par ces utilisateurs. Il en résulte que YouTube et Uploaded ne sont, en principe, pas directement responsables de la mise en ligne illicite d’œuvres protégées, effectuée par les utilisateurs de leurs plateformes.

Responsabilité indirecte
• La responsabilité indirecte des exploitants de plateformes en ligne est conditionnée par la connaissance du caractère illicite des informations stockées. Malgré l’absence de leur responsabilité directe, YouTube et Uploaded peuvent être indirectement responsables dans la mesure où ils « facilitent la réalisation, par des tiers, d’actes illicites de communication au public » (10). Cependant, l’article 3, paragraphe 1, de la directive «DADVSI » ne régit pas cette question. L’avocat général indique à cet égard que c’est l’article 14, paragraphe 1, de la directive « E-commerce » qui a vocation à s’appliquer. Conformément à cet article, un exploitant d’une plateforme en ligne telle que YouTube ou Uploaded ne peut être indirectement tenu responsable pour des informations qu’il stocke à la demande de ses utilisateurs, à moins que cet exploitant, après avoir pris connaissance du caractère illicite de ces informations, ne les ait pas promptement retirées ou rendus inaccessibles. Autrement dit, l’absence de connaissance du caractère illicite des informations constitue une cause d’exonération de la responsabilité indirecte des exploitants de plateformes en ligne. En l’occurrence, Henrik Saugmandsgaard Øe considère que YouTube et Uploaded peuvent bénéficier, en ce qui concerne leur responsabilité indirecte ou secondaire, de l’exonération prévue à l’article 14, paragraphe 1, de la directive « E-commerce », étant donné qu’ils ne jouent pas un « rôle actif » de nature à leur conférer une connaissance du caractère illicite des informations en question (11). L’avocat général précise néanmoins que l’exonération prévue est, en toute hypothèse, limitée à la responsabilité susceptible de résulter des informations stockées, et ne s’étend pas aux autres aspects de l’activité de l’exploitant en question (12).
• La demande d’injonction judiciaire à l’égard des exploitants de plateformes en ligne : une éventuelle possibilité indépendante de la responsabilité. Enfin, l’avocat général propose à la CJUE de juger que, indépendamment de la question de la responsabilité, les titulaires de droits peuvent obtenir, en vertu du droit de l’Union européenne, des injonctions judiciaires à l’encontre des exploitants de plateformes en ligne, susceptibles de leur imposer des obligations (13). En effet, l’article 8, paragraphe 3, de la directive « DADVSI » oblige les États membres à veiller à ce que les titulaires de droits puissent demander qu’une ordonnance sur requête soit rendue à l’encontre des intermédiaires dont les services sont utilisés par un tiers pour porter atteinte à un droit d’auteur ou à un droit voisin. En ce sens, les titulaires de droits doivent pouvoir demander de telles injonctions dès lors qu’il est établi que des utilisateurs portent atteinte à leurs droits, via les services de YouTube et Uploaded, sans devoir attendre qu’il y ait eu récidive et sans avoir à démontrer un comportement fautif de l’intermédiaire (14). Henrik Saugmandsgaard Øe indique toutefois que les mesures prises à l’encontre de YouTube et Uploaded dans le cadre d’une injonction doivent être proportionnées. A ce titre, ces mesures doivent assurer un juste équilibre entre les différents droits et intérêts en jeu et ne doivent pas créer d’obstacles aux utilisations licites du service de ces exploitants.
Le délai de transposition de la directive « DADVMUN » expire le 7 juin 2021. Une fois applicable, cette nouvelle directive devrait durablement changer le régime de responsabilité des exploitants de plateformes en ligne telles que YouTube et Uploaded, notamment en ce qui s’agit des œuvres illégalement mises en ligne par les utilisateurs. Un fournisseur de services de partage de contenus en ligne sera considéré comme responsable d’un acte de communication au public lorsqu’il permettra au public l’accès à des œuvres protégées par le droit d’auteur, mises en ligne par ses utilisateurs (15). Un tel fournisseur devra lui-même obtenir une autorisation des titulaires de droits, en concluant un accord de licence, par exemple, pour les œuvres mises en ligne par ses utilisateurs (16). Ces nouvelles responsabilités prévues par la directive « DADVMUN » sont inscrites dans le fameux article 17 plus que jamais controversé, comme l’illustre la lettre d’organisations de la société civile adressée le 14 septembre (17) à la Commission européenne qui a esquissé cet été ses lignes directrices sur l’application de cet article 17 (18).
Sous le régime de la future directive, il est probable que l’avocat général de la CJUE aurait conclu différemment en tenant YouTube et Uploaded responsables des actes illicites de communication au public réalisés par l’intermédiaire de leurs plateformes, à défaut d’obtenir une autorisation des titulaires de droits. Cette fois ci sans plus trouver refuge dans l’exonération de responsabilité prévue par la directive « E-commerce ».

