Protection des données : nouvelles règles « d’ici 2015 »

Publié le 1 septembre 2014 par Charles de Laubier

En fait. Le 18 août, la nouvelle commissaire européenne (par intérim) en charge de la Justice, Martine Reicherts, s’est engagée à ce que la réforme de la protection des données – entreprise depuis deux ans et demi par Viviane Reding (à laquelle elle succède) – aboutisse « rapidement » malgré ses « détracteurs ».

En clair. « Juste au moment où la réforme sur la protection des données monte en puissance et de façon urgente, des détracteurs tentent d’y mettre des battons dans
les roues. Ils essaient d’utiliser la récente décision [arrêt daté du 13 mai 2014, ndlr]
de la Cour de justice de l’Union européenne [CJUE] en faveur du droit à l’oubli pour saper notre réforme. Ils le font mal. Et je ne les laisserai pas abuser de cette décision cruciale pour nous empêcher d’ouvrir le marché unique numérique pour nos entreprises et mettre en place une plus forte protection pour nos citoyens », a prévenu avec détermination la Luxembourgeoise Martine Reicherts, lors de sa première intervention publique.

C’était à Lyon, devant un congrès organisé le 18 août. Premier dans ligne de mire de son discours : Google, lequel a dû se plier à cette décision européenne en mettant en ligne un formulaire à remplir (1) par les candidats au droit à l’oubli. Google, qui estime que la décision de la CJUE est « difficile à appliquer », a indiqué mi-juillet au G29 – groupement des « Cnil » européennes – avoir reçu plus de 91.000 demandes. La plus grande partie vient de la France : 17.500 demandes. Le géant du Net laisse entendre que si le droit à l’oubli est impossible à respecter (en raison du flou de certaines demandes ou du risque de censure), les futures nouvelles règles attendues le seront tout autant. Mais la nouvelle commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, qui a succédé le 16 juillet dernier à Viviane Reding, n’en démord pas : la vaste réforme de la protection des données personnelles dont elle hérite aboutira « d’ici 2015 », conformément au calendrier fixé par les représentants des Etats membres le 4 juin dernier. Car cette réforme cruciale ne peut plus tarder.
Il y a deux ans et demi, Viviane Reding présentait deux propositions législatives : un règlement définissant un cadre général pour la protection des données et une directive sur la protection des données personnelles (2). Mais le lobbying des acteurs du Net et d’organisations professionnelles de services en ligne n’a eu de cesse depuis d’exiger des assouplissements, notamment en matière de consentement préalable des internautes (avant d’utiliser leurs données personnelles ou d’installer des cookies)
et de droit à l’oubli. En mars dernier, le Parlement européen avait adopté le projet de règlement. @

Le géant américain Google s’adapte de plus en plus à l’Union européenne, de gré ou de force

Publié le 9 juin 2014 par Charles de Laubier

Droit à l’oubli, protection des données, respect de la vie privée, concurrence sur son moteur de recherche, fiscalité numérique, investissement dans la culture, … Plus de quinze ans après sa création aux Etats-Unis, Google s’européanise – volontairement ou par obligation – chaque jour un peu plus.

Par Charles de Laubier

Il ne se passe plus une semaine sans que Google ne défraie la chronique européenne, souvent sur des sujets de fond, parfois sensibles. Bien que disposant de longue date d’un siège européen
à Dublin (Irlande) et ayant parmi ses dirigeants des Européens – comme depuis près de cinq ans maintenant le Franco-italien Carlo d’Asaro Biondo (photo), patron de Google pour le Sud et l’Est de l’Europe, le Moyen-Orient et l’Afrique (Seemea), basé et habitant à Paris –, ces « affaires » européanisent encore un peu plus chaque fois le géant du Net américain.

Formulaire pour le droit à l’oubli : une première mondiale
C’est le cas du droit à l’oubli confirmé par la Cour de justice de l’Union européenne (CJUE), dont un arrêt daté du 13 mai dernier permet aux internautes des Vingt-huit d’exiger de Google de supprimer toutes pages web et informations personnelles les concernant sur son moteur de recherche.
Le géant du Net a dû se plier à cette décision européenne en mettant en ligne le 29 mai
un formulaire à remplir par les candidats au droit à l’oubli ou soucieux de leur e-réputation. Lors d’une recherche, un message pourra signaler que les résultats ont été modifiés conformément l’arrêt de la CJUE et à la directive européenne de 1995 sur la protection des données personnelles.

