+33 (0) 7 5692 5302

2023 : DSA – DMA – La nouvelle réglementation d’Internet : remarques sur les projets (adoptés) de l’Union Européenne

par | Jan 8, 2021

Mise à jour du 5 juin 2023 – Le projet de loi numérique – cliquer ici

 
 

Le Parlement européen a officiellement adopté, le 5 juillet, le projet de règlement sur les services numériques dit Digital Services Act (DSA).

Le texte devrait être formellement adopté par le Conseil en septembre, avant d’être publié au Journal officiel de l’UE. Il sera applicable dans tous les pays membres au plus tard le 1er janvier 2024.

(MAJ 11 janvier 2023 : le texte a été adopté et publié au JOUE : RÈGLEMENT (UE) 2022/2065 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques)

(Mis à jour 17 février 2022 :

Dans le cadre de la stratégie numérique européenne, intitulée « Façonner l’avenir numérique de l’Europe », il a été annoncé que la Commission européenne moderniserait les règles régissant les services numériques dans l’UE. La Commission européenne a proposé deux initiatives législatives : le règlement sur les services numériques (DSA) et le règlement sur les marchés numériques (DMA).https://ec.europa.eu/digital-single-market/en/digital-services-act-package

Ces règlements s’appliqueront uniformément et directement sans qu’une transposition en droit national soit nécessaire.Le but global est de discipliner les GAFAM (Google, Amazon, Facebook, Apple, Microsoft) et les autres grands acteurs de l’internet, d’éviter les dévoiements, d’assurer la loyauté de l’information et du commerce.

Une disposition majeure, assez récente en droit de l’Union : ces règlements s’appliqueront aux entreprises étrangères opérant dans l’Union, et celle-ci devront désigner un représentant dans l’Union, apte à soumettre ladite entreprise aux procédures administratives ou judiciaires diligentées dans les Etats membres, sans la contrainte d’avoir à diligenter des procédures en dehors desdits Etats, ou à subir des règles autres que celles du droit de l’Union.

 

Le DSA et le DMA poursuivent des objectifs distincts :

 

Le DSA

 

Son objectif est de contribuer à un espace numérique plus sûr dans lequel les droits fondamentaux des utilisateurs de services numériques sont protégés, au delà des règlementations « consommation » de biens et de services, pour englober les aspects liés à la diffusion de l’information ou du contenu numérique en général.

Ce règlement complètera et amendera la directive actuelle (directive sur le commerce électronique 2000/31 https://eur-lex.europa.eu/legal-content/fr/ALL/?uri=celex:32000L0031) – il s’agit de faciliter les retraits de contenus illicites tout en préservant la liberté d’expression.

Le régime de responsabilité limitée de l’hébergeur perdure, il est cependant attendu de lui beaucoup plus d’implication et de transparence dans les processus de retrait ou de remise en ligne de contenus (articles 14 et 15 notamment).

(MAJ 11 janvier 2023) le texte a été adopté et publié au JOUE : RÈGLEMENT (UE) 2022/2065 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 19 octobre 2022 relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) :

Le texte distingue, chez les « hébergeurs », les plateformes en ligne et les très grandes plateformes en ligne, mais aissi les moteurs de recherche et les très grands moteurs de recherche, avec une responsabilité plus large quand la plateforme se met en avant (article 6 paragraphe 3) :

3. Le paragraphe 1 ne s’applique pas en ce qui concerne la responsabilité au titre de la législation relative à la protection des consommateurs applicable aux plateformes en ligne permettant aux consommateurs de conclure des contrats à distance avec des professionnels, lorsqu’une telle plateforme en ligne présente l’information spécifique ou permet de toute autre manière la transaction spécifique en question de telle sorte qu’un consommateur moyen peut être amené à croire que les informations, le produit ou service faisant l’objet de la transaction sont fournis soit directement par la plateforme en ligne, soit par un destinataire du service agissant sous son autorité ou son contrôle.

Sur les injonctions judiciaires et administratives, il faut noter les articles 9 à 14 dont les précieuses dispositions encadrent le traitement par les plateformes, avec l’obligation pour les plateformes de désigner un point de contact électronique (pour les autorités et pour les destinataire des services), un représentant dans l’Etat concerné, et aux articles 16 et suivants, des obligations accrues de réactivité des grandes plateformes en matière de signalement de contenus et de transparence.

Sur le projet de transposition en France du volet « haine en ligne » voir la mise à jour de l’article :

Le projet de loi Avia contre la haine sur Internet, en quelques points

Les avis négatifs et dénigrants

La difficile levée d’anonymat sur internet

Les données personnelles du dirigeant de société

Les influenceurs et les contrats de marque : les précautions à prendre

MAJ 1er fév.2023 :

Le DSA est entré en application le 16 novembre 2022 ; mais nombre d’obligations ne seront applicables que le 17 février 2023.

Etes-vous concerné ?

Ce texte concerne tous les acteurs de l’internet (avec des dérogations pour les très petits).

Quelles sont vos obligations ?

Votre responsabilité est engagée dès que votre rôle dépasse un simple rôle d’intermédiaire technique, et que les conditions de votre neutralité ne sot pas remplies.

