En Europe : les 5 ans du marché unique numérique

En fait. Le 6 mai, il y a 5 ans, le marché unique numérique – Digital Single Market (DSM) – était lancé par la Commission européenne, dont l’ancien président Jean-Claude Juncker avait fait l’une de ses priorités. Entre mai 2010 et mai 2020, des e-frontières sont tombées et des silos ont été cassés.

En clair. C’est Jean-Claude Juncker – alors au début de son mandat de président de la Commission européenne – qui avait fixé l’objectif ambitieux du marché unique numérique au sein des Vingt-huit (aujourd’hui Vingt-sept) : « Nous devons tirer un bien meilleur parti (…) des technologies numériques qui ne connaissent aucune frontière. Pour cela, nous devrons avoir le courage de briser les barrières nationales en matière de réglementation des télécommunications, de droit d’auteur et de protection des données, ainsi qu’en matière de gestion des ondes radio et d’application du droit de la concurrence », avait-il prévenu dans sa communication du 6 mai 2010 sur « la stratégie pour un marché unique numérique en Europe » (1).
Le Luxembourgeois l’avait aussi exprimé mot pour mot dans chacune des lettres de mission remises aux deux principaux commissaires européennes concernés de l’époque, Andrus Ansip et Günther Oettinger (2). Ce projet de Digital Single Market (DSM) avait été conçu un an auparavant – sous la présidence de José Manuel Barroso – par la commissaire européenne qui était chargée de la Société de l’information et des Médias, Viviane Reding, avec son homologue à la Concurrence, Neelie Kroes, devenue par la suite vice-présidente, en charge de la Société numérique. Le 19 mai 2010, l’exécutif européen publiait son plan d’action quinquennal (2010-2015) pour une « stratégie numérique », dont les deux premières mesures consistaient à créer un « marché unique numérique » et à réformer « le droit d’auteur et les droits voisins » (3). Ce programme s’inscrivait dans le cadre la stratégie « Europe 2020 » (4) lancée en mars 2010 en remplacement de celle de Lisbonne. Les mondes de la culture et de leurs ayants-droits – particulièrement en France – se sont arc-boutés sur leur « exception culturelle ».
Finalement, en 2020, nous y sommes : outre la fin des frais d’itinérance de roaming mobile en 2017, l’Europe s’est dotée : en 2019 d’une directive sur le droit d’auteur « dans le marché unique numérique » (5), en 2018 d’une directive sur les « services de médias audiovisuel » (SMAd), en 2018 aussi d’un règlement mettant fin au géo-blocage (hors audiovisuel), en 2017 d’un règlement sur « la portabilité transfrontalière des services de contenu en ligne » (audiovisuel compris), sans oublier le RGPD (6) applicable depuis deux ans maintenant. Prochaine étape sensible : le DSA, Digital Services Act (7). @

Avec le « RGPD » californien, les GAFAM garderont le pouvoir en 2020 sur les données personnelles

Le partage des données des consommateurs avec les entreprises s’est généralisé en dix ans. Or le droit californien n’avait pas suivi cette évolution, laissant aux entreprises de la Silicon Valley la liberté d’exploiter la vie privée des individus sans contrainte. Ce que change partiellement le CCPA.

Dans le sillage du règlement général sur la protection des données (RGPD), le California Consumer Privacy Act (CCPA) est entré en vigueur le 1er janvier 2020. Cette loi applicable dans l’Etat américain le plus peuplé des Cinquante vient renforcer le contrôle des consommateurs californiens sur leurs données personnelles en leur octroyant de nouveaux droits. Et ce, afin de leur permettre de reprendre le contrôle de leurs vies privées.