Fin des privilèges, fin des impunités
La Révolution française donna raison à Pierre-Augustin Caron de Beaumarchais en mettant un terme au privilège des acteurs de la Comédie-Française qui pouvaient librement jouer les pièces en ne reversant que des rémunérations minimes aux auteurs. C’est à la fiction du « tout gratuit » que la directive « DADVMUN » vient mettre un terme, en appelant justement à la responsabilisation des citoyens et en sonnant la fin de l’impunité des plateformes qui doivent désormais se doter de mesures techniques afin d’identifier les contenus protégés mis en ligne. @

Zero-rating ou « trafic gratuit » : les opérateurs mobiles n’ont pas le droit de favoriser des applications

Publié le par

Le « zero-rating » pratiqué depuis des années par certains opérateurs mobiles, pour discriminer les applications, est illégal. C’est ce que proclame la justice européenne dans un arrêt du 15 septembre 2020, qui invalide ce « tarif nul » contraire à la neutralité du Net.

Le groupe de Mark Zuckerberg profite pleinement du zero-rating pour ses applications mobile Facebook, Messenger, Instagram et WhatsApp. Mais aussi Twitter et Viber dans la catégorie réseaux sociaux et messageries instantanées. Les applications de streaming sur smartphone en raffolent aussi, parmi lesquelles Apple Music, Deezer, Spotify ou encore Tidal. Tous ces acteurs du Net bénéficient d’un traitement de faveur dans le cadre d’un accord de « partenariat » avec certains opérateurs mobiles dans le monde.

La pratique « trafic gratuit » a dix ans
Le problème est que ces contenus « partenaires » ne sont pas décomptés du forfait de données mobile proposés par les opérateurs mobiles concernés, tels que l’opérateur télécoms norvégien Telenor qui a été épinglé en Hongrie pour ces pratiques par la Cour de justice de l’Union européenne (CJUE) dans un arrêt rendu le 15 septembre (1) (*) (**). Autrement dit, si ces applications-là sont gratuites même lorsque le forfait de données mobile est épuisé, les autres applications concurrentes restent, elles, bien payantes. En conséquence, avec le zero-rating, les données téléchargées par certaines applications ou services ne sont pas comptabilisées dans l’abonnement mobile de l’utilisateur, favorisant ainsi certains éditeurs au détriment d’autres. Ce favoritisme applicatif est connu depuis près de dix ans, mais les régulateurs n’ont rien fait.
Les opérateurs télécoms et les acteurs du Net ont commencé à proposer du zero-rating dans des pays émergents au prétexte de lutter contre la fracture numérique. C’est en partant avec de bonnes intentions que la cyberencyclopédie mondiale Wikipedia a été proposée dès 2012 dans une offre « zéro » afin d’en donner gratuitement l’accès au plus grand nombre de détenteurs de forfaits mobiles. Avec « free basics », Facebook avait lancé début 2016 pour les populations démunies en Inde un bouquet de services web de type « all-inclusive » comprenant sans supplément Wikipedia, là encore, la BBC et le moteur de recherche Bing de Microsoft. Il fallait faire partie de ces quelques applications et sites web triés sur le volet pour être accessible, sinon les autres contenus n’étaient pas disponibles ou en options payantes. Mais le deuxième pays le plus peuplé de la planète ne l’a pas entendu de cette oreille : le gendarme indien des télécoms n’avait pas apprécié cette discrimination violant délibérément la neutralité de l’Internet. En février 2016, le gouvernement de New Delhi a interdit au réseau social américain et à tout fournisseur d’accès à Internet présents sur le sous-continent indien de pratiquer des tarifs différenciés en fonction des services et contenus offerts. La France n’a pas échappé à cet appel du « trafic gratuit » (2) – traduction proposée début 2020 par la Commission d’enrichissement de la langue française – mais sans trop s’y aventurer. Jusqu’en octobre 2014, Orange le pratiquait avec la plateforme française de musique en ligne Deezer, dont l’opérateur historique est actionnaire minoritaire (3), le streaming étant alors compris dans certains de ses forfaits mobiles (4). Si les opérateurs mobiles français n’ont pas été vraiment « zéros », c’est notamment parce que l’Autorité de la concurrence les mettait sous surveillance. « Le débat autour de l’interdiction du zero-rating consiste à étendre le principe de neutralité des réseaux, qui porte sur la qualité d’acheminement du trafic, en lui adjoignant un principe de neutralité commerciale envers le consommateur final », avait déclaré en 2016 son président d’alors, Bruno Lasserre, dans Le Monde (5). L’association de consommateurs UFCQue choisir avait clairement exprimé son hostilité envers le « trafic gratuit » : « Nous sommes réticents à la sacralisation du zero-ratingqui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait mis en garde Antoine Autier, devenu son responsable adjoint du service des études.