Vous avez l’obligation de

– désigner en France un point de contact et un représentant légal ;

– mettre à jour vos conditions générales ; décrire les procédures de modération des contenus ;

 

Hébergeur :

– mettre en place un système de signalement des contenus illicites ;

– obligation de signalement aux autorités des menaces pour la vie et la sécurité des personnes ;

– mettre en place un système de recours interne contre les décisions de l’hébergeur ;

– mettre en place un système de correction des abus de dénonciation de contenus illicites ;

– rapport de transparence, notamment sur le nombre de litiges traités non judiciairement ;

 

Fournisseur de plateforme :

– information accrue de l’internaute avant sa prise de décision ;

– transparence quant à l’existence et l’origine de la publicité présentée ;

– protection renforcée des mineurs ; interdiction de profilage des mineurs ;

– traçabilité et évaluation des informations fournies par les professionnels ;

Fournisseurs de plateformes présentant un processus de contractualisation entre le professionnel et le consommateur :

– mettre en place les moyens permettant aux professionnels d’assurer leurs obligations d’information précontractuelle ;

– obligation de signnalement d’un produit ou d’un service illégal ;

– réaliser une analyse d’impact des risques induits ;

– prévoir un mécanisme de réaction face aux crises ;

– proposer au moins une option de recommanation ne reprosant pas sur le profilage ;

 

Très grandes plateformes et moteurs :

– tenir un registre des publicités avec une information accrue ;

– désigner un officier de conformité faisant le lien avec les autorités ;

– transparence : sur la modération, le nombre d’utilisateurs ;

– obligation d’audit indépendant ;

– paiement d’une redevance de surveillance ;

 

Des analyses et des processus sont donc à mettre en place ; le Cabinet vous accompagne sur ces sujets.

 

 

Le DMA

Son objectif est d’établir des conditions de concurrence équitables pour favoriser l’innovation, la croissance et la compétitivité, tant dans le marché unique européen que dans le monde. Ce règlement complètera le règlement platform to business 2019/1150 (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32019R1150). Il s’agit de limiter l’effet anti-concurrentiel des gatekeepers.

 

Une incertitude sur le DMA : il est applicable sans préjudice de l’application des règles européennes et nationales existantes, et risque ainsi de se réduire à peau de chagrin.

Mise à jour du 2/11/2022

Entrée en vigueur du Digital Markets Act (DMA)

du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique et modifiant les directives (UE) 2019/1937 et (UE) 2020/1828 (règlement sur les marchés numériques) , après quelques dernières modifications depuis la première proposition.

  • les seuils quantitatifs faisant entrer une entreprise dans le champ d’application du DMA ont été fixés à :
    • 7,5 milliards d’euros de chiffre d’affaires annuel dans l’Union européenne
    • 75 milliards d’euros au niveau de la capitalisation boursière
  • l’amende maximum de 20% du chiffre d’affaires mondial pouvant être imposée par la Commission européenne en cas de non-respect des règles par un contrôleur d’accès, ne s’appliquera qu’en cas de récidive.
  • une amende maximum de 10% du chiffre d’affaires mondial s’appliquera en cas de première infraction.

Le DMA sera appliqué à partir du 2 mai 2023.

A cette date, les contrôleurs d’accès auront deux mois pour notifier leurs services de plateforme essentiels à la Commission européenne. Cette dernière statuera sous 45 jours ouvrables sur la qualification ou non de ces acteurs en contrôleurs d’accès. Les nouvelles obligations pour les contrôleurs d’accès ainsi nommés commenceront à s’appliquer à partir de mars 2024.

La directive sur les actions collectives (DIRECTIVE (UE) 2020/1828 DU PARLEMENT EUROPÉEN ET DU CONSEILdu 25 novembre 2020 relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et
abrogeant la directive 2009/22/CE )– que les États membres doivent transposer d’ici fin 2022, s’appliquera en cas de violation des règles du DMA par les contrôleurs d’accès, permettant aux associations de consommateurs d’agir devant les tribunaux contre les contrôleurs d’accès.

Faites appel au cabinet Roquefeuil à Paris pour vous accompagner dans vos litiges ou vos projets numériques.

Voir aussi, pour un exemple de problème de concurrence et d’accès au marché via la publicité Google Ads : L’entrepreneur web évincé par Google Ads

Réforme du droit de la consommation :

Modification des directives :
https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32019L2161&from=FR

Ordonnance de transposition :
https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000044546235

****************************************************************************************

Le droit de rétractation

Remarques sur l’interprétation du contrat

Les conditions générales, servent-elles encore à quelque chose ?

Peut-on faire juger en France son fournisseur étranger ?

Les clauses abusives

*********************************************************************

Les GAFA face au droit de la concurrence et de ses limites : Rapport d’information déposé en application de l’article 145 du règlement, par la commission des affaires économiques, en conclusion des travaux d’une mission d’information sur les plateformes numériques (Mme Valéria Faure-Muntian et M. Daniel Fasquelle)

Rapport d’information déposé en application de l’article 145 du règlement, par la commission des affaires économiques, en conclusion des travaux d’une mission d’information sur les plateformes numériques (Mme Valéria Faure-Muntian et M. Daniel Fasquelle)

 

*********************************************************************************************************

Voir aussi :

DIffamation, faux témoignage, dénonciation calomnieuse …quelles différences ?

 

 

Voir : décret 2022-32 du 14 janvier 2022 (obligations des plateformes contre les contenus haineux)

D. n° 2022-32, 14 janv. 2022 pris pour l’application de l’article 42 de la loi n° 2021-1109 du 24 août 2021 confortant le respect des principes de la République et relatif à la fixation d’un seuil de connexions à partir duquel les opérateurs de plateformes en ligne concourent à la lutte contre la diffusion publique des contenus illicites

Immunité des plateformes américaines ?

Réformes civiles et pénales 2022

 

Loi numérique 2023

En bref :

La France a présenté un projet de loi visant à sécuriser et réguler l’espace numérique en accordant la législation française avec les règlements européens DMA, DSA et DGA, tout en renforçant la régulation des acteurs.