Droit local d’inspiration populaire
A la suite du scandale Cambridge Analytica et de la fuite massive de données d’Equifax, concernant 143 millions de personnes, soit près de la moitié de la population américaine (1), a été formulée en 2018 une proposition de loi d’initiative populaire visant à protéger les données personnelles des Américains. Deux militants pour la protection de la vie privée, issus de la société civile, l’homme d’affaires Alastair Mactaggart et une juriste spécialiste de droit à la protection de la vie privée, Mary Stone Ross, ont rédigé dès 2017 un projet de loi sous le nom de California Consumer Privacy Act (CCPA) soumis aux électeurs californiens par la voie pétitionnaire (2). Le droit californien permet en effet aux citoyens de cet Etat de faire adopter des textes législatifs ou de provoquer un référendum au niveau local en recueillant 366.000 signatures. Le CCPA a recueilli 600.000 signatures, révélant par là une véritable volonté des Californiens de reprendre le contrôle de leurs vies privées et d’empêcher les intrusions répétées des GAFAM dont ils ont été victimes ces dernières années.
Mise sous pression, la Silicon Valley – dont la collecte des données personnelles est le fer de lance de son modèle économique – a milité auprès des chambres législatives californiennes pour que ces dernières concluent un accord avec les promoteurs du texte et que soit évité un référendum. Le 28 juin 2018, et après moins d’une semaine de débat, la loi initialement proposée a alors été adoptée par le législateur californien sous une version plus timorée que le projet initial. Le texte continue cependant à se heurter à la résistance des entreprises de nouvelles technologies qui militent pour l’adoption d’un texte fédéral moins contraignant. En effet, des lois prises par le Congrès à Washington s’imposeraient sur le droit des Etats fédérés et empêcheraient le CCAP de s’appliquer. Dans le sillage du CCPA, d’autres projets de loi se sont faits jour au niveau fédéral visant à réglementer la collecte des données personnelles des citoyens américains. Certaines propositions sont spécifiques et visent uniquement les données transmises via les réseaux sociaux. D’autres projets sont plus ambitieux dans leur champ d’application et cherchent à imposer un traitement loyal, équitable et non discriminatoire aux responsables de traitements, à l’instar du RGPD. Si aucun de ces projets n’a l’ambition portée par le texte européen, ils s’en inspirent dans la forme et constitueraient néanmoins une avancée considérable dans la conquête des droits des internautes quant au respect de leurs vies privées. Le CCPA intégré dans le Code civil de Californie (3) s’applique à toutes les informations à caractère personnel collectées, électroniquement ou non, auprès de consommateurs.
Les consommateurs sont définis comme des personnes physiques résidant en Californie, ce qui confère un champ d’application aux bénéficiaires du texte aussi large que le RGPD. La loi californienne s’applique donc très largement et pas seulement aux données collectées sur Internet. Toutefois, de façon plus pragmatique que le RGPD, les assujettis du CCPA sont uniquement des entreprises d’envergure. Ces dernières doivent en effet réaliser un chiffre d’affaires annuel supérieur à 25 millions de dollars, ou acheter, vendre ou partager à des fins commerciales des informations personnelles de plus de 50.000 consommateurs, ou encore obtenir plus de 50 % de leurs revenus annuels de la vente d’informations personnelles du consommateur.

Champ d’application du CCPA
Ainsi, les associations comme les petites et moyennes entreprises ne sont pas concernées par le texte. Les pouvoirs publics peuvent également continuer à collecter les données personnelles des individus sans que ceux-ci puissent s’y opposer, même s’il est prévu que les données issues de ces traitements et réutilisées pour d’autres finalités sont des informations sur lesquels les citoyens californiens pourront exercer les droits prévus par le texte. Le texte de loi californien vise les informations à caractère personnel comme les noms, les adresses, le numéro de sécurité sociale, les adresses IP, les renseignements commerciaux (registre de la publicité foncière, historique de crédit, …), les informations biométriques, les historiques de navigation, les données de géolocalisation, les informations audio, électroniques, visuelles, thermiques, olfactives, les informations professionnelles ou liées à l’emploi, ou encore les informations sur l’éducation. Sont également concernées toutes déductions tirées de ces différentes informations afin de créer un profil. Toutefois, un certain nombre de domaines sont exclus du champ d’application de la loi. Il en va ainsi du domaine financier, des agences de notation des consommateurs ou encore des informations visant les conducteurs.