L’Orece n’avait rien trouvé à redire
Bien que le règlement européen « Internet ouvert » – alias neutralité de l’Internet – ait été adopté par les eurodéputés le 25 novembre 2015 (entré en vigueur le 30 avril 2016), le zero-rating a continué de prospérer dans les Vingt-huit (aujourd’hui Vingt-sept). Telenor en Hongrie, avec ses deux offres groupées « MyChat » et « MyMusic », est un exemple parmi d’autres. L’Organe des régulateurs européens des communications électroniques (Orece, en anglais Berec) a, lui, été attentiste dans son approche. A l’issue d’une consultation publique menée sur le sujet il y a quatre ans, il n’avait pas jugé bon de proposer d’interdire le zero-rating. C’est même tout juste s’il ne l’encourageait pas, préférant regarder « au cas par cas » (6). @

Charles de Laubier

Affaire « Schrems 2 » : la pérennité des transferts en dehors de l’Union européenne remise en question

Publié le par

Depuis vendredi 16 juillet 2020, les transferts de données à caractère personnel vers les Etats-Unis sur le fondement du « Privacy Shield » sont invalides. Les entreprises souhaitant donc continuer à transférer des données vers les Etats-Unis doivent identifier un autre mécanisme de transfert.

Par Laura Ziegler & Sandra Tubert, avocates associées, BCTG Avocats

La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur dans l’affaire dite « Schrems 2 » (1) concernant les mécanismes de transferts de données hors de l’Union Européenne (UE). Elle a ainsi annulé le Privacy Shield qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées, tout en considérant que les clauses contractuelles types demeuraient, quant à elles, valides.

Le « Privacy Shield » en question
Les transferts de données vers des pays tiers à l’UE ne peuvent en effet avoir lieu qu’à certaines conditions (2). Au titre de ces conditions figurent le fait que la Commission européenne ait constaté que le pays tiers assure un niveau de protection adéquat (3) ou, faute de décision d’adéquation, que les parties aient mis en place des garanties appropriées comme les « règles d’entreprise contraignantes » (4), ou les « clauses contractuelles types » (5). Le Privacy Shield, lui, reposait sur un système d’auto-certification en vertu duquel les entreprises américaines s’engageaient à respecter une série de principes (6) en matière de protection des données auprès du ministère du commerce américain (FTC). Grâce à ce mécanisme, la Commission européenne avait considéré, en juillet 2016, au moyen d’une décision d’adéquation (7), que les Etats-Unis offraient un niveau de protection adéquate (8), permettant ainsi les transferts de données entre une entreprise de l’UE et des entreprises américaines auto-certifiées. Déjà sujet à de vifs débats au moment de son adoption qui suivait de près l’annulation de son prédécesseur (9), le Privacy Shield avait pour objectif de maintenir au plus vite les accords commerciaux entre l’UE et les Etats-Unis tout en assurant un niveau de protection suffisant des données transférées aux Etats-Unis.
La période de répit pour les transferts de données vers les Etats-Unis aura toutefois été de courte durée puisque l’Autrichien Max Schrems a poursuivi la procédure qui avait conduit à l’invalidation du Safe Harbor dans la désormais célèbre affaire « Schrems 1 ». Ce sont des suites de cette procédure, dans le cadre d’un litige opposant la « Cnil » irlandaise (DPC) à Facebook Ireland Ltd et à Max Schrems au sujet d’une plainte concernant le transfert de ses données par Facebook Ireland à Facebook Inc. aux Etats-Unis que plusieurs questions préjudicielles ont été soumises à la CJUE. Dans l’affaire « Shrems 2 », la CJUE a ainsi été amenée à examiner la validité du Privacy Shield au regard des exigences découlant du RGPD, lues à la lumière des dispositions de la Charte des droits fondamentaux de l’UE garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (10). La CJUE devait déterminer si les programmes de renseignement et de surveillance mis en place aux Etats-Unis et les garanties prévues dans la réglementation américaine (11) – pouvant concerner des ressortissants européens – étaient mis en œuvre dans le respect des exigences de proportionnalité et de respect des droits des personnes.
Si la CJUE rappelle que les articles 7 (respect de la vie privée) et 8 (protection des données personnelles) de la Charte des droits fondamentaux de l’UE ne sont pas des « prérogatives absolues », elle estime toutefois que l’intervention des autorités publiques américaines constitue une atteinte à ces principes et que les limitations qui en découlent ne sont ni proportionnées, ni nécessaires et ne permettent pas l’exercice de droits effectifs et opposables dont doivent nécessairement bénéficier les personnes concernées.

Atteinte aux droits fondamentaux
La CJUE souligne que, contrairement au niveau de protection offert par l’UE, les programmes de surveillance américains aux fins du renseignement extérieur (12) ne contiennent aucune limitation ni n’offrent aucune garantie pour les personnes concernées de l’UE (non américaines), celles-ci ne pouvant par ailleurs pas opposer leurs droits aux autorités publiques américaines devant les tribunaux. Pour parvenir à cette conclusion, elle précise notamment que le mécanisme de médiation prévu par le Privacy Shield n’est ni indépendant, ni pourvu de force contraignante à l’égard des services de renseignement. La CJUE ajoute que les programmes de surveillance fondées sur les dispositions de la PPD 28 ne sont pas limités au strict nécessaire (contrevenant ainsi au principe de proportionnalité), dans la mesure où ils permettent de procéder à une collecte massive de données et ce sans aucune surveillance judiciaire. Forte de tous ces griefs, la CJUE a donc logiquement considéré que la décision d’adéquation du Privacy Shield était invalide. Les critiques formées à l’encontre des « clauses contractuelles types » étaient un peu différentes, puisque celles-ci peuvent être utilisées pour des transferts vers tout pays tiers à l’UE.