Le texte désigne l’ARCOM comme « Coordinateur des services numériques » et lui donne d’importants pouvoirs d’enquête, d’injonction et de sanction. La DGCCRF sera chargée de contrôler les fournisseurs des places de marchés en ligne, conformément au DSA. La CNIL aura les moyens de faire respecter les règles du DSA sur les plateformes, notamment les limitations du profilage des publicités, ainsi qu’un contrôle sur le « data-altruism ». Le texte porte également sur la protection des mineurs et la régulation des sites pornographiques, pour lesquels l’ARCOM aura le pouvoir de sanctionner les sites qui ne mettent pas en place des mécanismes de vérification d’âge, ainsi que les fournisseurs d’accès et les moteurs de recherche qui ne les bloquent pas ou ne les déréférencent pas.

Comment réguler l’espace numérique ?

Le projet de loi comprend un titre VIII qui vise à mettre en œuvre les règlements européens DMA, DSA et DGA en France. L’article 18 désigne l’ARCOM comme « Coordinateur des services numériques », une instance imposée par le DSA. La CNIL et la DGCCRF seront également impliquées dans la mise en œuvre du DSA. L’ARCOM aura des pouvoirs d’enquête, d’injonction et de sanction importants. La DGCCRF sera chargée de contrôler les fournisseurs des places de marché en ligne conformément au DSA.

Le texte prévoit également des mesures pour protéger les mineurs, notamment en régulant les sites pornographiques. Les sites pornographiques devront mettre en place des mécanismes de vérification d’âge, et l’ARCOM sera chargée de sanctionner les sites qui ne les mettent pas en place, ainsi que les fournisseurs d’accès et les moteurs de recherche qui ne les bloquent pas ou ne les déréférencent pas.

Terminologie technique :
– DMA : Digital Markets Act, un règlement européen visant à réguler les grandes plateformes numériques.
– DSA : Digital Services Act, un règlement européen visant à réguler les services numériques.
– DGA : Data Governance Act, un règlement européen visant à réguler l’utilisation des données.
– ARCOM : Autorité de régulation de la communication audiovisuelle et numérique, une autorité française chargée de réguler les médias audiovisuels et numériques.
– CNIL : Commission nationale de l’informatique et des libertés, une autorité française chargée de protéger les données personnelles.
– DGCCRF : Direction générale de la concurrence, de la consommation et de la répression des fraudes, une autorité française chargée de protéger les consommateurs et de lutter contre la concurrence déloyale.

Un texte qui va au delà du DSA et du DMA :

Présenté en conseil des ministres, ce projet de loi a pour objectif d’adapter la législation française aux règlements DMA, DSA et DGA de l’Union européenne. Mais il contient également des dispositions supplémentaires qui vont au-delà de ces règlements.

La mise en œuvre des règlements européens est l’objectif principal de cette nouvelle loi. Les obligations prévues par les DMA, DSA et DGA sont déjà contenues dans les règlements européens, mais il est nécessaire d’adapter le droit français pour mettre en œuvre certaines des nouvelles règles et désigner les différentes autorités de contrôle. L’ARCOM est désignée comme « Coordinateur des services numériques » par le DSA. La CNIL et la DGCCRF seront les autres autorités compétentes pour mettre en œuvre le DSA. L’ARCOM disposera d’importants pouvoirs d’enquête, d’injonction et de sanction.

La DGCCRF sera chargée de contrôler les fournisseurs des places de marchés en ligne, conformément au DSA. Les sanctions éventuelles prononcées à l’encontre des plateformes seront prononcées par le juge pénal. Pour adapter le code de commerce au DMA, l’Autorité de la concurrence et la DGCCRF pourront ouvrir des enquêtes sur les « contrôleurs d’accès », ces plateformes qui sont un point d’accès des entreprises pour toucher leur clientèle.

Le texte donnera à la CNIL les moyens de faire respecter les règles du DSA sur les plateformes, notamment les limitations du profilage des publicités, ainsi qu’un contrôle sur le « data-altruism ». L’autorité tiendra notamment à jour un registre public des organistes altruistes en matière de données, qui partagent des données qu’elles estiment utiles pour l’intérêt général.

Le titre premier porte sur la protection des mineurs et notamment la régulation des sites pornographiques. Les sites pornographiques sont contraints de mettre en place des mécanismes de vérification d’âge. Si ces mécanismes de vérification ne sont pas techniquement aboutis, le texte déjudiciarise la procédure de sanction qui sera dorénavant entièrement dans les mains de l’ARCOM. Elle pourra sanctionner les sites qui ne mettent pas en place ces mécanismes, mais également les fournisseurs d’accès qui ne les bloquent pas et les moteurs de recherche qui ne les déréférencent pas.

Le filtre national de cybersécurité est une mesure mise en avant par le gouvernement. Les sites cyber-malveillants (arnaque, fishing) seront listés et les logiciels de navigation comme les fournisseurs d’accès et les systèmes de résolution de noms de domaines devront alors les filtrer et prévenir les consommateurs. Cette action administrative sera faite sous le contrôle d’une personne qualifiée désignée par l’ARCEP.

Le texte encadre également les activités de cloud, afin de faciliter la concurrence : les frais de transfert de données que facturent certains prestataires de cloud seront interdits. De même, les avoirs gratuits pratiqués par certains prestataires seront encadrés. Le gouvernement souhaite garantir l’inter-opérabilité entre les différentes solutions de cloud et la portabilité des actifs numériques. Le tout se fera sous contrôle de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP), qui adoptera des standards harmonisés.

Le projet prévoit également la création d’autorités de contrôle au sein du Conseil d’État et de la Cour de cassation et de la Cour des comptes pour suivre les opérations de traitement effectuées par les justices administratives et judiciaires et financières.