Droits nouveaux pour les Californiens
Pâle copie du RGPD, le CCPA impose des obligations aux entités assujetties et des droits aux citoyens bénéficiaires. L’entreprise qui collecte des données doit informer le consommateur californien sur les catégories de données collectées, les sources auprès desquelles les données sont collectées, les finalités de la collecte et les catégories de tiers avec lesquelles l’entreprise partage les données. Les consommateurs doivent pouvoir exercer leurs droits dans des conditions faciles et gratuites : description du droit d’accès, du droit à l’effacement, du droit à l’égal accès aux services, description des méthodes pour présenter les requêtes. La loi californienne donne aussi aux consommateurs la possibilité de refuser la vente de leurs informations personnelles à des tiers, obligeant les entreprises concernées à publier un lien clair et visible intitulé « Ne pas vendre mes informations personnelles » sur leur site web national ou leur page spécifique à la Californie.
Un consommateur a le droit de demander à une entreprise de supprimer toute information personnelle le concernant que l’entreprise a collectée auprès de lui, et l’entreprise doit répercuter la demande auprès de ses sous-traitants. Toutefois, l’entreprise peut refuser cet effacement pour des raisons légitimes telles que l’exécution du contrat conclu entre l’entreprise et le consommateur. Enfin, la loi californienne confère le droit à un égal accès aux services, interdisant en principe toute discrimination à l’encontre des consommateurs qui exercent leurs droits en vertu de la loi. Les entreprises peuvent cependant être autorisées à appliquer des tarifs différents ou à fournir différents niveaux de service, si ces différences sont en lien raisonnable avec la « valeur fournie au consommateur par les données du consommateur », conférant un droit à la discrimination. Enfin, et à la grande différence du RGPD, les entreprises peuvent proposer des incitations financières – notamment des paiements aux consommateurs à titre de compensation – pour la collecte de leurs données personnelles. Cette option, pour laquelle de nombreux think tank militent en Europe, est à ce stade exclu par l’Union européenne pour qui les données personnelles sont des droits extrapatrimoniaux, incessibles. En cas de non-respect du CCPA, une amende de 2.500 dollars par violation, et de 7.500 dollars si la violation est intentionnelle, est infligée. Ce qui est peu, au regard du chiffre d’affaires des entreprises visées par le texte. Néanmoins, la loi californienne prévoit des dommages et intérêts dans le cadre d’une action intentée par un consommateur, compris entre 100 et 700 dollars par infraction et par consommateur, ce qui peut s’avérer important à l’aune du système de la class action. La procédure des actions collectives, bien éprouvée aux Etats-Unis, devrait en effet pouvoir contraindre les entreprises à respecter cette nouvelle loi, moins pour la sanction financière que pour la mauvaise publicité que représenterait une sanction prononcée à la demande de centaines de milliers de plaignants. A noter qu’en Europe, la commission des Affaires juridiques (JURI) a confirmé en janvier dernier (4) la position de négociation du Parlement européen sur une nouvelle législation introduisant des règles de recours collectif (5). En France, l’action de groupe a été introduite par la loi du 17 mars 2014 sur la consommation (loi dite « Hamon »).
Si le CCPA est timide au regard de l’enjeu que représentent les données personnelles pour les entreprises du numérique, il marque néanmoins un réel progrès quant à la protection des droits des données personnelles des citoyens californiens. Déjà, cette initiative a conduit d’autres Etats à réfléchir à une législation dans ce sens, et une loi fédérale devra inévitablement voir le jour pour éviter des législations disparates au sein d’un même pays. Dans le même temps, le parti communiste chinois a annoncé vouloir protéger les données personnelles de ses citoyens.

Vers des règles internationales unifiées
La collecte des données personnelles représente l’or noir du XXIe siècle et constitue un outil de concurrence majeur au sein du commerce international. Les législations nationales ne manqueront donc pas de s’affronter afin de contraindre les entreprises extérieures à limiter leur pouvoir d’intrusion de la vie privée de leurs citoyens tout en cherchant à poursuivre cette conquête des données, outil indispensable de la compétitivité économique. A moins qu’en guise d’apaisement, le G20 qui se tiendra à Riyad en novembre 2020 mette à son ordre du jour la recherche de règles internationales unifiées, seuls moyens de réguler la tentation intrusive des GAFAM. @

* Alexandre Lazarègue est avocat au Barreau de Paris,
spécialisé en droit du numérique.

Face aux entreprises et au secret des affaires, la liberté de la presse bat de l’aile devant les tribunaux

La liberté de la presse s’arrête-t-elle là où commence le secret des affaires et la confidentialité des procédures de conciliation ou de mandat ad hoc ? Les affaires
« Conforama » et « Consolis » rappellent la menace judiciaire qui pèse sur le droit d’informer. L’avenir de la démocratie est en jeu.

Fabrice Lorvo*, avocat associé, FTPA.

Deux décisions importantes ont été rendues en juin 2019, qui contribuent à la définition des limites de la liberté d’expression lorsqu’elle est confrontée aux dossiers économiques. Ces deux décisions concernent des révélations, faites par les sites de presse en ligne, sur la désignation d’un mandataire ad hoc dans l’intérêt de sociétés – d’un côté le groupe Conforama (1), de l’autre le groupe Consolis (2). Dans ces deux cas, c’est la responsabilité de l’organe de presse qui a été recherchée devant les tribunaux.