Maintien des « clauses contractuelles types »
La CJUE était, entre autres, interrogée sur le fait de savoir si leur nature contractuelle, ayant ainsi un effet relatif à l’égard des autorités publiques étrangères, n’était pas de nature à remettre en cause leur validité, dans la mesure où elles pourraient ainsi ne pas permettre aux personnes concernées d’empêcher l’accès à leurs données et/ou d’exercer leurs droits. Elle a estimé que le seul fait que les clauses contractuelles types ne soient pas contraignantes vis-à-vis des autorités publiques d’un pays tiers n’était pas de nature à emporter l’invalidation de celles-ci. La CJUE a toutefois rappelé en substance qu’il appartient au responsable de traitement et au destinataire des données de vérifier préalablement à tout transfert si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD. Le cas échéant, ils sont alors tenus, soit de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire, soit – si le pays tiers destinataire des données dispose d’une réglementation contraire aux principes figurant dans les clauses contractuelles types – de s’interdire un tel transfert ou d’y mettre fin. Concernant la deuxième question sur le fait de savoir si les mécanismes figurant au sein même des clauses contractuelles types étaient de nature à assurer de manière effective la protection adéquate requise par l’article 45 du RGPD, la CJUE apporte une réponse positive sans détours : les différents engagements pris par les parties au titre des clauses contractuelles types (13) sont autant de garanties qui permettent de constituer des mécanismes d’effectivité suffisante.
Cette décision est pourtant bien plus complexe qu’il n’y paraît. Il serait, à notre sens, hâtif d’en déduire que la CJUE donne un blanc-seing à l’utilisation des clauses contractuelles types pour les transferts hors UE. Elle invite, tout au contraire, les responsables de traitement et leurs destinataires à se lancer dans une véritable analyse détaillée de la législation du pays tiers pour vérifier si les garanties qui sont fournies par les clauses contractuelles types peuvent réellement y être respectées en pratique. Dans le cas contraire, ils devront mettre en place, en plus des obligations figurant dans le corps même des clauses, des garanties supplémentaires afin de rendre réellement effectifs les droits des personnes concernées et l’existence d’un recours juridictionnel. La nature de ces garanties ou mesures supplémentaires interroge : le point 132 de la décision de la CJUE semble pointer vers le considérant 109 du RGPD, qui lui-même invite les parties prenantes aux clauses contractuelles types à les compléter par d’autres clauses fournissant des garanties supplémentaires. L’introduction de garanties supplémentaires par voie contractuelle ne se heurtera-telle pas, dans certains cas, à la même suprématie des lois impératives américaines ? Dans l’attente d’orientations plus détaillées, le Comité européen à la protection des données (CEPD), qui réunit les « Cnil » européennes, précise que ce pourrait être des mesures juridiques, techniques ou organisationnelles (14). Ces deux derniers types de mesures étant certainement les plus à même d’assurer de manière plus effective une certaine protection des données.
La décision rendue par la CJUE ne s’arrête pas en réalité à la seule invalidité du Privacy Shield, et ce sont les transferts vers les Etats-Unis dans leur ensemble – quel que soit le mécanisme de transfert utilisé – qui sont en réalité largement questionnés par cet arrêt. Comme le reconnaît le CEPD, les législations américaines qui sont pointées du doigt dans l’arrêt de la CJUE s’appliquent en réalité à tout transfert vers les Etats-Unis quel que soit l’outil de transfert utilisé. De fait, la CJUE estime en réalité que le droit américain ne permet pas d’assurer à lui seul un niveau de protection essentiellement équivalent à celui prévu dans l’UE.
Par ailleurs, au-delà des Etats-Unis, ce sont les transferts en dehors de l’UE vers des pays disposant de lois permettant des programmes de surveillance intrusifs qui sont questionnés. En pratique, il est difficile pour les entreprises d’anticiper pour l’heure toutes les conséquences de cette décision ou l’effectivité des garanties supplémentaires qu’elles pourraient mettre en place, lorsque celles mises en place par la Commission européenne et le département de commerce américain ont échouées.
Les réactions des autorités de contrôle et du CEPD sont fortement attendues dans les prochains mois pour proposer aux entreprises des solutions pragmatiques leur permettant de tirer toutes les conséquences de cet arrêt, tout en pérennisant si possible les transferts hors UE.

Comment pérenniser les transferts ?
Dans l’attente d’orientations plus détaillées, les entreprises sont ainsi invitées à identifier tous leurs transferts en dehors de l’UE (15), le mécanisme de transferts utilisé, et à conduire une analyse de la législation du pays en question pour déterminer si celle-ci permet d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE. Et ce, afin d’envisager au besoin les éventuelles garanties supplémentaires effectives qui pourraient être mises en place. Néanmoins, la pérennité et la sécurité juridique des transferts hors UE pourraient ne trouver un véritable salut que par une réponse politique adaptée et attendue. @

Affaire Schrems : probable non-invalidation des clauses contractuelles types, fausse bonne nouvelle ?