Enfin, le Pôle d’expertise de la régulation numérique (PEReN) pourra plus facilement accéder aux données, pour renforcer son expertise. Ces données pourront nourrir les travaux de l’ARCOM.

Cette nouvelle loi numérique va au-delà des règlements européens pour renforcer la régulation des acteurs de l’espace numérique. Elle vise à protéger les mineurs, à lutter contre la cybercriminalité et à faciliter la concurrence dans le domaine du cloud. Les autorités compétentes disposent désormais d’importants pouvoirs d’enquête, d’injonction et de sanction pour faire respecter ces nouvelles règles.

 

Droit de l’internet – Cadre légal

par | Juin 9, 2020

 

Le droit des données personnelles

Directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice »

Règlement 2016/679 (RGPD règlement général sur la protection des données personnelles) abrogeant la directive 95/46/

 

Les métadonnées, les cookies, télécoms et vie privée :

Directive 2002/58/CE du 12 juillet 2002 dite « vie privée et communications électroniques» (directive e-Privacy sur les métadonnées), modifiée en 2009 (directive 2009/136/CE).Les communications électroniques :
Directive 2002/21 (cadre réglementaire commun pour les réseaux et services de commuication électronique) abrogée par la Directive 2018/1972 (code des communications électroniques européen).

Consommation

Règlement 2015/2120Les plateformes et le droit de la consommation, la loyauté

Règlement 2019/1150 (transparence) (concerne les vendeurs faisant appel aux plateformes)

Directive (commerce électronique) 2000/31

Directive 2015/1535 (notification des règlementations techniques)

 

Droit d’auteur

Directive 2019/790 (droit d’auteur dans le marché unique numérique)

 

L’open data:

Directive 2019/1024 remplaçant la directive 2003/98

 

Les médias, l’audiovisuel

DOCUMENT PRINCIPAL
Directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (directive «Services de médias audiovisuels») (JO L 95 du 15.4.2010, p. 1-24)
Les modifications successives de la directive 2010/13/CE ont été intégrées au document d’origine. Cette version consolidée n’a qu’une valeur documentaire.

DOCUMENTS LIÉS
Directive (UE) 2017/541 du Parlement européen et du Conseil du 15 mars 2017 relative à la lutte contre le terrorisme et remplaçant la décision-cadre 2002/475/JAI du Conseil et modifiant la décision 2005/671/JAI du Conseil (JO L 88 du 31.3.2017, p. 6-21)
Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions intitulée «Stratégie pour un marché unique numérique en Europe» (COM(2015) 192 finaldu 6.5.2015)
Charte des droits fondamentaux de l’Union européenne (JO C 326 du 26.10.2012, p. 391-407)
Directive 2002/21/CE du Parlement européen et du Conseil du 7 mars 2002 relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques (directive «cadre») (JO L 108 du 24.4.2002, p. 33-50)

Consultation sur le droit des plateformes (Digital Services Act) :
https://ec.europa.eu/eusurvey/runner/Digital_Services_Act

Cadre légal UE

Transposition nationale

Digital Service Act – Digital Market Act

Faire retirer un avis négatif

Internet et protection juridique des données personnelles : l’approche franco-européenne, l’analyse de l’avocat RGPD à Paris

par | Mar 2, 2013

 

Internet et protection juridique des données personnelles : l’approche franco-européenne

Les données personnelles (dites aussi “données nominatives”), qui permettent d’identifier telle ou telle personne, telles que le nom ou le numéro de sécurité sociale, peuvent être mal utilisées par des tiers, mais peut-on réellement contrôler ce phénomène sur le web ?  Y compris si untel a choisi, à un moment ou à un autre, de rendre publiques ses données personnelles ?

 

Si certains droits permettent, tels les droits de propriété intellectuelle, de protéger ses créations contre un usage non autorisé, peut-on de la même façon interdire à des tiers d’utiliser les données personnelles d’autrui, comme si elles étaient une création, une expression de la personne, plutôt qu’un simple identifiant, instrument de police, cible publicitaire ou objet médiatique ?

 

Les droits français et européens, se reflétant l’un et l’autre, peuvent donner des éléments de réponse et d’action.

 

“Action” puisqu’un préjudice subi en France peut déclencher la compétence des tribunaux français civils (code de procédure civile, article 46) ou pénaux (code pénal, article L113-2), en particulier quand une infraction a un lien avec la France.

 

 

 

Le régime de protection des données personnelles instaure un principe d’exigence du consentement préalable de la personne avant toute exploitation de ses données personnelles

 

La loi française (loi informatique et libertés n°78-17 du 6 janvier 1978, article 7, modifié par la loi n°2004-801 du 6 août 2004) et la directive européenne (directive n°95/46 du 24 octobre 1995, article 7) subordonnent le traitement des données personnelles au consentement préalable des personnes concernées. Par traitement d’une donnée on entend usuellement l’intégration de cette donnée dans un processus de fichage collectif, plus ou moins automatisé,  qui se distingue du simple usage d’une donnée, nécessité par la fonction même de cette donnée, nous y reviendrons.

 

Ces dispositions permettent d’obtenir des dommages-intérêts, des injonctions, des pénalités. Ainsi le fait de collecter des données personnelles par des moyens déloyaux est puni par la loi pénale jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (code pénal, articles 226-18, 226-18-1, 226-19, 226-28).

 

L’article 7 de la loi n°78-17 du 6 janvier 1978 “Informatique et libertés” dispose en particulier que :

Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l’une des conditions suivantes :

1° Le respect d’une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L’exécution d’une mission de service public dont est investi le responsable ou le destinataire du traitement ;

4° L’exécution, soit d’un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l’intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

 

 

 

Ces dispositions s’appliquent quand les moyens de traitement des données sont situés en France (loi “informatique et libertés”, article 5).