Formulaire pour le droit à l’oubli : une première mondiale
C’est sans précédent pour le numéro un mondial des moteurs de recherche. Google s’étant engagé à traiter les demandes au cas par cas et non automatiquement, cela risque d’être fastidieux puisque 12.000 requêtes avaient été enregistrées dès le premier jour et plus de 40.000 au bout de quatre ! L’Europe compte 500 millions d’internautes potentiels… Le comité consultatif d’experts (2) mis en place par Google, et censé rendre son rapport
« début 2015 », risque d’être très vite débordé. Reste à savoir si le « G29 », le groupement des « Cnil » européennes (3) qui s’est réuni les 3 et 4 juin, trouvera le dispositif suffisant et conforme à l’arrêt de la CJUE, sachant que Google ne précise
pas dans quel délai il supprimera – uniquement sur le moteur en Europe… – les données concernées. Les « Cnil » veilleront aussi à ce que l’application du droit à l’oubli – par ce cénacle privé et en dehors de toute décision du juge – ne s’apparente à de la censure,
à de la violation de la liberté d’expression ni encore à de l’atteinte à la liberté de la presse.

Pas de « taxe Google » mais plus de TVA
Le G29 entend aussi amener Google à s’engager sur un « pacte de conformité » sur la protection des données personnelles, de façon à mieux informer les internautes. Et ce, depuis que le moteur de recherche américain a fusionné en mars 2012 une soixantaine
de règles d’utilisation en une seule – regroupant ainsi les données collectées de ses services auparavant séparés (Google, Gmail, Google+, YouTube, Picasa, Google Docs, Google Maps, …). La Cnil en France, qui pilote l’action du G29 vis-à-vis de Google, a
déjà infligé à ce dernier – le 8 janvier – une amende de 150.000 euros pour sa nouvelle politique de confidentialité des données jugée non conforme à la loi Informatique et Libertés (internautes mal informés, non respect du consentement préalable des utilisateurs avant tout cookie, absence de durées de conservation des données, combinaison illégale des données collectées). Google a dû afficher un temps sur la page d’accueil de Google.fr un encart sur sa condamnation. Là aussi, une première mondiale. Google a néanmoins saisi le Conseil d’Etat sur le fond contre cette sanction de la Cnil.

Autre domaine, et non des moindres, où Google va devoir s’européaniser un peu plus :
la fiscalité du numérique. Le géant du Net aura à se mettre en conformité – d’ici le 1er janvier 2015 – avec la nouvelle règle communautaire dite du « pays de consommation » (qui va progressivement remplacer celle du pays d’établissement du siège social). La
TVA sera en effet prélevée à partir de l’an prochain par le pays où l’internaute utilise les services en ligne. En fait, le compromis trouvé fin 2007 à la demande du Luxembourg prévoit un échelonnement progressive de cette règle du lieu de consommation, de 2015
à 2019, à savoir : 30 % conservés par le pays d’établissement en 2015-2016, 15 % en 2017-2018 et enfin 0% à partir du 1er janvier 2019. Cette nouvelle règle, applicable dans un peu plus de six mois maintenant, éloigne le spectre d’une « taxe Google » en Europe.
« L’économie numérique ne nécessite pas un régime fiscal distinct », a d’ailleurs conclu un groupe d’experts dans leur rapport sur la fiscalité de l’économie numérique (4) commandité par la Commission européenne. Quoi qu’il en soit, déjà sous le coup d’une procédure de redressement fiscal en France depuis 2012 pour un montant qui serait de l’ordre de 1 milliard d’euros, Google ne pourra plus pratiquer l’évasion fiscale en profitant du « dumping fiscal » pratiqué par certains Etats de l’Union européenne. C’est ainsi qu’ont été popularisés deux montages financiers baptisés « double irlandais » et « sandwich hollandais » qui auraient permis à Google d’échapper en grande partie à l’impôt en Europe grâce à une filiale située dans le paradis fiscal des Bermudes (où est située sa filiale Google Ireland Holdings). Cette double pirouette fiscale, a priori légale, est décrite en détail dans le rapport français « Colin & Collin » de janvier 2013 sur la fiscalité de l’économie numérique. Pierre Collin est justement l’un des six experts du groupe de haut niveau qui vient de remettre son rapport. Google va devoir cesser cette optimisation fiscale. D’autant que l’Europe attend beaucoup du projet BEPS (Base Erosion and Profit Shifting, comprenez « érosion de l’assiette et déplacement des profits ») de l’Organisation de coopération et de développement économiques (OCDE), laquelle doit présenter un rapport lors de la réunion du G20 en septembre prochain.