Publié le par

Alors que le scandale « Cambridge Analytica » continue depuis deux ans de ternir l’image de Facebook, une autre affaire dite « Schrems » suit son cours devant la Cour de justice européenne et fait trembler les GAFAM. Retour sur les conclusions de l’avocat général rendues le 19 décembre 2019.

Par Charlotte Barraco-David, avocate, et Marie-Hélène Tonnellier, avocate associée, cabinet Latournerie Wolfrom Avocats

Les clauses contractuelles types – conformes à la décision prise il y a dix ans maintenant, le 5 février 2010, par la Commission européenne (1) – seraient bien un moyen valable de transfert de données personnelles hors d’Europe (lire encadré page suivante). C’est en tous cas ce que l’avocat général de la Cour de justice de l’Union européenne (CJUE) préconise de juger dans la deuxième affaire « Schrems » (2) qui fait trembler les GAFAM. Reste à attendre de savoir si, comme souvent, la CJUE le suivra. Cette décision, imminente, est attendue non sans une certaine fébrilité.

Schrems II : le retour
Les conclusions de l’avocat général, le Danois Henrik Saugmandsgaard Øe (3), ont été publiées le 19 décembre dernier et s’inscrivent dans le cadre de la saga judiciaire « Schrems », du nom de l’activiste autrichien Maximillian (Max) Schrems qui lutte pour la protection de ses données personnelles face au géant américain Facebook. Cette saga débute en 2013 avec l’affaire « Schrems I ». L’activiste, alors simple étudiant en droit, dépose plainte contre Facebook devant l’équivalent de la Cnil en Irlande (le DPC), le siège européen du groupe américain se trouvant dans cet Etat européen réputé fiscalement accueillant.
Cette première affaire fait suite aux révélations d’Edward Snowden, le lanceur d’alerte qui avait révélé plusieurs programmes américains et britanniques de surveillance de masse. Elle a conduit la CJUE, le 6 octobre 2015, à invalider la décision d’adéquation rendue par la Commission européenne sur laquelle reposait le transfert des données opéré par Facebook Irlande vers sa maison-mère américaine et auto-certifié dans le cadre du Safe Harbour (4), le prédécesseur du Privacy Shield (l’actuel « bouclier de protection des données »). La Cour européenne avait alors considéré que le droit américain présentait des risques trop importants d’ingérence des autorités américaines dans la vie privée des Européens, dont les données étaient transférées vers les Etats-Unis. Et ce, afin que des organismes américains, mêmes de bonne volonté, puissent ainsi bénéficier d’un tel blancseing. Un successeur avait alors rapidement été trouvé au Safe Harbor, en l’occurrence le Privacy Shield, présenté comme plus protecteur (5). Max Schrems a alors reformulé sa plainte auprès de la « Cnil » irlandaise (Data Protection Commissioner), arguant du fait que – les mêmes causes produisant les mêmes effets – ces clauses ne pouvaient pas servir de fondement au transfert de données personnelles vers un Etat aussi intrusif que les Etats-Unis. Tel est l’objet de cette deuxième procédure préjudicielle, l’affaire « Schrems II », laquelle a donné lieu aux conclusions de l’avocat général le 19 décembre 2019.
Le mécanisme des « clauses contractuelles types », lesquelles figurent en annexe et concernent la protection des données, a précisément pour objet de permettre de pallier l’absence de conformité de la législation du pays de destination. Son existence même postule donc que des données peuvent être transférées vers des pays par définition non « adéquats » (terme consacré en la matière), moyennant la mise en place de mécanismes destinés à contrebalancer les effets potentiellement négatifs de la législation de ce pays. Remettre en cause le principe des clauses contractuelles au seul motif que la législation du pays de destination n’assurerait pas un niveau de protection équivalent à celui offert par le règlement général européen sur la protection des données (RGPD) reviendrait donc à priver d’effet son article 46 qui prévoit ces clauses.
Certes, l’avocat général « estime que les “garanties appropriées” [telles que les clauses contractuelles types (…)] doivent assurer que les droits des personnes dont les données sont transférées bénéficient, comme dans le cadre d’un transfert basé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui qui résulte du RGPD, lu à la lumière de la Charte [des droits fondamentaux de l’Union européenne] ». Il précise toutefois que « la manière dont la continuité du niveau élevé de protection est préservée diffère en fonction de la base juridique du transfert ».

Décision d’adéquation et clauses contractuelles
Dès lors, le problème n’est pas – et ne doit pas être – la validité des clauses contractuelles, mais celui de l’effectivité des garanties de protection des données effectivement en place. Cela implique que le destinataire respecte les clauses, sans en être empêché par son droit local, ce qui est de la responsabilité du responsable du traitement donnant accès aux données de garantir. Le mécanisme des clauses contractuelles repose donc, dans la droite ligne du RGPD (6), sur la « responsabilisation de l’exportateur ainsi que, à titre subsidiaire, des autorités de contrôle ». La question de la validité des clauses ne devrait ainsi dépendre que du point de savoir « s’il existe des mécanismes suffisamment solides permettant d’assurer que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer », par exemple en raison d’une législation du pays de destination faisant obstacle au respect des obligations contractuelles souscrites par le destinataire des données.