 

La loi ne distingue pas selon que les données personnelles sont en accès public ou non. A ce titre les données personnelles qui seraient collectées par un tiers alors que le consentement de la personne intéressée était requis le seraient-elles illicitement ?

 

Le fait d’avoir publié ses propres données personnelles une fois sur tel ou tel site Web, permis implicitement ou explicitement leur accès public et leur indexation par les moteurs de recherche  n’implique pas, du point de vue subjectif en tout cas,  un consentement général à voir ses données personnelles circuler n’importe où et n’importe comment, en particulier à des fins d’exploitation publicitaire par tel ou tel média, ni à les voir indexées n’importe comment.

 

Il faut toutefois considérer la permission de principe accordée aux acteurs du web d’indexer les contenus publics, cette permission étant considérée comme constitutive de l’internet. Cette permission n’est toutefois pas illimitée et peut être confrontée avec par exemple les dispositions applicables en matière de profit illicite, d’atteinte à la tranquillité de la personne,  d’atteinte au droit d’auteur, ou encore avec les dispositions applicables aux annuaires publics, nous y reviendrons.

 

Outre les dispositions propres aux traitements de données, d’autres régimes ont pour effet de sanctionner les usages non autorisés de  données personnelles.

 

Les droits sur son propre nom et sa propre image contre l’atteinte à la vie privée

 

L’usage non autorisé du nom ou de l’image d’une personne peut inférer une atteinte à la vie privée et être sanctionné à ce titre, en application des articles 9 et 1382 du code civil et 226-1 du code pénal (jusqu’à un an d’emprisonnement et 45 000 euros d’amende).

 

L’usage dans un cadre privé d’une donnée personnelle d’une autre personne ne requiert pas le consentement de cette autre personne. C’est le cas typique de la tenue d’un carnet d’adresses personnel, visé par l’article 2 de la loi “informatique et libertés”. Une divulgation non autorisée de ces données initialement détenues de façon privée peut attirer une sanction civile ou pénale au titre de l’atteinte à la vie privée, selon la sensibilité de l’information divulguée et l’étendue de sa diffusion, la volonté de nuisance en jeu.

 

Et aussi :

 

– Usurpation d’identité, confusion (articles 434-23 et 226-4-1 du code pénal) ;

– Scam (arnaque) (article 313-1 du code pénal) ;

– Montages audio et vidéo (article 226-8 du code pénal) ;

– Profit illégitime (article 1382 du code civil) ;

– Diffamation (loi du 29 juillet 1881 sur la presse) ;

– Abus de l’usage d’un nom comme nom de domaine (article R.20-44-46 du code des postes) ;

– Atteintes au secret professionnel (code pénal, art.226-13) ;

– Atteinte au secret des sources journalistiques (loi du 29 juillet 1881 sur la presse) ;

– Atteinte au droit d’auteur (code de la propriété intellectuelle) ;

– Atteinte à une obligation contractuelle de confidentialité ;

– Atteinte au secret des correspondances (code pénal).

 

 

 

Cela veut-il dire que tout usage de données personnelles sans consentement préalable de la personne concernée est prohibé ? Non, de larges exceptions existent au nom de la protection d’intérêts légitimes aussi vastes, principalement : l’ordre public, la transparence, la liberté d’expression.

 

Où est le principe, où est l’exception ? Rien ne paraît encore tranché si l’on considère d’une part qu’à l’ère informatique l’usage d’une donnée personnelle implique nécessairement une forme de “traitement” de cette donnée et donc l’application généralisée de la règle du consentement préalable, et d’autre part que la liberté d’expression, liberté fondamentale, ainsi que d’autres nécessités, exige une fluidité incompatible avec cette règle.

 

 

 

Certains impératifs permettent d’écarter la règle du consentement préalable

 

L’ordre public et les objectifs spécifiques

 

La tenue de registres est soit prohibée soit au minimum soumise à des contraintes, en particulier celles prévues par les réglementations sur la protection des données personnelles (notamment la loi “informatique et libertés” précitée), et sanctionnée par de lourdes sanctions pénales.

 

Néanmoins la règle du “consentement préalable” peut être écartée quand la collecte des données personnelles est requise pour l’exécution d’obligations légales ou contractuelles : l’opération des services publics,  la protection de la sécurité nationale, la lutte contre la criminalité, la préservation de la santé publique, la sécurisation de l’internet, la promotion des travaux scientifiques, ou plus simplement encore l’opération technique de tel ou tel service contractuel.

 

Dans ces cas les données personnelles sont sensées être gardées confidentielles et sont utilisées seulement par les autorités ou services opérateurs concernés, sur une base restrictive et à travers des procédures et régimes spécifiques. Si les données collectées dans ces conditions sont improprement divulguées, les règles sanctionnant la confidentialité peuvent s’appliquer et fonder des actions civiles, pénales ou disciplinaires (par exemple, violation du secret des correspondances réprimé par l’article 226-15 du code pénal jusqu’à 1 an de prison et 45 000 euros d’amende, et 432-9 du code pénal, jusqu’à 3 ans d’emprisonnement et 45 000 euros d’amende).