La presse non tenue à la confidentialité
Car selon l’article L611-15 du code du commerce, les procédures de mandat ad hoc et
de conciliation sont couvertes par la confidentialité (3). Il ne s’agit pas, ici, de contester la nécessité de protéger les droits et libertés des entreprises qui recourent à une mesure de prévention des difficultés. La confidentialité permet d’abord de favoriser le succès de la négociation en assurant aux créanciers ou partenaires que les efforts ou les sacrifices qu’ils vont consentir ne puissent servir de références ultérieures. La confidentialité permet aussi d’éviter que les difficultés de l’entreprise qui sollicite ces mesures ne soient aggravées par leur publicité (vis-à-vis des tiers, fournisseurs, clients et concurrents). Cependant, cette obligation de confidentialité pèse sur les personnes limitativement énumérées par le texte
(à savoir « toute personne qui est appelée à la procédure de conciliation ou à un mandat ad hoc ou qui, par ses fonctions, en a connaissance »). Il apparaît clairement que les organes de presse ne figurent pas sur la liste des personnes tenues à la confidentialité.
Si une des personnes énumérées par L611-15 astreints à la confidentialité viole son obligation légale pour informer la presse, cette dernière doit-elle s’autocensurer et ne pas diffuser l’information (puisqu’elle provient de la violation d’une disposition légale) ou doit-elle diffuser l’information au nom du droit à l’information du public ?
Dans l’affaire « Conforama », l’organe de presse – en l’occurrence Challenges – avait été condamné par le tribunal de commerce à retirer l’information de son site web et à ne plus évoquer l’affaire « sous astreinte de 10.000 euros par infraction constatée ». La cour d’appel de Paris a cassé ce jugement dans un arrêt (4) du 6 juin 2019. Elle a jugé que les difficultés économiques importantes (5) du groupe sud-africain Steinhoff et ses répercussions sur Conforama, qui se présente comme un acteur majeur de l’équipement de la maison en Europe et qui emploie 9.000 personnes en France, constituent sans conteste un sujet d’intérêt général tel que garantit par l’article 10 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales (CSDHLF). Si cette décision constitue manifestement un progrès, force est de constater que les dossiers économiques continuent de bénéficier d’une protection dérogatoire qui remet en cause tant la jurisprudence de la Cour européenne des droits de l’homme (CEDH) que la conception traditionnelle de la liberté d’expression.
D’abord, la cour d’appel de Paris suit respectueusement la jurisprudence de la Cour de cassation (6), selon laquelle – au nom de l’effectivité du principe – la confidentialité pèse aussi sur la presse, attachant ainsi la confidentialité à l’information et non aux personnes visées par L611-15. De plus, probablement par timidité, la cour d’appel ne s’est pas contentée de constater que les informations diffusées sur Conforama contribuaient à l’information légitime du public sur un débat d’intérêt général. Elle n’a pas pu s’empêcher
de relativiser l’appréciation par plusieurs autres constats. La cour a relevé que la publication des informations a été faite au mode conditionnel. Si l’information avait été publiée de manière affirmative, la publication aurait-elle perdue son caractère d’intérêt général ?

Préjudice versus intérêt général
De même, la cour d’appel a noté que la publication faisait suite « à plusieurs autres articles de presse décrivant les difficultés financières importantes du groupe Steinhoff, maison mère du groupe Conforama, et de ce dernier ». Si la publication avait été un scoop, aurait-elle perdue son caractère d’intérêt général ? Ensuite, la cour a mentionné que le déficit de la maison-mère de Conforama avait eu pour cause « des irrégularités comptables ». Si tel n’avait pas été le cas, la publication aurait-elle perdu de son caractère d’intérêt général ? Enfin, quel est le besoin de faire référence à l’absence de démonstration du préjudice du plaignant ? Si le préjudice avait été démontré, la publication aurait-elle perdu son caractère d’intérêt général ? Et comment démontrer le préjudice si ce n’est en prouvant que la conciliation a échoué ? Mais l’échec de la conciliation (dont le succès n’est jamais garanti) peut-il réellement être imputable à la publication de l’information ?

