Notification des violations de données personnelles : régime juridique bientôt élargi, source d’incertitudes

Accès frauduleux à des données de santé, piratage de données personnelles, divulgation de photos hébergées sur le cloud portant atteinte à la vie privée, perte d’informations relevant du secret bancaire,…:les failles de sécurité des systèmes d’informations les plus performants défraient la chronique.

Par Christophe Clarenc (photo) et Merav Griguer, cabinet Dunaud, Clarenc Combles & Associés

Les organismes, entreprises ou établissements publics ont l’obligation légale de garantir la sécurité des données à caractère personnel qu’ils traitent ou qui sont traitées pour leur compte par des prestataires. Cette obligation résulte de la loi « Informatique et Libertés », selon laquelle « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient
accès » (1).

Streaming illicite : l’aveu de faiblesse de l’Hadopi

En fait. Le 12 septembre, l’Hadopi a publié une délibération de son collège datée de la veille sur la lutte contre les sites de streaming et de téléchargement direct illicites. L’Hadopi approuve le rapport « MIQ » (implication des intermédiaires du Net) mais ne peut le mettre en oeuvre « à droit constant ».

En clair. La délibération de l’Hadopi datée du 11 septembre est, en creux, un aveu de faiblesse face aux sites de streaming et de direct download (DDL) pour lesquels la loi éponyme de 2009 ne l’a pas « mandatée » pour lutter contre – à la différence des sites de peer-to-peer (P2P) visés, eux, par la réponse graduée. Le collège de l’Hadopi estime en effet qu’« une partie des recommandations du rapport (1) de Mireille Imbert- Quaretta [« MIQ », ndlr] peut être mise en oeuvre à droit constant ». Autrement dit, l’autorité de la rue de Texel ne peut instruire de dossiers de contrefaçon liés au streaming et au téléchargement direct – qu’il s’agisse de particuliers ou de sites Internet. Car sa commission de protection des droits (CPD) – présidée par MIQ
elle-même – n’est pas habilitée par la loi actuellement en vigueur à le faire.
Résultat : l’Hadopi n’apparaît toujours pas comme une menace directe pour non seulement les internautes, dont certains vont sur les sites de streaming ou de DDL illicites pour notamment leurs films et séries (2), mais aussi les éditeurs de ces sites soupçonnés de violation « massive » des droits d’auteur. La délibération du 11 septembre s’en tient donc à une phase préparatoire, sans conséquence immédiate pour les sites pirates relevant du streaming ou du DDL. C’est pourquoi Eric Walter, secrétaire général de l’Hadopi, est limité à ce stade à : « mettre en place un recensement fiable [des sites pirates] », « définir des protocoles décrivant les actions pour assécher [de ces sites] », « établir une cartographie des différentes technologies de reconnaissance de contenus », « développer la coopération avec les divers services de l’Etat ».

L’Hadopi remet en cause le statut d’hébergeur

En fait. Le 25 février, Mireille Imbert-Quaretta, présidente de la Commission de la protection des droits (CPD) de l’Hadopi, a remis à la présidente de cette dernière son rapport sur « les moyens de lutte contre le streaming et le téléchargement direct illicites ». Elle y critique le statut d’hébergeur.