Importateur et exportateur de données
Et en l’espèce, l’avocat général considère que tel est bien le cas des clauses résultant de la décision de 2010, telle que modifiée suite à l’affaire « Schrems I » par la décision de la Commission européenne du 16 décembre 2016 (7). En effet, au sein de ces clauses, la clause 5 intitulée « Obligations de l’importateur de données », le premier alinéa prévoit que s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, « l’importateur des données » doit en informer « l’exportateur de données ». Ce dernier est alors fondé à (et devrait) suspendre le transfert « et/ou » résilier le contrat. Autrement dit, le pourvoyeur de ces données est tenu de stopper leur transfert, si son analyse le conduit à estimer que le risque pour la vie privée des personnes est important au regard des caractéristiques propres du traitement et de ce que les autorités de l’Etat tiers intrusif risquent de faire des données. De plus, le RGPD oblige les autorités de contrôle – si les « Cnil » estiment qu’un transfert ne respecte pas les droits des personnes concernées – à prendre des mesures pouvant aller jusqu’à ordonner la suspension du transfert (8).
La vision de l’avocat général apparaît donc conforme à la lettre et à l’esprit du RGPD : emplie de subtilité et d’une pointe de contradiction. Qu’il revient à ceux qui y sont soumis d’analyser, d’apprécier, et d’appliquer, en leur âme et conscience et surtout responsabilité. De quoi attiser un peu plus le sentiment anxiogène que laisse la lecture de ce texte pour ceux qui y sont soumis. Une invalidation claire et nette des clauses semblerait presque préférable. D’autant que, sur le fond, une telle invalidation serait l’occasion pour la Commission européenne de revoir sa copie pour mettre ces clauses à jour par rapport au RGPD. Rappelons en effet que les obligations imposées au destinataire hors Europe, lequel se trouve être sous-traitant en vertu de ces clauses, ne coïncident pas parfaitement avec celles qui doivent désormais être posées dans tout contrat de sous-traitance (avec ou sans transfert) en vertu de l’article 28 dudit RGPD.
Ne reste désormais qu’à savoir si la CJUE suivra son avocat général. A cet égard, si ses conclusions ne lient pas la Cour européenne, l’on remarque qu’elles l’inspirent souvent. @

FOCUS

Transferts de données personnelles hors de l’EEE
Comme avant lui l’article 26 de l’ancienne directive européenne de 1995 (promulguée il y a 25 ans) sur la protection des données personnelles en Europe (9), l’article 46 du fameux RGPD (10) interdit par principe le transfert de données personnelles hors de l’Union européenne (UE), ou plus précisément hors de l’Espace économique européen (EEE).
Cet EEE, dont le comité mixte du 6 juillet 2018 a incorporé le RGPD dans son accord de 1994, est constitué des pays membres de l’UE, de l’Islande, de la Norvège et du Liechtenstein, pays auxquels il faut désormais ajouter, au moins provisoirement, le Royaume-Uni depuis le Brexit (11). Par transfert de données personnelles « hors d’Europe », les autorités de protection – que sont les équivalents de la Cnil en France – entendent aussi bien le déplacement physique de données que le simple accès depuis un pays situé hors de l’EEE à des données personnelles stockées sur le sol européen. En matière de transferts de données personnelles hors d’Europe, le RGPD pose un principe d’interdiction, assorti toutefois d’exceptions notables :
• Les transferts vers les pays dits adéquats (article 45 du RGPD). Il s’agit des transferts vers des pays hors d’Europe, dont la législation a été reconnue par la Commission européenne comme suffisamment protectrice au regard des standards européens. Si certains de ces pays peuvent sembler anecdotiques (Iles Féroé ou Guernesey par exemple), d’autres le sont beaucoup moins puisque figurent parmi eux les Etats-Unis. Dans ce cas particulier, la législation américaine n’est toutefois réputée adéquate qu’au bénéfice des organismes auto-certifiés dans le cadre du dispositif du « bouclier » Privacy Shield.
• Les transferts encadrés par des garanties appropriées (articles 46 et 47 du RGPD). Il s’agit cette fois de mécanismes conventionnels visant à pallier l’absence de décision d’adéquation du pays de destination. Les plus pratiqués sont les règles d’entreprises contraignantes (les « Binding Corporate Rules ») et les fameuses clauses contractuelles types de la Commission européenne (décision européenne de 2010, modifiée en 2016, notamment). Ces dernières sont très simples à mettre en œuvre en pratique : il s’agit d’un modèle de contrat qui doit être signé tel quel. Aucune de ses clauses ne peut être librement négociée. Seules les annexes décrivant le transfert doivent être complétées, selon un formalisme lui aussi imposé.
• Les transferts en vertu des dérogations particulières (article 49 du RGPD). Ces dérogations-là sont conçues de manière tellement exceptionnelle par les autorités de protection qu’elles n’ont pas vocation à s’appliquer à des transferts de données massifs ou structurels (12). Parmi ces dérogations, figurent notamment le consentement explicite des personnes concernées, ou encore les nécessités (réelles) de l’exécution d’un contrat particulier, un contrat de réservation d’hôtel à l’étranger par exemple. @