 

 

 

La transparence et les annuaires publics : une approche mitigée

 

Selon la CNIL (Commission Nationale Informatique et Libertés) :

Considérant que la publication de listes d’abonnés ou d’utilisateurs des réseaux ou services de télécommunications est libre, sous réserve de la protection des droits des personnes concernées ; que les traitements mis en oeuvre aux fins d’établissement de ces listes constituent des traitements automatisés d’informations nominatives au sens de la loi du 6 janvier 1978 ; qu’en conséquence, les dispositions protectrices de la liberté individuelle et de la vie privée prévues par cette loi sont applicables aux listes d’abonnés qui, quelque soit le support sur lequel elles sont éditées (support papier, ou support électronique), sont communément appelées annuaires ; (délibération n°97 – 060 du 8 juillet 1997).

 

Les articles L34 et L34-5 du code des postes et communications électroniques précisent que :

“La publication des listes d’abonnés ou d’utilisateurs des réseaux ou services de communications électroniques est libre, sous réserve de la protection des droits des personnes.

Parmi les droits garantis figurent ceux pour toute personne d’être mentionnée sur les listes d’abonnés ou d’utilisateurs publiées dans les annuaires ou consultables par l’intermédiaire d’un service de renseignements ou de ne pas l’être, de s’opposer à l’inscription de certaines données la concernant dans la mesure compatible avec les nécessités de la constitution des annuaires et des services de renseignements auxquels ces listes sont destinées, d’être informée préalablement des fins auxquelles sont établis, à partir de ces listes, des annuaires et services de renseignements et des possibilités d’utilisation reposant sur des fonctions de recherche intégrées à leur version électronique, d’interdire que les informations nominatives la concernant soient utilisées dans des opérations commerciales, ainsi que de pouvoir obtenir communication des dites informations nominatives et exiger qu’elles soient rectifiées, complétées, clarifiées, mises à jour ou effacées, dans les conditions prévues aux articles 39 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.” (art.L34 al.2).

 

Ce régime déclenche les sanctions prévues par la loi “informatique et libertés” soit jusqu’à cinq années d’emprisonnement et 300 000 euros d’amende, et plus dans le cas de personnes morales impliquées.

 

“Le consentement préalable des abonnés à un opérateur de téléphonie mobile est requis pour toute inscription dans les listes d’abonnés ou d’utilisateurs établies par leur opérateur mobile, destinées à être publiées dans les annuaires ou consultables par l’intermédiaire d’un service de renseignements, de données à caractère personnel les concernant.” (art.L34 al.3)

 

En bref, certaines mentions sont publiées par défaut, d’autres non, mais dans tous les cas l’abonné doit pouvoir intervenir, sans frais, pour modifier les options par défaut (voir aussi le décret n°2006-606 du 27 mai 2005, modifiant le code des postes, articles R10, R10-12).

(Droit à l’oubli, droit à l’effacement) – Dans l’arrêt Proximus, rendu le 27 octobre 2022, la Cour de justice de l’Union européenne interpète les dispositions de la directive 2002/58 applicables aux annuaires téléphoniques et celles du RGPD.

La transmission des coordonnées d’un abonné par un opérateur téléphonique à un annuaire doit faire l’objet d’un consentement se traduisant par un opt-in et non un opt-out et doit pouvoir être retirée aussi facilement qu’il a été donné. En outre, lorsque l’abonné exerce son droit à l’oubli, il peut s’adresser à n’importe quel responsable du traitement qui sera chargé de communiquer la demande aux autres responsables du traitement ainsi qu’aux moteurs de recherche en ligne.

 

Liens hypertexte et permission d’hyperlier constitutive d’internet

 

Les contenus préjudiciables disponibles en France peuvent être condamnés par des tribunaux français civils ou pénaux. Omettre de retirer les liens pointant vers de tels contenus peut être source de dommages-intérêts, voir par exemple un extrait de la saga LICRA v/ Yahoo sur http://caselaw.findlaw.com/us-9th-circuit/1144098.html.

 

Est-ce qu’un site web ou un moteur de recherche est autorisé à exposer une donnée personnelle dans ses hyperliens ou à utiliser une donnée personnelle comme mot-clé de recherche, à des fins publicitaires ? Non si la donnée personnelle est gardée secrète par la personne qu’elle concerne ou si elle est associée à des contenus illicites, non consentis par cette personne.

 

Il existe bien un principe général de non responsabilité pour le fait de relier par hyperlien, qui est considéré comme une activité constitutive de l’internet.  Cependant quand un contenu illicite, par exemple une donnée personnelle gardée secrète, est signalé à l’installateur du lien ce dernier devient responsable s’il omet de retirer le lien et les commentaires associés. Sa responsabilité est plus ou moins grande selon son rôle et son degré d’implication dans l’acte illicite. Nous verrons plus bas que la loi organise des modalités de notification, outre celles que mettent en place les différents acteurs.

 

En revanche la question est plus délicate en ce qui concerne les données personnelles laissées en accès public à un moment ou à un autre par la personne intéressée. Ces données peuvent être récupérées par des sites divers et variés à des fins publicitaires, pour attirer des clics, du réseau et des contenus, vendre de l’espace publicitaire.

 

La jurisprudence française peu paraître peu encline à sanctionner ceux qui utiliseraient des noms de tiers à titre de mots-clés de référencement publicitaire, si on s’en tient par exemple à la jurisprudence applicable en matière de noms de marques utilisés à titre de mots-clés de référencement par des non-détenteurs de la marque, qui ne sanctionne pas ces “non-détenteurs”.

 

Le fait d’utiliser des données personnelles, notamment à des fins publicitaires sans le consentement préalable de la personne mais après qu’elle a laissé en accès public les dites données sur d’autres sites pourra être confronté aux dispositions applicables aux annuaires publics, vues plus haut, ainsi qu’aux règles sanctionnant le profit illicite, l’atteinte au droit d’auteur et à la tranquillité des personnes.