Le risque des dommages et intérêts
L’unique critère qui doit être appliqué par un tribunal est de savoir si la publication contribue à la nécessité d’informer le public sur une question d’intérêt général sans avoir à ajouter des critères surabondants. Ce critère unique est déjà difficile à apprécier du fait de son absence de définition. De plus, l’arrêt rendu par la Cour de cassation (7) dans l’affaire « Consolis » rajoute de l’incertitude en appréciant la manière dont l’organe de presse évoque ledit sujet d’intérêt général. Mergermarket avait diffusé sur son site web Debtwire.com, spécialisé dans le suivi de l’endettement des entreprises et consultable par abonnement, des articles sur l’évolution d’une procédure de conciliation demandée par la société Consolis en exposant notamment les négociations engagées avec les créanciers des sociétés du groupe, citant des données chiffrées sur la situation financière des sociétés.
La Cour de cassation a reconnu que la question de la résistance des opérations d’achat avec effet de levier (LBO) à la crise et les difficultés que des sociétés ainsi financées peuvent connaître relevait d’un débat d’intérêt général. Cependant, elle a aussi considéré que l’information diffusée portait sur le contenu même des négociations en cours et leur avancée. De ce fait, les informations divulguées n’étaient plus justifiées par un débat sur des questions d’intérêt général et ne contribuaient pas à la nécessité d’en informer le public puisque ces informations intéressaient, non le public en général, mais les cocontractants
et partenaires de ces sociétés en recherche de protection. En conséquence, un organe de presse peut informer le public mais à la condition de se contenter d’informations générales. A l’inverse, une information détaillée peut retirer à un sujet sa qualification d’intérêt général. L’absence de définition d’un sujet d’intérêt général et sa possible remise en cause en fonction de la manière dont l’information a été traitée sont de nature à exposer la presse à des sanctions d’une gravité inconnue à ce jour. En effet, les organes de presse sont dorénavant sous la menace d’une sanction pouvant conduire à leur disparition pure et simple. C’est là une seconde particularité dont bénéficient les dossiers économiques. Jusqu’à ce jour, et pour tous les sujets, les organes de presse bénéficiaient d’une immunité totale en cas d’abus de la liberté d’expression. Certes, le directeur de publication ainsi que le journaliste pouvaient s’exposer en cas de délits de presse (essentiellement la diffamation ou l’injure) à une peine de prison ainsi qu’à une amende, mais un organe de presse n’était jamais condamné à des dommages et intérêts. La raison en était simple, vu l’importance de la liberté de la presse (8), un abus – s’il doit être sanctionné – ne doit pas conduire à la disparition économique du journal. C’est pour cela aussi que régulièrement, la jurisprudence fermait la porte à toute tentative d’engager la responsabilité d’un organe de presse en dehors de la loi de 1881 sur la liberté de la presse (9) et notamment sur le fondement de la responsabilité civile (10).
La Cour de cassation vient de mettre définitivement fin à cette immunité de fait dans l’affaire « Mergermarket » (11). Après avoir obtenu en référé le retrait de l’ensemble des articles contenant les informations confidentielles et l’interdiction de publier d’autres articles, Consolis a ensuite assigné Mergermarket en indemnisation des préjudices subis du fait de la publication des articles litigieux et a obtenu devant la cour d’appel la somme de 175.854 euros.
Dans son arrêt, la Cour de cassation soumet donc l’organe de presse en ligne au régime de droit commun et juge « qu’ayant retenu qu’en divulguant des informations qu’elle savait couvertes par la confidentialité sans que cette divulgation soit justifiée par la nécessité d’informer le public sur une question d’intérêt général, la société Mergermarket avait commis une faute à l’origine d’un préjudice, c’est dans l’exercice de son pouvoir souverain que la cour d’appel a évalué le montant de la réparation propre à indemniser ce préjudice ».

La presse indépendante menacée
Quand on connaît les difficultés financières des organes de presse indépendants, seuls les groupes de presse puissants vont pouvoir survivre à des condamnations financières de cette nature. L’évolution de la jurisprudence sur ces dossiers économiques n’est pas de bon augure au regard des dossiers à venir concernant le périmètre strict du secret des affaires. C’est probablement lorsque la presse indépendante aura disparu qu’on se rendra compte des effets bénéfiques qu’elle avait sur notre démocratie, mais une fois de plus, il sera probablement trop tard. @

* Fabrice Lorvo est l’auteur du livre « Numérique : de la
révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Franck Riester veut relancer l’idée de taxe « Google Images », déjà prévue par la loi depuis… 2016

Le ministère de la Culture veut « la mise en oeuvre effective » d’une taxe sur les
« services automatisés de référencement d’images » sur Internet – autrement dit une taxe « Google Images ». La loi « Création » de 2016 en a rêvée, Franck Riester va la faire. Une mission du CSPLA vient d’être lancée.

Le président du Conseil supérieur de la propriété littéraire et artistique (CSPLA), Olivier Japiot, a signé le 25 juin une lettre de mission confiée au professeur de droit des universités Pierre Sirinelli (photo de gauche) et mise en ligne le 4 juillet dernier sur le site web du ministère de tutelle (1). « Le ministre de la Culture [Franck Riester] a exprimé sa volonté de modifier le dispositif relatif aux services automatisés de référencement d’images adopté dans le cadre de la loi
[« Création »] du 7 juillet 2016 afin d’en assurer la mise en oeuvre », est-il spécifié.