Autre « affaire » dans laquelle Google doit s’adapter aux exigences de l’Union européenne : celle du respect de la concurrence sur son moteur de recherche. Le commissaire européen chargé de la Concurrence, Joaquín Almunia, a bien l’intention de conclure
« après l’été » son enquête ouverte en novembre 2010 – à la suite de plaintes d’une dizaine d’entreprises – contre Google pour « abus de position dominante ». Il est reproché au géant du Net de favoriser ses propres services, via son moteur de recherche, aux dépens de ceux de ses concurrents. Pour éviter une amende pouvant aller jusqu’à 5 milliards de dollars, Google a présenté en février dernier de nouvelles concessions que
la Commission européenne semble prête à accepter. Mais c’est sans compter de nouvelles plaintes de 400 entreprises françaises et allemandes qui, regroupées dans une organisation baptisée Open Internet Project (créée à l’initiative notamment de Lagardère, CCM Benchmark et Axel Springer), accusent Google d’atteinte à la neutralité d’Internet
et des résultats de recherche. « Le secteur digital européen demande aux gouvernements européens de garantir une compétition loyale face au monopole de Google, en séparant son moteur de recherche d’une part et ses services d’autre part », a déclaré l’OIP.
Par ailleurs, la firme de Mountain View de plus en plus eurocompatible est confrontée
– en France principalement – aux tenants de « l’exception culturelle » qui exigent sa contribution financière (5). Comme gage de sa bonne volonté, Google a ouvert dès
2011 à Paris son Institut culturel. Mais cela ne leur suffit pas.

Financement de la culture européenne ?
L’« appel de Chaillot » du 4 avril demande à ce que « les diffuseurs contribuent au financement de la création ». Aurélie Filippetti, ministre de la Culture et de la Communication, compte convaincre ses homologues européens d’adopter « une stratégie européenne pour la culture à l’ère numérique ». Une « feuille de route » sera proposée dans ce sens à la prochaine Commission européenne pour la période 2014-2019. @

Cookies : après la concertation, la Cnil veille maintenant au respect de ses recommandations

Publié le 21 avril 2014 par Charles de Laubier

La Cnil, qui a récemment reçu les professionnels et les éditeurs de services en ligne sur le bon usage des cookies, a prévenu qu’elle allait redoubler de vigilance ces prochaines semaines pour s’assurer du bon respect de ses recommandations et de l’accord préalable de chaque internaute.

Par Etienne Drouard, avocat associé, cabinet K&L Gates LLP

La Cnil (1) a publié en décembre 2013 une série de recommandations assorties d’observations et de fiches pratiques sur la régulation française des fichiers cookies et autres traceurs. Ces fichiers, enregistrés dans le terminal d’un utilisateur lors de
la visite d’une page les contenant, sont au cœur de la mesure d’audience, de la publicité interactive et comportementale ainsi que du commerce électronique.

De la concertation à la réglementation précise
Ces cookies permettent de mesurer l’audience des services, d’identifier un terminal
lors de diverses connexions successives, de constituer un panier de commande, etc.
Ils fondent de nombreux modèles économiques et contribuent à la performance économique et éditoriale des services en ligne.
La publication par la Cnil de ces divers documents d’interprétation est intervenue près de deux ans et demi après la modification par voie d’ordonnance (2) de l’article 32.II
de la loi Informatique & Libertés de 1978, lui-même issu de l’article 5§3 de la directive européenne Vie privée et communications électroniques de 2002 modifiée en 2009 (7).

Les acteurs français de la publicité sur Internet s’étaient très tôt dotés de lignes directrices sur l’application de la réglementation européenne, tout d’abord par l’élaboration d’une charte « Publicité ciblée et protection des utilisateurs » signée le
30 septembre 2010 sous l’égide de l’Union française du marketing direct & digital (UFMD) (8). Ensuite, par l’adoption sous l’égide de l’UFMD en avril 2012, d’un « Guide de bonnes pratiques sur l’utilisation des cookies publicitaires », fournissant des recommandations pratiques sur les modalités d’application de l’article 32.II. La Cnil avait, en mai 2012, invité l’UFMD à participer à des travaux d’échanges et de concertation destiné à réduire les écarts d’interprétation qui s’étaient creusés entre l’analyse des associations professionnelles et la doctrine stricte exprimée par la Cnil
et ses homologues depuis 2010, exigeant un consentement explicite, préalable et discrétionnaire des internautes à l’utilisation des cookies à des fins publicitaire et d’analyse comportementale (9). Cette concertation s’est déroulée entre les mois de
juin 2012 et novembre 2013. Elle a conduit la Cnil à adopter des recommandations concrètes synthétisant les points essentiels de consensus dégagés avec les associations professionnelles concernées. L’article 32.II prévoit que le dépôt de cookies et l’accès à des informations stockées dans le terminal, ne peuvent avoir lieu « qu’à condition que l’abonné ou la personne utilisatrice ait exprimé son accord », après avoir reçu des informations prévues par la loi (10). Cet article ne détermine pas de manière précise les modalités d’accord. Le législateur a donc ouvert à toutes les solutions et évolutions technologiques les modalités d’expression des choix des utilisateurs, à condition que ces derniers en conservent la maîtrise.