A la poursuite du droit à l’oubli et d’un équilibre par rapport aux autres droits fondamentaux

Publié le par

Le droit à l’oubli sur Internet – dont le droit au déréférencement sur les moteurs de recherche – n’est pas un droit absolu. Il s’arrête là où commencent d’autres droits fondamentaux comme la liberté d’informer – selon le principe de proportionnalité. Mais cet équilibre est à géométrie variable.

Fabrice Lorvo*, avocat associé, FTPA.

L’oubli est une préoccupation récente aux racines millénaires. C’est d’abord un concept auquel notre civilisation est rompue depuis le code de Hammurabi (1). Cependant, l’effectivité de l’oubli a été profondément remise en cause par la révolution numérique car la donnée devient aujourd’hui indéfiniment apparente sur les sites web et immédiatement accessible par les moteurs de recherche. Dès lors, le législateur comme le juge œuvrent pour adapter un droit à l’oubli (2) à l’outil numérique.

Conditions du droit au déréférencement
Deux arrêts ont été rendus le 24 septembre 2019 par la Cour de justice de l’Union européenne (CJUE) qui contribuent à en définir les modalités. Nous nous intéresserons à celui (3) qui apporte d’importantes précisions sur les conditions dans lesquelles une personne peut exercer son droit au déréférencement. Ce droit permet à une personne de demander à un moteur de recherche de supprimer certains résultats qui apparaissent à partir d’une requête faite avec son nom et son prénom lorsque ces résultats renvoient vers des pages contenant des informations sensibles la concernant (par exemple, sa religion, ses opinions politiques ou l’existence d’une procédure pénale). Cette suppression concerne uniquement la page de résultats et ne signifie donc pas l’effacement des informations sur le site web source. Les informations continuent d’exister, mais il est plus difficile et long de les retrouver.
Au regard des textes successivement applicables (4), et des enseignements de la jurisprudence « Google Spain » (5) de 2014, la CJUE apporte les précisions suivantes :

Les interdictions et les restrictions au traitement de certaines données, comme les exceptions prévues par les textes, s’appliquent à l’exploitant d’un moteur de recherche à l’occasion de la vérification qu’il doit opérer à la suite d’une demande de déréférencement. Le rôle du moteur de recherche est décisif dans la mesure où, techniquement, il permet de trouver immédiatement, dans l’océan des données disponibles sur Internet, toutes les informations sur une personne dénommée, et, en les regroupant, de constituer ainsi un profil. La cour rappelle que l’exploitant d’un moteur de recherche n’est pas responsable des données existantes, mais uniquement de leur référencement et de leur affichage dans une page de résultats suite à une requête nominative. Cet exploitant doit respecter la législation sur le traitement des données comme les éditeurs de sites web. Tout autre interprétation constituerait « une ingérence particulièrement grave dans les droits fondamentaux au respect de la vie privée et à la protection des données à caractère personnel » qui sont garantis par les textes.

L’exploitant d’un moteur de recherche a l’obligation de faire droit à la demande de la personne concernée… sauf si des exceptions (prévues par les textes) s’appliquent. La CJUE rappelle que les Etats membres doivent garantir aux personnes concernées le droit d’obtenir du responsable de traitement l’effacement des données dont le traitement n’est pas conforme aux textes. De même, en cas de demande de déréférencement, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, des liens vers des pages web, publiées par des tiers et contenant des informations sensibles relatives à cette personne, même si lesdites informations ne sont pas effacées préalablement ou simultanément de ces pages web, et même lorsque leur publication en elle-même sur lesdites pages est licite. Enfin, la cour rappelle que le consentement de la personne au traitement de ce type d’information est nécessaire et qu’il n’existe plus à partir du moment où ladite personne demande le déférencement. Il n’est donc pas nécessaire de prouver que le référencement cause un préjudice.

Droit absolu et principe de proportionnalité
Ce régime extrêmement protecteur, eu égard à l’importance de l’impact d’une telle publication pour l’individu, connaît néanmoins une exception de taille. En effet, l’ingérence dans les droits fondamentaux d’un individu peut cependant être justifiée par l’intérêt prépondérant du public à avoir accès à l’information (6) en question. Le droit au déréférencement des données à caractère personnel n’est donc pas un droit absolu, il doit être systématiquement comparé avec d’autres droits fondamentaux conformément au principe de proportionnalité. En conséquence, le droit à l’oubli de la personne concernée est exclu lorsqu’il est considéré que le traitement desdites données est nécessaire à la liberté d’information. Le droit à la liberté d’information doit répondre à des objectifs d’intérêt général reconnu par l’Union européenne ou, au besoin, de protection des droits et des libertés d’autrui.