Vers une gestion collective obligatoire
Le fameux « dispositif » prévu par la loi « Création », promulguée il y a maintenant trois
ans (2), n’est autre qu’une taxe « Google Images ». Dans son article 30 intitulé « services automatisés de référencement d’images » (3), il est en effet institué une gestion collective des droits d’auteur par la perception des rémunérations correspondantes en fonction des œuvres exploitées en ligne et la répartition des sommes perçues aux auteurs ou à leurs ayants droit. Et ce, via une société de gestion collective des droits – seule agréée à signer des conventions limitées à cinq ans avec les « services automatisés de référencement d’images » (dont les photos) comme Google Images (Google, Bing, Qwant, Wikipedia, MSN, etc.). Encore aurait-il fallu que le décret d’application soit publié, ce qui n’a jamais
été fait – malgré le fait que le projet de décret ait été notifié le 5 septembre 2016 à la Commission européenne (4). Car, comme Edition Multimédi@ l’avait révélé l’an dernier,
le Conseil d’Etat avait mis son holà dans un avis de février 2017 jamais rendu public (5).
Les risques juridiques, au regard du droit constitutionnel garantissant la protection du droit de propriété et du droit européen protégeant le droit exclusif de l’auteur, ont eu raison de ce décret mort-né (6). Selon Next Inpact, « c’est avant tout la jurisprudence ReLire de la CJUE, sur les livres indisponibles (7), qui a suscité le feu rouge du Conseil d’Etat » (8).
Mais depuis cette déconvenue, le vent a tourné avec l’adoption le 26 mars 2019 de la directive européenne sur le droit d’auteur et le droit voisin « dans le marché unique numérique », publiée au JOUE le 17 mai (9). « Depuis lors, [cette directive « Copyright »] est venue conforter l’objectif poursuivi par le législateur français à travers divers dispositifs visant à renforcer la capacité des créateurs à être rémunérés par les plateformes numériques qui exploitent leurs œuvres », justifie le CSPLA pour relancer l’idée de cette taxe « Google Images ». Certes, un article 13 ter du projet de directive prévoyait explicitement l’« utilisation de contenus protégés par des services de la société de l’information fournissant des services automatisés de référencement d’images ». Mais cette disposition spécifique, non prévue par le projet initial présenté par la Commission européenne en 2016, a été supprimé lors du trilogue pour s’en tenir au principe général de rémunération des créateurs par les plateformes. Il est donc demandé au professeur Sirinelli missionné d’« évaluer les conditions dans lesquelles le dispositif de gestion collective obligatoire pourrait être mise en place » et de faire « état des éventuels dispositifs alternatifs qui pourraient également permettre d’assurer la juste rémunération aux photographes et plasticiens ». Pour mener à bien cette mission d’ici au 31 octobre prochain, une rapporteure a été désignée : Sarah Dormont (photo de droite), maître de conférences à l’université Paris-Est Créteil Val de Marne (Upec), docteure en droit privé. Le rapport Sirinelli-Dormont devra être présenté lors de la séance plénière du CSPLA « de cet automne ».
La taxe « Google Images » pourrait être collectée dès 2020 par une société de perception
et de répartition des droits (SPRD), que l’on appelle désormais à la Cour des comptes qui les contrôle des « organismes de gestion indépendants » (OGI). Dans la foulée de la loi
« Création », la Société des auteurs dans les arts graphiques et plastiques (ADAGP) et la Société des auteurs des arts visuels et de l’image fixe (SAIF) s’étaient déclarées candidates pour assurer cette gestion collective. Encore faudra-t-il se mettre d’accord sur un barème.

Négocier un barème de rémunération
La loi « Création » donnait aux sociétés de gestion collective et aux acteurs du Net concernés « six mois suivant la publication du décret en Conseil d’Etat » pour aboutir à un accord. A défaut de quoi, « le barème de la rémunération et ses modalités de versement [seraient] arrêtés par une commission présidée par un représentant de l’Etat et composée, en nombre égal, d’une part, de représentants des [OGI] et, d’autre part, des représentants des [Gafa, Google en tête, ndlr] ». A moins que les parties prenantes soient sages comme des images… @

Charles de Laubier

Le « Cloud Act » américain est-il une menace pour les libertés des citoyens européens ?

La controverse née avec l’affaire « Microsoft » sur la localisation
des données prend fin avec le « Cloud Act » dans lequel le Congrès américain précise que la localisation physique de données n’est pas
un élément pertinent lorsqu’un juge américain émet un mandat de perquisition.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 23 mars 2018, le Congrès américain a adopté une disposition qui modifie le code de procédure pénale afin de préciser que la localisation physique de données n’est pas un élément pertinent lorsqu’un juge américain émet un mandat de perquisition. De plus, cette disposition prévoit la mise en place d’accords bilatéraux entre pays ayant un niveau de protection adéquat des libertés individuelles, afin de faciliter l’échange de données dans le cadre d’enquêtes criminelles.