Poursuivre sa navigation vaut accord
• Etape 1 : un bandeau d’information immédiatement visible lors d’une première visite.
La CNIL requiert l’affichage d’un bandeau informant l’internaute : des finalités des cookies présents sur le service visité, du fait que la poursuite de la navigation vaudra accord à l’enregistrement de cookies, qu’il dispose de moyens lui permettant de refuser les cookies. La notion de « service visité » correspond à une même URL principale. La formule préconisée par la Cnil et qui peut être adaptée selon l’ergonomie des écrans des terminaux et les finalités d’utilisation des cookies, est la suivante : « En poursuivant votre navigation, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts et mesurer la fréquentation de nos services. Pour en savoir plus et paramétrer les cookies… (11) ». Le bandeau peut n’apparaître que lors de la première visite du service, mais il doit être distinct du contenu du service visité et être visible immédiatement, sans action de l’utilisateur, c’est-àdire sans avoir à « scroller » une page ni à effectuer aucune action lors de la première visite.
• Etape 2 : un lien cliquable depuis le bandeau d’information. Le bandeau d’information doit comporter un lien cliquable permettant à l’internaute d’exprimer ses choix à travers les paramètres de son navigateur ou d’un mécanisme de choix sur les finalités de cookies acceptés ou refusés par l’internaute (12). Le lien figurant au sein du bandeau d’information doit permettre à l’internaute, avant de poursuivre sa navigation, de consulter une seconde étape d’information décrivant : les finalités détaillées d’utilisation des cookies, les cookies utilisés pour des opérations de publicité ciblée, les cookies permettant d’identifier un utilisateur de réseaux sociaux avec un bouton de « partage », les cookies de mesure individualisée de l’audience mais pas tous (voir plus loin).

Tous les cookies ne sont pas concernés
Qui doit informer l’internaute ? Chaque émetteur de cookie : il s’agit, au premier chef,
de l’éditeur du service visité, qui doit informer les personnes des finalités des cookies présents sur le service visité, émis par ledit éditeur ou par des tiers, ainsi que des
moyens d’opposition pour les cookies « non nécessaires » au service. Il s’agit également des acteurs suivants (13) : la régie publicitaire, les adservers et membres de réseaux d’adexchange, les agences media, les annonceurs, les éditeurs de réseaux sociaux, les fournisseurs de solutions de mesure d’audience, etc.
Quant au « timing » de dépose des cookies, il est soumis à « l’accord » de l’internaute.
S’il poursuit sa navigation, l’internaute est réputé accepter les cookies et le bandeau d’information peut alors disparaître. A contrario, la dépose/lecture des cookies soumis
à l’accord de l’internaute est subordonnée à la poursuite de sa navigation, laquelle consiste en une action positive de navigation : clic, accès à une page secondaire, scroll, etc. En conséquence, l’inaction totale de l’internaute n’est pas un élément de poursuite de sa navigation (14). Cependant, certains cookies ne sont pas soumis à l’accord ou à la navigation active de l’internaute. Selon les recommandations de la Cnil, les cookies
qui n’ont pas à être acceptés, refusés ou retardés jusqu’à un acte de navigation de l’internaute, sont les suivants :
• Les cookies nécessaires au fonctionnement du service souhaité. Il s’agit des cookies de gestion d’un panier d’achat et d’authentification mémorisant les droits d’accès d’un utilisateur. Il s’agit également des cookies persistants d’adaptation d’un service aux spécificités d’un terminal (langue, système d’exploitation).
• Les cookies de mesure d’audience en vue d’établir des statistiques et dont la durée de validité est limitée dans le temps.
• Les cookies « de session », qui peuvent inclure ceux créés par un lecteur multimédia ou pour l’équilibrage de charge du service visité.
• Les cookies persistants, limités à quelques heures. Ces divers types de cookies peuvent donc être déposés lors du chargement de la page visitée, sans attendre la poursuite de la navigation et sans besoin du bandeau d’information. Mais des difficultés d’application et des questions ont été laissées en suspens par la Cnil.

Les éditeurs, dont les services en ligne contiennent des cookies qu’ils émettent eux-mêmes ou que des tiers ont émis, doivent interroger ces tiers sur les finalités des cookies déposés par ces derniers, afin de pouvoir en informer les internautes. Pour ce faire, les éditeurs doivent donc identifier, analyser et décrire les cookies présents sur leurs propres pages, afin de déterminer s’ils sont ou ne sont pas soumis à l’exigence
de l’accord de l’internaute. De cette analyse dépend la faculté pour l’éditeur de gérer
le moment de dépose de chaque cookie et, le cas échéant, de retarder la dépose
des cookies soumis à l’accord de l’internaute à un acte de navigation de ce dernier.
Or les éditeurs de services ne sont pas toujours en mesure de paramétrer le moment de dépose des cookies émis par des tiers sur les pages de leurs services, ne serait-ce que pour les cookies rattachés à l’utilisation des réseaux sociaux. De surcroît, les éditeurs peuvent ne pas être en mesure de retarder le dépôt des cookies qu’ils émettent et qui sont soumis à l’accord de l’internaute ou à sa navigation active au sein de leurs services.
Sur ce point, les éditeurs de services et les acteurs de l’écosystème de la mesure d’audience et de la publicité doivent évaluer non seulement leur capacité à se conformer aux recommandations de la Cnil sur le « timing » de dépose des cookies, mais surtout le risque résiduel (perte de chiffre d’affaires notamment) résultant de leur incapacité à s’y conformer parfaitement (ou de leur décision de ne pas s’y conformer). La Cnil sera, à n’en pas douter, vigilante dans les semaines qui viennent et ne manquera pas de rappeler des acteurs au meilleur respect de ses recommandations, lesquelles, certes, n’ont pas de portée juridique obligatoire.