 

Les dispositions de la loi “informatique et libertés” et la règle du consentement préalable retrouvent en revanche application après un délai raisonnable après que la personne a fait retirer l’ accès public initial à ses données personnelles.

 

Les données publiques qui ne seraient pas retirées, qui resteraient accessibles par les moteurs de recherche usuels, pourraient-elles être réutilisées par des sites tiers, notamment ceux faisant office d’annuaire ?

 

Ces sites annuaires affichent le plus souvent ces données personnelles avec des contenus publicitaires, ou avec des contenus de personnes homonymes, entretenant ainsi un mélange des genres, une confusion sur la paternité des contenus ou sur l’identité des personnes visées par ces contenus. Plusieurs types de dispositions peuvent alors être sollicitées pour sanctionner ces abus :

 

– Le droit applicable aux annuaires, vu plus haut, pas forcément favorable à l’internaute, il faut donc veiller à vérifier la qualification d’”annuaire public” pour écarter cette réglementation ;

 

– Le droit d’auteur, sanctionné civilement et pénalement, qui sanctionne le droit moral de l’auteur à consentir à la divulgation de ses contenus, et des conditions de cette divulgation ; le droit de courte citation n’autorise pas un mélange des genres, ni l’affichage de données avec des contenus publicitaires non sollicités ;

 

– La sanction civile du profit illicite réalisé par un éditeur de site qui attirerait du trafic en affichant ou utilisant comme mot-clé les données personnelles d’un tiers sans son consentement ;

 

– Les dispositions pénales sanctionnant l’atteinte à la tranquillité des personnes ; on rappelle à cet égard l’article L226-4-1 du code pénal selon lequel :

“Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”

 

 

 

Liberté d’expression

 

Cette liberté fondamentale est inscrite en particulier dans la Convention européenne des droits de l’homme (CEDH), à l’article 10. Le fait d’écrire à propos des autres dans le cadre de l’exercice de la liberté d’expression ou de la création artistique est permis par principe. Cette liberté est complétée par une série d’exceptions au droit d’auteur (par exemple l’article L122-5 du code de la propriété intellectuelle prévoit la possibilité de mentionner l’existence d’une création à condition d’en mentionner l’auteur) ou au droit des données personnelles (dérogations prévues en matière littéraire, artistique et journalistique par l’article 67 de la loi “informatique et libertés”).

 

Cette liberté est toutefois limitée par les dispositions classiques du droit de la presse prévues par la loi du 29 juillet 1881, notamment les dispositions pénales en matière d’insulte et de diffamation.

 

Si la publication de données personnelles est faite sans le consentement de l’intéressé, elle doit l’être à des fins d’information, de création, de formation, de discussion scientifique, politique ou syndicale, dans le respect des règles applicables à la liberté de la presse qui requièrent le respect d’une stricte déontologie. Cette déontologie peut fonder des sanctions civiles, pénales, disciplinaires , à posteriori, ou même des mesures préventives.

 

Ces règles ont pour objectif d’interdire tout comportement qui pourrait nuire à la réputation à la dignité d’une personne, interférer avec sa vie ou sa correspondance privée (que l’on pense au “sensationnel”  qui fait vendre tel journal), inciter à la violence et à la discrimination.

 

Les exploitations commerciales restent soumises, elles, à la règle du consentement préalable, c’est par exemple le cas des réseaux sociaux qui se rémunèrent par la vente des contenus drainés.

 

Dans le cadre du droit de presse,  et pour la promotion de la liberté d’expression, le fait d’omettre de demander un consentement préalable n’est pas sanctionné mais la tentative d’obtention de ce consentement sera prise en considération dans le cadre d’actions civiles ou pénales contre, par exemple, des actes de diffamation.

 

Ce n’est le plus souvent qu’une fois l’acte incriminé commis que l’atteinte à la vie privée ou à la réputation pourra être sanctionnée dans le cadre d’une action civile ou pénale.

 

A titre d’illustration, le cas Mosley (ECHR, Mosley c/UK, 10 may 2011, n°48009/08 (commenté http://www.droits-libertes.org)) indique que le reproche fait à l’Etat de ne pas prévoir de sanction du non respect de la règle du consentement préalable n’aboutit pas. Cette affaire concernait la diffusion d’articles et de vidéos révélant la vie sexuelle d’un citoyen, sanctionnée par ailleurs sur d’autres fondements.

 

Des  dispositions spécifiques s’appliquent dans le contexte de la protection de la présomption d’innocence , et de la dignité de la personne (article 35 ter, 35 quater de la loi du 29 juillet 1881) :

 

35 ter

 

  1. – Lorsqu’elle est réalisée sans l’accord de l’intéressé, la diffusion, par quelque moyen que ce soit et quel qu’en soit le support, de l’image d’une personne identifiée ou identifiable mise en cause à l’occasion d’une procédure pénale mais n’ayant pas fait l’objet d’un jugement de condamnation et faisant apparaître, soit que cette personne porte des menottes ou entraves, soit qu’elle est placée en détention provisoire, est punie de 15 000 euros d’amende.
  2. – Est puni de la même peine le fait :

– soit de réaliser, de publier ou de commenter un sondage d’opinion, ou toute autre consultation, portant sur la culpabilité d’une personne mise en cause à l’occasion d’une procédure pénale ou sur la peine susceptible d’être prononcée à son encontre ;

– soit de publier des indications permettant d’avoir accès à des sondages ou consultations visés à l’alinéa précédent.

 

35 quater

 

La diffusion, par quelque moyen que ce soit et quel qu’en soit le support, de la reproduction des circonstances d’un crime ou d’un délit, lorsque cette reproduction porte gravement atteinte à la dignité d’une victime et qu’elle est réalisée sans l’accord de cette dernière, est punie de 15 000 euros d’amende.