Plus de garanties aux Européens
Certains voient dans le « Cloud Act » – pour Clarifying Lawful Overseas Use of Data Act (1) – une menace pour les libertés des citoyens européens et une possible mise en cause de l’accord « Privacy Shield », le bouclier vie privée (2). En réalité, le Cloud Act sert simplement rétablir une situation qui existait avant la décision de la Cour d’appel américaine dans l’affaire Microsoft. Cette décision de 2016 de la Cour d’appel de Manhattan contredisait d’autres décisions qui estimaient qu’un juge pouvait ordonner la communication de toutes données sous le contrôle direct ou indirect de l’entreprise en cause, peu importe la localisation des serveurs (3). En raison de cette décision «Microsoft » (4), la Cour suprême des Etats-Unis s’apprêtait à rendre une décision sur l’interprétation de cette disposition du code de procédure pénale. Le Congrès américain a réagi plus vite en adoptant le Cloud Act, lequel met fin donc à cette controverse.
Aux Etats-Unis comme en France, il existe deux corps de lois relatifs à la collecte de données par les autorités : en premier lieu, le code de procédure pénale qui régit les enquêtes criminelles ; en deuxième lieu, les dispositions sur la collecte de données dans le cadre des activités de renseignement. Aux Etats-Unis, ces dernières dispositions se trouvent dans le « code de l’espionnage et de la guerre ». En France, ces dispositions se trouvent dans le « code de la sécurité intérieure ». La controverse entre l’Europe et les Etats-Unis après l’affaire Snowden concernait les activités de renseignement (5). Après l’arrêt « Schrems » de la Cour de Justice de l’Union européenne (CJUE) (6), la Commission européenne et le gouvernement des Etats-Unis ont négocié des changements afin de garantir que les citoyens européens ne font pas l’objet d’une surveillance de masse et bénéficient de certaines garanties qui n’existaient pas auparavant. Ces garanties n’ont pas été abrogées par l’administration Trump et le mécanisme du « Privacy Shield » reste intact pour l’instant. Les dispositions du récent Cloud Act ne concernent pas ces activités de renseignements. Il s’agit uniquement d’enquêtes criminelles encadrées par le code de procédure pénale américain. Le Cloud Act concerne une partie de ce code qui permet à un juge saisi par le procureur d’ordonner à un fournisseur de services de communiquer des données relatives à une personne suspectée d’avoir commis un crime. C’est la même procédure que celle appliquée lorsqu’il faut fouiller la maison d’un suspect. Le niveau de preuves et de garanties des droits individuels est à son niveau le plus élevé, car le procureur doit démontrer l’existence d’un faisceau d’indices concordants indiquant qu’une personne identifiée a bien commis un crime et que les preuves se situent probablement à tel ou tel endroit. Un mandat de ce type ne peut être délivré afin d’« aller à la pêche » pour des renseignements.
La logique est complètement différente de celle applicable en matière de renseignements où l’objectif est justement d’aller à la pêche pour des signaux faibles indiquant la présence de menaces graves contre les intérêts de l’Etat. Les dispositions du code de procédure pénale amendées par le Cloud Act ne font aucune différence entre les citoyens américains et les autres. Par conséquent, un Européen qui est visé par une enquête criminelle aux Etats-Unis bénéficie des mêmes garanties qu’un Américain. En matière de renseignements, la situation est différente. A l’origine,
les lois sur le renseignement aux Etats-Unis accordaient moins de droits
aux personnes situées en dehors du sol américain. C’était l’un des points principaux qui posait problème dans l’affaire « Privacy Shield » et qui a poussé l’administration américaine à accorder plus de garanties aux Européens dans le contexte des activités de renseignements.

Documents localisés à l’étranger
Avant la décision de la Cour d’appel dans l’affaire Microsoft, la plupart des tribunaux américains admettaient la possibilité d’ordonner la production de documents sous le contrôle direct ou indirect du prestataire, peu importe la localisation physique des données. Ainsi, si le prestataire pouvait avoir accès aux documents, le juge estimait qu’il était légitime d’exiger leur communication, même si ces documents étaient localisés à l’étranger.
La Cour d’appel fédérale a pris le contrepied de cette jurisprudence en décidant que la loi sur les mandats de perquisition ne permettait pas à
un juge d’ordonner la communication de documents localisés à l’étranger. La Cour suprême s’est saisie de la question mais a mis fin à l’affaire lorsque le Congrès américain a adopté le Cloud Act qui précise justement que la localisation physique des serveurs n’est pas importante en matière de mandat de perquisition.