Les sanctions possibles de la Cnil
Néanmoins, ces recommandations synthétisent la doctrine de la Cnil et aucun acteur économique ne saurait prendre sereinement le risque médiatique de faire les frais d’une critique publique de cette autorité administrative indépendante – voire d’une amende pour une contravention de la 5e classe (15). L’esprit de concertation dans lequel la Cnil s’était engagée a conduit à des aménagements qui fonctionnent et permettent une bien meilleure information des personnes, à charge pour elles de faire leurs choix. Espérons que cet esprit de concertation perdurera. @

Etienne Drouard a coordonné pour l’UFMD les concertations avec la Cnil. Il est, par ailleurs, président de la commission « Enjeux réglementaires » du Geste (Groupement des éditeurs de services en ligne), lequel publiera le 30 avril 2014 son « livre blanc » de recommandations sur les cookies.

Google condamné par la Cnil : une insécurité juridique pour les entreprises françaises

Publié le 27 janvier 2014 par Charles de Laubier

Alors que Google n’a pas fait appel dans d’autres pays qui l’ont condamné pour non respect de la protection des données (Pays-Bas, Espagne), il a en revanche contesté la décision de la Cnil devant le Conseil d’Etat. Avec cette dernière, les entreprises françaises pourraient être les victimes collatérales.

Par Etienne Drouard, avocat associé, cabinet K&L Gates LLP.

Le 3 janvier dernier, la Cnil (1) a prononcé une sanction pécuniaire de 150.000 euros à l’encontre de la société américaine Google Inc. Il s’agit de la plus forte amende prononcée jusque-là par l’autorité indépendante française,
qui estime que les nouvelles règles de confidentialité de Google ne sont pas conformes à la loi « Informatique et Libertés » du 6 janvier 1978.
En fusionnant les différentes règles de confidentialité applicables à une soixantaine de ses services (Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, …), Google applique une seule politique de confidentialité depuis mars 2012.

Les quatre griefs faits à Google
Si la Cnil comprend cette volonté de simplification, elle estime toutefois que Google ne respecte pas les quatre exigences posées par la loi « Informatique et Libertés ». A savoir que le géant du Net :
• n’informerait pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles, de sorte qu’ils ne sont pas en mesure d’exercer leurs droits ;
• ne respecterait pas l’obligation de recueil du consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux ;
• ne fixerait pas de durées de conservation pour l’ensemble des données qu’elle traite ;
• s’autoriserait, sans base légale, à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services.

La Cnil a également enjoint à Google de publier un communiqué (voir zoom) relatif à cette décision sur le site Google.fr pendant 48 heures, sous huit jours à compter de la notification de la décision. Il est important, pour comprendre le raisonnement suivi par la Cnil, d’analyser cette délibération indépendamment de la société à laquelle elle se rapporte. La Cnil justifie l’application de la loi française au motif que la société américaine Google Inc tire des bénéfices commerciaux de ses activités publicitaires en France. Ce critère économique semblait logique. Cependant, ce raisonnement ne repose pas sur les règles de protection des données permettant
de désigner la loi applicable. En effet, la loi « Informatique et Libertés » a vocation à s’appliquer aux sociétés qui sont établies en France ou qui collectent des données à caractère personnel, en recourant à des moyens techniques situés en France. Sur ce point, la Cnil voulait se déclarer compétente, coûte que coûte, mais sa démonstration de l’application de la loi française à Google Inc paraît très fragile ou, à tout le moins, laborieuse.

Après une phase de rumeurs diffusées dans les médias, un porte-parole de Google a confirmé le 15 janvier dernier, auprès de l’AFP, avoir fait appel de la décision de la Cnil devant le Conseil d’Etat – en référé – pour contester l’injonction de devoir publier durant deux jours la condamnation prononcée par la Cnil, puis au fond. Selon Le Figaro, Google a déposé le 15 janvier justement un recours en référé devant le Conseil d’Etat, ainsi qu’un recours sur le fond. Ce recours en référé étant suspensif, Google n’aurait pas à faire état de cette condamnation sur son moteur de recherches. Ce qu’il aurait dû mettre en ligne à partir du 16 janvier.
Les condamnations récentes prononcées à l’encontre de Google dans d’autres pays européens, n’ont pas fait l’objet d’appel, Google se contentant de payer une amende qui, au regard de sa taille, est symbolique. Ainsi, le 19 décembre 2013 en Espagne, Google écopait de trois amendes simultanées pour un montant total de 900.000 euros (3). Fin novembre 2013, l’autorité néerlandaise rendait des conclusions similaires à l’encontre du géant du Net.