Droits fondamentaux et liberté d’informer
Lorsqu’il est saisi d’une demande de déréférencement, l’exploitant d’un moteur de recherche doit donc mettre en balance, d’une part, les droits fondamentaux de la personne concernée et, d’autre part, la liberté d’information des internautes potentiellement intéressés à avoir accès à cette page web au moyen d’une telle recherche. D’après la CJUE, si les droits de la personne concernée prévalent, en règle générale, sur la liberté d’information des internautes, cet équilibre peut toutefois dépendre de la nature de l’information en question et de sa sensibilité pour la vie privée de la personne concernée ainsi que l’intérêt du public à disposer de cette information. Or, cet intérêt peut varier notamment en fonction du rôle joué par cette personne dans la vie publique, comme l’illustre la jurisprudence « Google Spain ».

Enfin, la CJUE aborde la question cruciale de la publication relative à une procédure judiciaire, notamment quand ces informations sont devenues obsolètes. Il s’agit des informations concernant une enquête, une mise en examen ou un procès et, le cas échéant, de la condamnation qui en a résulté. La cour rappelle que la publication de ces données est soumise à des restrictions particulières (7) et qu’elle peut être licite lorsqu’elle est divulguée au public par les autorités publiques. Cependant, un traitement initialement licite de données exactes peut devenir avec le temps illicite, notamment lorsque ces données apparaissent inadéquates, qu’elles ne sont pas ou plus pertinentes, ou sont excessives au regard des finalités du traitement ou du temps qui s’est écoulé. L’exploitant d’un moteur de recherche doit encore vérifier, au jour de la demande de déréférencement, si l’inclusion du lien dans le résultat est nécessaire à l’exercice du droit à la liberté d’information des internautes potentiellement intéressés par l’accès à cette page web au moyen d’une telle recherche. Dans la recherche de ce juste équilibre entre le droit au respect de la vie privée des personnes, et notamment la liberté d’information du public, il doit être tenu compte du rôle essentiel que la presse joue dans une société démocratique et qui inclut la rédaction de comptes rendus et de commentaires sur les procédures judiciaires, ainsi que le droit pour le public de recevoir ce type d’information. En effet, selon la jurisprudence (8), le public a un intérêt non seulement à être informé sur un événement d’actualité, mais aussi à pouvoir faire des recherches sur des événements passés, l’étendue de l’intérêt du public quant aux procédures pénales étant toutefois variable et pouvant évoluer au cours du temps en fonction, notamment, des circonstances de l’affaire : notamment « la nature et la gravité de l’infraction en question, le déroulement et l’issue de ladite procédure, le temps écoulé, le rôle joué par cette personne dans la vie publique et son comportement dans le passé, l’intérêt du public à ce jour, le contenu et la forme de la publication ainsi que les répercussions de celle-ci pour ladite personne ».

Outre l’actualité ou le passé définitif, une difficulté demeure pour les informations obsolètes ou partielles. Par exemple, qu’en est-il pour une mise en examen annoncée sur Internet qui a aboutie à un non-lieu ? Ou pour une décision de condamnation frappée d’appel ? L’apport nouveau et essentiel de cet arrêt du 24 septembre 2019 est que la CJUE considère que même si la liberté d’information prévaut, l’exploitant est en tout état de cause tenu – au plus tard à l’occasion de la demande de déréférencement – d’aménager la liste de résultats, de telle sorte que l’image globale qui en résulte pour l’internaute reflète la situation judiciaire actuelle. Ce qui nécessite notamment que des liens vers des pages web comportant des informations à ce sujet apparaissent en premier lieu sur cette liste. Il s’agit là d’une précision essentielle, en théorie, mais qui peut s’avérer complètement inefficace en pratique. Pour apparaître dans les résultats, ces pages (sur la situation judiciaire actuelle) doivent… exister. Que se passe-t-il si des pages web ne comportent pas d’informations sur la suite de la procédure ? Souvent, la presse s’intéresse plus aux mises en examen qu’aux cas de nonlieu. La personne concernée devra-t-elle publier elle-même des pages web sur sa situation judiciaire actuelle ? Mais dans l’esprit du public, quelle force aura cette preuve pro domo (9) ? Devra-t-elle avoir recours à une agence de communication pour ce faire ? Enfin, les délais de traitement des demandes de référencement sont très longs, d’abord pour les moteurs de recherche puis au niveau des autorités de contrôle (la Cnil en France), et, pendant ce temps-là, les résultats de la recherche demeurent affichés ; le mal est fait. Avoir raison trop tard, c’est toujours avoir tort dans l’esprit du public.

Renverser la charge de la preuve ?
Dans ces conditions, pour ce type d’information d’une extrême sensibilité et, au moins, pour les personnes qui ne recherchent pas les suffrages du public, ne conviendrait-il pas de renverser la charge de la preuve ? D’imposer que l’exploitant du moteur de recherche ait l’obligation, à première demande, de déréférencer ces données ? Et s’il considère que la balance penche dans l’intérêt du public, l’exploitant devra saisir l’autorité de contrôle puis, en cas de refus, les tribunaux pour demander l’autorisation de re-référencer le lien. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.