 

 

 

Actions

 

Les procédures prévues par la loi de confiance dans l’économie numérique (LCEN)

 

Certaines procédures sont spécifiques aux utilisateurs d’internet et sont prévues par la LCEN. Le fait que des données soient divulguées sur internet entraîne l’application de réglementations spécifiques prévoyant des procédures permettant aux victimes d’obtenir un retrait rapide du contenu incriminé par ceux qui en ont la maîtrise. Les victimes peuvent notifier les irrégularités, dans un ordre séquentiel, à l’auteur, à l’hébergeur, au fournisseur d’accès, dans le but de déclencher leur différentes responsabilités (par exemple les intermédiaires techniques tels que les hébergeurs n’ont pas d’obligation de surveillance générale sur les contenus qu’ils hébergent mais doivent intervenir quand ils sont notifiés), et demander la correction ou le retrait des contenus, dans des formes précises. Ces intermédiaires ont l’obligation d’alerter les autorités à propose des contenus les plus sensibles (par exemple : apologie des crimes contre l’humanité).

 

Les personnes notifiées doivent réagir rapidement. Un refus peut être contesté en justice mais il faut préciser que la charge de la preuve pèse sur la victime. C’est elle qui doit démontrer le caractère impropre du contenu, preuve qui peut s’avérer difficile si ce caractère impropre n’est pas évident en soi. La personne notifiée n’a pas quant à elle à fournir un conseil juridique à la prétendue victime, et peut poursuivre cette “victime” pour abus de notification, puni par l’article 226-10 du code pénal jusqu’à cinq années d’emprisonnement et 45 000 euros d’amende.

 

Le “référé internet” est une procédure accélérée permettant aux victimes d’obtenir devant les tribunaux civils des mesures préventives ou curatives (article 6.I.8 LCEN) (attention, vérifier les réformes successives de la LCEN)

 

 

 

Le droit de la presse

 

Des dispositions pénales s’appliquent (notamment le droit de réponse prévu par l’article 13 de la loi du 29 juillet 1881), y compris aux non professionnels de la presse, même si ceux-ci ne bénéficient pas du privilège du secret des sources ou d’autres privilèges statutaires dont seuls bénéficient les professionnels de la presse.

 

L’article 6 V de la LCEN étend aux services de communication en ligne les dispositions du droit de la presse, en particulier celles qui posent une présomption de responsabilité du directeur de publication. Ce régime est détaillé dans l’article 93-3 de la loi n°82-652 du 29 juillet 1982 sur la communication audiovisuelle, récemment modifiée par la loi HADOPI n°2009-669 du 12 juin 2009, article 27.II, et décrit un régime adapté du régime classique de l’article 42 de la loi de 1881.

 

La liberté de la presse est tempérée par un droit de réponse par toute personne citée, et ce droit s’exerce aussi dans le cadre de services de communication en ligne, comme le prévoit l’article 6 IV de la LCEN et le décret n°2007-1527.

 

Prescription usuelle en matière de délit de presse : 3 mois à compter de la publication (attention vérifier les réformes successives en matière de prescription, ains que les prescriptions spéciales)

 

Les procédures CNIL

 

La Commission Nationale Informatique et Libertés (“CNIL”) est l’institution qui intervient pour superviser l’implémentation des réglementations sur la protection des données personnelles. Elle a son homologue dans chacun des Etats membres de l’Union Euopéenne. La CNIL peut émettre des avertissements, des règlements, des injonctions, des sanctions pécuniaires, et peut initier des actions auprès des tribunaux compétents pour obtenir des mesures d’urgence. Elle peut décider de publier les sanctions. Elle peut émettre des recommandations qui tiendront lieu de standard ou de critère d’interprétation  de la législation sur la protection des données personnelles et sur la notion de vie privée, par exemple à l’égard de l’usage des données personnelles dans les archives publiques et les décisions judiciaires.

 

Une procédure CNIL peut être déclenchée par tout citoyen au moyen d’une simple lettre.

 

 

 

Les tribunaux pénaux

 

Le code pénal rassemble dans un chapitre dédié aux atteintes à la personnalité les dispositions sanctionnant les atteintes à la vie privée, à la tranquillité des personnes, au secret, à la protection des données personnelles et au respect du droit de réponse. Le droit d’auteur est aussi sanctionné pénalement, dans le code de la propriété intellectuelle.

 

Prescription usuelle en matière d’atteintes à la personnalité : 3 ans / 1 an (attention vérifier les réformes successives en matière de prescription, ains que les prescriptions spéciales)

 

 

 

Les tribunaux civils :

 

Le code civil permet d’obtenir des dommages-intérêts en réparation d’un préjudice s’il peut être démontré un lien entre ce préjudice et un usage inapproprié de données personnelles. Ce sera particulièrement le cas en matière de droit d’auteur, d’atteinte à la vie privée, de profit illicite.

 

Il peut être aussi possible d’obtenir des mesures préventives à travers des procédures d’urgence (référé ou requête) prévues explicitement dans le cadre d’une activité sur internet par l’article 6.I.8 de la LCEN.

 

Toutefois le droit civil ne peut avoir pour effet d’ajouter des restrictions à la liberté d’expression autres que celles déjà prévues par la loi sur la presse, dénommées “délits de presse”, tels que l’injure et la diffamation, et soumis à des régimes procéduraux spécifiques.

 

Prescription civile usuelle : 3 ans, 5 ans (attention vérifier les réformes successives en matière de prescription, ains que les prescriptions spéciales)

 

en_GBEnglish
en_GBEnglish