Autant de règles que de services ?
En tout état de cause, quelles peuvent être pour les sociétés françaises les leçons
à tirer de la condamnation prononcée par la Cnil ? Elles sont au nombre de deux :
• Lorsqu’une entreprise fournit divers services régis par autant de conditions d’utilisation, mais obéissant à une seule privacy policy, la Cnil semble estimer que
la juxtaposition des diverses finalités d’utilisation des données, serait illicite. Selon la Cnil, les utilisateurs devraient pouvoir accepter des finalités propres au service qu’ils souscrivent, et rejeter d’autres finalités pour les services qu’ils n’ont pas encore utilisés. Si les entreprises françaises devaient tirer les conséquences d’une telle opinion, elles devraient élaborer autant de privacy policy qu’elles ont de services. Pourtant, aucune disposition française ou européenne de protection des données à caractère personnel, n’exige d’une même entreprise qu’elle s’interdise l’usage croisé des données de ses clients ayant souscrit tel ou tel service qu’elle fournit.

Le « tout ou rien » critiqué par la Cnil
• D’après la Cnil, Google s’autoriserait, « sans base légale », à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services. Or, l’exigence d’une « base légale » formulée par la Cnil ne repose sur aucun fondement juridique. En filigrane, la Cnil conteste le souhait d’une fusion simplificatrice des finalités
de traitement des données portées à la connaissance des personnes. En l’espèce, Google a remplacé des centaines de pages de privacy policies cumulées pour 65 services différents, en un document transversal de seize pages (4) (*) (**) propre à l’ensemble des services fournis par le groupe Google et une vidéo d’information. Selon la Cnil, simplifier à outrance reviendrait à désinformer et favoriserait une logique du
« tout ou rien ».
Paradoxalement, la Cnil, avec ses homologues européens du groupe dit « G29 » (5), critique l’inefficacité des explications trop longues qui dissuaderaient les utilisateurs
de prendre connaissance du fonctionnement des services et de leurs droits. Ainsi, par exemple, en matière de cookies, les autorités de protection des données en Europe,
dont la Cnil en France, ont travaillé à réduire les textes d’information des personnes et
à simplifier à outrance la description des finalités d’utilisation des cookies. Poursuivant une logique simpliste, ces autorités tendent à suggérer une distinction binaire entre les finalités liées exclusivement à la fourniture d’un service et celles – qui seraient dangereuses et soumises à l’autorisation préalable des personnes – liées à la publicité. En conclusion, il ne s’agit pas, ici, de prendre une position pour ou contre la Cnil, ni pour ou contre Google. Il s’agit essentiellement de relever qu’en extrapolant le raisonnement intellectuel suivi par la Cnil pour condamner Google, de nombreuses entreprises françaises pourraient tomber sous le coup d’une condamnation pécuniaire au motif qu’elles fournissent plusieurs types de services régis par une privacy policy commune, réalisant une synthèse dans un souci de simplification.
Enfin, l’exigence d’une publication d’un communiqué sur le site Google.fr – à savoir sur la page d’accueil française du célèbre moteur de recherche – révèle que la Cnil, elle-même, poursuit une logique de communication, plutôt que de rigueur juridique. En effet, en droit français, la publication d’une condamnation est une peine complémentaire qui doit être expressément prévue par la loi. Une telle obligation de publication n’est pas prévue par la loi « Informatique et libertés ». La logique de communication et de polémique médiatique entre Google et la Cnil ne présente aucun intérêt pour les entreprises françaises. En revanche, si l’appel formé par Google devant le Conseil d’Etat ne permettait d’approfondir le raisonnement suivi par la Cnil et, si cet appel était rejeté sur des motifs de fond confortant ce raisonnement, la sécurité juridique des entreprises françaises pourrait s’en trouver affaiblie. Quoi qu’on pense de la puissance hégémonique de Google et des risques internationaux qui pèsent sur la vie privée des personnes, on ne saurait se réjouir d’une telle insécurité juridique. Gageons que le Conseil d’Etat ne sera pas aveuglé par la cible de la Cnil (6), faute de quoi les entreprises françaises pourraient, à l’avenir, suivre le chemin de condamnations ou devoir bouleverser leurs modèles contractuels et économiques, de crainte de se voir appliquer une « jurisprudence Google » qui ne leur serait pas aussi indolore qu’elle le serait pour le géant américain. @