En clair. « Le statut d’hébergeur a (…) favorisé le développement des actes de contrefaçon à grande échelle. Il est ainsi devenu un espace de protection pour les sites qui fondent leur activité sur la mise à disposition non autorisée de contenus. Cet espace
a été préservé par la jurisprudence, qui a consacré une acception large de la notion d’hébergement mais une appréciation stricte de l’obligation de retrait », critique Mireille Imbert-Quaretta, dans son rapport daté du 15 février (http://lc.cx/MIQ).
Si la Cour de cassation a reconnu le 17 février 2011 la qualité d’hébergeur à Dailymotion (1) (*) (**) et à un site d’hébergement de liens hypertextes (à l’époque Bloobox/Fuzz), elle a en revanche écarté le 3 mai 2012 le bénéfice de ce statut protecteur au site d’enchères eBay et au site musical Radioblog. « (…) C’est l’existence d’une capacité d’action sur les contenus ou d’un rôle actif du site de nature à lui donner une connaissance effective des contenus illicites qui peut permettre d’écarter le régime limitatif de responsabilité de l’hébergeur. La présence d’un contenu illicite sur un site ne suffit pas à engager sa responsabilité, mais les sites qui ont un rôle actif sur les mises à disposition de contenus illicites ne peuvent pas se retrancher derrière le statut d’hébergeur ». Ainsi, pour lutter contre le streaming et le téléchargement direct illicites, la magistrate estime que les sites web concernés devraient généraliser la pratique volontaire de la suppression définitive (« take down and stay down ») des contenus piratés. Or, pour l’instant, les hébergeurs ne doivent retirer ou empêcher l’accès aux contenus illicites que s’ils en ont eu effectivement connaissance (2). Les outils d’empreintes numériques, tels que Content ID de YouTube, permettent pourtant ce retrait systématique et définitif. Or, le rapport «MIQ » rappelle que la directive européenne de 2000 sur le commerce électronique donne la possibilité aux Etats membres de « prévoir une série d’obligations à la charge des intermédiaires [hébergeurs, fournisseurs d’accès Internet, fournisseurs de « cache », publicitaires, financiers, …], destinées à faire cesser ou prévenir les atteintes liées à des contenus illicites ». Selon Mireille Imbert-Quaretta, si la législation peut l’imposer contre le blanchiment d’argent sale, alors elle devrait pouvoir le faire contre le piratage en ligne. @

Le traité ACTA en Europe : entre vote et justice

En fait. Le 26 janvier, l’Union européenne et 22 de ses Etats membres – France comprise – ont officiellement signé au Japon l’Accord commercial anti-contrefaçon (ACTA). Et ce, malgré l’opposition à ce traité international controversé qui devra maintenant être ratifié – ou rejeté – par les eurodéputés.
A moins que…

En clair. C’est enfin la dernière ligne droite pour le traité international ACTA (Anti-Counterfeiting Trade Agreement), dont les négociations laborieuses s’étaient achevées le 15 novembre 2010 (1). Maintenant que les ministres européens de… l’Agriculture et de la Pêche (sic) l’ont adopté le 16 décembre dernier lors d’une réunion du Conseil de l’Union, les eurodéputés sont « autorisés » à signer ce texte avec l’Australie, le Canada, le Japon, la République de Corée, le Mexique, le Maroc, la Nouvelle-Zélande, Singapour, la Suisse et les Etats-Unis (2). L’ACTA vise à établir un cadre international pour renforcer les droits de propriété intellectuelle et notamment protéger les œuvres (musiques, films, …) contre le piratage sur Internet.
Il s’agit donc de « promouvoir la coopération entre fournisseurs de services [réseau Internet et contenus Web, ndlr] et détenteurs de droits [culturels et audiovisuels, ndlr]
afin de s’attaquer aux atteintes relatives aux droits dans l’environnement numérique », précise le texte, qui prévoit « des procédures pénales et des peines », ainsi qu’une
« responsabilité pénale au titre de la complicité » des intermédiaires. Et ce, pour « les actes délibérés de contrefaçon (…) commis à une échelle commerciale ».
Non seulement les fournisseurs d’accès à Internet (FAI) mais aussi tous « fournisseur
de services en ligne » (des Google aux Dailymotion, en passant par les BitTorrent ou les Megaupload) pourront être obligés – par « une autorité compétente chargée du respect des droits de propriété intellectuelle » (sur le modèle de la Hadopi ?) – de
« divulguer rapidement au détenteur du droit des renseignements suffisants pour lui permettre d’identifier un abonné » pris en flagrant délit de piratage. Ce sont ces mesures pénales dans un accord commercial que fustigent les opposants à ce texte comme la Quadrature du Net (3) ou les eurodéputés du parti politique Europe Ecologie Les Verts. Ces derniers ont déclaré le 21 décembre dernier qu’ils avaient déposé un recours devant la Cour européenne de Justice pour lui demander d’évaluer la légalité du traité ACTA. Et de, « avant que le Parlement européen ne soit amené à ratifier cet accord ». La justice devra donc dire si l’ACTA contesté est ou non contraire aux dispositions de la Charte européenne des droits fondamentaux et de la Convention européenne des Droits de l’Homme. @