Droit international et accords bilatéraux
Il faut rapprocher cette disposition de l’article 57-1 du code de la procédure pénale en France, lequel précise que les réquisitions concernent les données situées à l’étranger dès lors qu’il existe un point d’accès autorisé
en France et que la mesure n’est pas en contradiction avec le droit international. L’article 18 de la convention du Conseil de l’Europe sur la cybercriminalité – à laquelle les Etats-Unis sont signataires – évoque également la possibilité d’ordonner la communication d’informations
« sous le contrôle » du prestataire. Cette convention permet à une autorité d’ordonner : « à une personne présente sur son territoire de communiquer les données informatiques spécifiées, en sa possession ou sous son contrôle, qui sont stockées dans un système informatique ou un support de stockage informatique ; et à un fournisseur de services offrant des prestations sur le territoire de la Partie, de communiquer les données en sa possession ou sous son contrôle relatives aux abonnés et concernant de tels services » .
Le Cloud Act rétabli la situation qui existait avec la décision de la Cour d’appel de 2016. Le débat dans chaque situation sera de savoir si les données sont « en la possession ou sous le contrôle » d’un prestataire.
Le deuxième apport du Cloud Act est de permettre la conclusion d’accords bilatéraux permettant aux autorités judiciaires de pays « amis » de pouvoir ordonner la communication rapide de documents sans passer par les procédures plus lourdes d’entraides judiciaires. En plus de la convention
du Conseil de l’Europe, les procédures d’entraides judiciaires actuelles s’appuient sur les accords bilatéraux de coopération dénommés MLAT (Mutual Legal Assistance Treaty). Le système actuel d’entraide judiciaire n’est plus adapté au volume d’affaires nécessitant de telles coopérations en matière de données. Un groupe de travail au niveau du Conseil de l’Europe planche sur le sujet, ainsi que la Commission européenne qui vient de proposer un règlement « e-evidence » – pour electronic evidence, ou preuves électroniques – pour faciliter l’accès aux données pour les juges.
Le Cloud Act s’inscrit donc dans cette tendance générale qui vise à trouver des mécanismes de coopération plus efficace entre autorités judiciaires, notamment pour les enquêtes sur les crimes les plus graves. Le Cloud Act permet aux opérateurs de communications électroniques et prestataires
de cloud de répondre à des requêtes judiciaires émises par un pays ayant conclu un accord avec les Etats-Unis.
Ces accords seraient autorisés uniquement avec des pays qui respectent les mêmes valeurs constitutionnelles que les Etats-Unis en matière d’enquêtes judicaires. Un tel accord est en négociation avec le Royaume-Uni et d’autres pays européens pourraient suivre. Pour un Européen, il paraît surprenant que les Etats-Unis insistent sur l’existence d’une protection adéquate en matière de libertés individuelles. Généralement, c’est tout le contraire : l’Europe reproche aux Etats-Unis l’absence de protection adéquate. Cependant, en matière d’enquêtes judiciaires, l’Europe et les Etats-Unis partagent à peu de choses près les mêmes systèmes de protection des individus. Aux Etats-Unis, ces protections découlent du 4e Amendement de la Constitution qui, depuis 1789, protège l’individu contre diverses formes de perquisitions par les autorités de police. Les règles de procédure dans le « Stored Communication Act » (7) et le Cloud Act respectent ces principes, et ne font aucune différentiation entre des citoyens américains et des citoyens européens. L’Europe et les Etats-Unis sont généralement sur la même longueur d’onde en matière d’enquêtes judiciaires, ce qui n’est pas le cas
en matière de renseignement où les suspicions européennes restent fortes. Et le droit international dans tout ça ? Le principe de « courtoisie internationale » (8) oblige chaque autorité à tenir compte de l’existence de lois étrangères et de s’efforcer d’éviter des conflits avec ces lois. Dans les procédures de discovery en matière civile, les juges américains reconnaissent de plus en plus l’importance des lois européennes en matière de protection des données à caractère personnel, et prennent ces lois en considération. Le Cloud Act inscrit le principe de courtoisie internationale dans la loi en matière de procédures pénales, mais uniquement à l’égard des accords bilatéraux de coopération.

Le RGDP : une barrière à la coopération ?
L’article 48 du règlement général sur la protection des données personnelles (RGDP, ou, en anglais GDPR), lequel est entré en vigueur depuis le 25 mai 2018, semble interdire tout échange de données en dehors d’une procédure d’entraides judiciaires. Selon la Commission européenne, cet article 48 n’est pas aussi catégorique et permet d’autres bases légales de transfert vers des autorités étrangères. Dans son amicus brief (9) devant la Cour suprême dans Etats-Unis, dans le cadre de l’affaire Microsoft, la Commission européenne a souligné que le RGPD tolérait des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. L’article 48 n’est donc pas une barrière infranchissable. @