ZOOM

Ce que Google n’a pas (encore) publié
« Communiqué : la formation restreinte de la Commission nationale de l’informatique
et des libertés a condamné la société Google à 150.000 euros d’amende pour manquements aux règles de protection des données personnelles consacrées par
la loi ‘’Informatique et libertés’’. Décision accessible à l’adresse suivant : http://www.cnil.fr/linstitution/missions/sanctionner/Google/ ». Ce texte que la Cnil
a demandé au géant du Net de publier sur Google.fr ne l’a pas encore été (à la date
où nous bouclons ce numéro).
La délibération n°2013-420, prononçant une sanction pécuniaire à l’encontre de Google, a aussi « ordonné » à ce dernier la publication durant 48 heures de ce texte en le justifiant, « compte tenu du caractère massif des données collectées par la société [Google], du nombre important et indéterminé des personnes concernées, qui pour nombre d’entre elles ne sont pas en mesure de s’y opposer ni même d’en être informées ». @

Un droit à l’oubli universel applicable à l’Internet mondial semble hors de portée

Publié le 14 octobre 2013 par Charles de Laubier

Il existe plusieurs aspects du droit à l’oubli où les Américains et les Européens pourraient s’entendre, notamment sur l’obligation des plates-formes numériques d’effacer des données personnelles. Mais les différences législatives et culturelles rendent un droit à l’oubli universel illusoire.

Par Winston Maxwell, avocat associé Hogan Lovells LLP

L’Etat de Californie vient d’adopter une loi sur le droit à l’oubli numérique. La loi californienne, surnommée la loi Eraser Button (ou loi « gomme ») et promulguée par le gouverneur Jerry Brown le 23 septembre dernier, va moins loin que la proposition européenne sur le droit à l’oubli, mais elle démontre qu’un timide rapprochement entre les Etats-Unis et l’Europe est possible sur ce sujet ultra sensible.
La loi californienne vise le cas spécifique des mineurs de moins de 18 ans qui souhaitent effacer les données postées sur Facebook ou sur d’autres plates-formes numériques. La loi « gomme » obligerait les plates-formes du Net à fournir un moyen efficace pour assurer cet effacement.

Loi « gomme » de Californie : un droit à l’oubli à partir du 1er janvier 2015
Le législateur californien cite le problème des photos postées sur Facebook ou sur d’autres réseaux sociaux qui peuvent gêner lors de la recherche d’un emploi ou lors d’une demande d’admission à une université.
Les plates-formes ont jusqu’au 1er janvier 2015 pour mettre ce mécanisme d’effacement en oeuvre. Les auteurs de la loi californienne indiquent que certaines d’entre elles, dont Facebook, fournissent déjà un mécanisme permettant la suppression de données postées par les utilisateurs.
L’objectif de la loi est de rendre ce mécanisme obligatoire pour l’ensemble des plates-formes utilisées par les résidents californiens de moins de 18 ans.
Contrairement à la proposition européenne sur la protection des données et de la vie privée, la loi californienne n’obligerait pas les plates-formes à aller chercher des informations ailleurs sur Internet. La proposition européenne les obligerait à prendre toutes les mesures raisonnables, y compris les mesures techniques, pour informer d’autres prestataires de la demande d’effacement. Le législateur californien reconnaît qu’un nettoyage total d’Internet serait impossible. Une fois qu’une photo est reprise par d’autres internautes, sa suppression totale devient impossible. L’autre grande différence entre la loi californienne et le projet de règlement européen est que la première ne s’applique qu’aux mineurs de moins de 18 ans, alors que le projet de règlement s’appliquerait à l’ensemble des citoyens européens. Le droit à l’oubli comporte plusieurs facettes. Le droit d’un individu d’exiger l’effacement des données qu’il a lui-même fournies est l’aspect le moins controversé du droit à l’oubli. Ce droit existe déjà dans la directive européenne 95/46/CE (1) et dans la loi française informatiques et libertés (2).

Les choses se compliquent lorsqu’il s’agit de données fournies par un tiers. S’il s’agit
de données publiées par un journaliste, une demande de retrait se heurtera à la liberté d’expression. C’est l’avis de l’avocat général de la Cour de Justice de l’Union européenne (CJUE) dans l’affaire « Google Espagne c/ AEPD ». Dans cette affaire, un individu a souhaité rendre moins visible sur Internet des articles de presse sur ses problèmes financiers antérieurs. L’autorité espagnole de protection des données a ordonné à Google de dé-référencer ces articles au sein de son moteur de recherche. L’avocat général Niilo Jääskinen a estimé qu’une telle demande de dé-référencement constitue une forme de censure qui serait contraire à l’article 10 de la Convention européenne des droits de l’homme et des libertés fondamentales (3). La CJUE rendra sa décision en décembre 2013, et cette décision pourrait avoir un impact sur le futur règlement européen.

Le droit à l’image et à la vie privée
Un autre aspect délicat du droit à l’oubli concerne les photos postées par des personnes autres que l’individu lui-même. Si une personne poste une photo de groupe, est-ce que chaque personne prise dans la photo pourra exiger son retrait ? Cette question n’est pas tranchée par la proposition de règlement européen, et nécessitera forcément un examen au cas par cas par un juge. Ce problème n’est pas nouveau : la jurisprudence est riche d’exemples où la publication d’une photo est en violation du droit à l’image d’une personne ou en violation de son droit au respect de la vie privée. Cet aspect de la protection de la vie privée est reconnu aux Etats-Unis depuis le début du XXe siècle. En 1890, deux éminents juristes américains ont écrit un article intitulé The Right to Privacy (4).

Equilibre avec la liberté d’expression
Cité par l’avocat général dans l’affaire Google Espagne c/ AEPD, cet article historique préconise la création d’un nouveau droit sur la protection de la vie privée – notamment pour faire face à la nouvelle menace des petits appareils photos Kodak. Ces juristes voyaient dans les petits appareils photo, et la republication des photos dans la presse, une intrusion intolérable dans la vie privée des citoyens. Ils plaident pour un nouveau
droit de tranquillité pour un citoyen – the right to be let alone. Le droit américain reconnaît encore aujourd’hui la possibilité pour une personne d’obtenir le retrait d’informations
qui empiètent sur les aspects privés de sa vie. Ce droit est inscrit dans la constitution californienne. Il est reconnu dans la jurisprudence de la plupart des Etats américains. Cependant, puisque la frontière de la vie privée varie selon chaque individu, il n’est pas possible de donner aux internautes un droit d’oubli absolu en la matière. L’intervention
d’un juge est nécessaire afin d’équilibrer les droits parfois contradictoires en présence.

Un dernier aspect du droit à l’oubli concerne l’accessibilité par le public aux données collectées par l’Etat. Chaque pays reconnaît à ses citoyens le droit d’avoir accès à certains documents administratifs. En France, les demandes d’accès à ces documents sont gérées par la CADA (5), une autorité administrative indépendante qui tente de trouver un équilibre entre le droit à la transparence et le droit au respect de la vie privée. Chaque pays essaie d’établir un équilibre entre ces droits. Le niveau de transparence varie entre les pays, même au sein de l’Union européenne. Le droit à l’oubli pourrait menacer la disponibilité, voire l’existence, des archives publiques. C’est en tout cas la crainte de l’Association des archivistes français (AAF), pour qui le règlement européen risquerait d’imposer une « amnésie collective » s’il exigeait l’effacement d’archives par l’Etat. La disponibilité des archives publiques peut conduire à des situations choquantes. Le New York Times a révélé le cas de sites web qui collectent et publient sur Internet des photos de personnes prises lors de leur arrestation aux Etats-Unis (6). Ces sites font l’objet de contentieux aux Etats-Unis afin d’obtenir leur fermeture. Certains Etats envisagent de légiférer.
Le dernier aspect du droit à l’oubli concerne la création de « profils de solvabilité » des consommateurs. Les Etats-Unis ont imposé un droit à l’oubli en matière d’incidents de paiement, interdisant la création de fichiers afférant à ceux-ci incluant des faits négatifs datant de plus de sept ans (7). En France, ce délai est de cinq ans. Il y a là une convergence sur les principes, même si le délai varie un peu.
En conclusion, il existe plusieurs aspects du droit à l’oubli sur lesquels les Américains et les Européens pourraient s’entendre, y compris notamment sur la question de l’effacement de données postées sur les plates-formes numériques. Pour d’autres aspects du droit à l’oubli, un consensus sera difficile à trouver compte-tenu des différents droits en présence, et des différences de culture.
Un universitaire américain a publié fin septembre 2013 une étude sur le droit à l’oubli aux Etats-Unis et en Europe (8). Elle pose la question de l’éventuelle reconnaissance aux Etats-Unis d’un droit à l’oubli européen par rapport au premier amendement de la Constitution américaine (9). Cet universitaire voit une similitude avec l’affaire Yahoo!,
dans laquelle ce dernier a demandé à un tribunal américain de juger la légalité d’une décision française ordonnant le blocage d’un site de vente d’objets nazis.

Droit à l’oubli à géométrie variable
Le droit à l’oubli étant fortement lié à la culture de chaque pays, l’établissement d’un droit à l’oubli unique, reconnu partout en Europe et aux Etats- Unis, semble illusoire. On pourrait voir émerger un droit à l’oubli à géométrie variable selon le pays, et ce même au sein de l’Union européenne. Cela pourrait conduire à une situation insolite, où la mémoire numérique de chacun varie selon le pays à partir duquel on cherche l’information. Un utilisateur en Espagne ne verrait plus l’article de presse incriminé, en revanche un utilisateur en France ou aux Etats- Unis pourrait le lire… @

Edition Multimédi@

Economie numérique et Nouveaux médias

Archives par mot-clé : Protection des données