L’encadrement de l’accès aux données conservées par des opérateurs téléphoniques

Dans le cadre d’une enquête préliminaire ou d’une enquête de flagrance, le procureur de la République a la possibilité de faire requérir auprès d’un officier de policier judiciaire la transmission des données de télécommunication d’une personne concernée par l’enquête, notamment le suspect. Ce recours est prévu par le code de procédure pénale français : article 60-1 et article 77-1-1.

Les données de télécommunication peuvent être déterminantes dans une enquête et révéler de nombreuses informations aux enquêteurs. Que ce soit en matière de données de géolocalisation ou de données relatives au trafic, les informations permettent de faire avancer une enquête judiciaire.

Cependant, ce dispositif pourrait être fortement limité à la suite d’un arrêt rendu par la Cour de justice de l’Union européenne le 2 mars 2021. Celui-ci fait suite à une affaire en Estonie mais pourrait néanmoins impacter la procédure française.

Vous souhaitez connaître vos droits et vos devoirs en matière de conservation de données par un opérateur téléphonique ? Pierre de Roquefeuil, avocat spécialisé en droit des technologies de l’information à Paris, vous accompagne pour vous conseiller et pour faire respecter vos intérêts. L’avocat spécialisé vous aidera à identifier la procédure adaptée à votre situation.

Dans quels cas, le dispositif d’accès aux données conservées par les opérateurs téléphoniques peut être utilisé ?

Le droit français impose aux opérateurs téléphoniques la conservation des métadonnées pendant un an afin que les services de renseignement et les autorités puissent y avoir accès dans le cadre d’une information judiciaire.

Pierre de Roquefeuil, avocat spécialisé pénal en droit des technologies de l’information et des médias à Paris, vous apporte quelques informations sur l’encadrement de l’accès aux données conservées par les opérateurs téléphoniques.

Des fichiers recensent toutes nos données en matière de télécommunication : les date et heure des communications téléphoniques, l’identité des interlocuteurs, mais aussi les données de géolocalisation. Des sociétés privées conservent ces données durant un an afin de permettre aux forces de l’ordre et aux services de renseignement d’avoir la possibilité de requérir à ces informations dans le cadre d’une enquête.

Trois décrets du 20 octobre 2021 déterminent le cadre applicable en matière de conservation des données de connexion par les opérateurs de communication électronique, les fournisseurs et les hébergeurs d’accès à internet. Ils précisent les conditions de communication des demandes d’autorisation.

La demande d’autorisation de communication des données de connexion et l’autorisation préalable d’accès aux données doit être formulée par écrit et transmise de façon à en assurer sa confidentialité et de pouvoir attester de sa bonne réception.
Ainsi, la législation prévoit que la demande d’autorisation de communication des données de connexion puisse pour chaque enquête préciser :
– Le nom de la personne suspectée ou le nom de toute autre personne pour laquelle un accès aux données de connexion est nécessaire à l’enquête. Le cas échéant, lorsque le nom n’est pas connu, l’adresse IP ou toute autre donnée de connexion peuvent être sollicités.
– Les données de connexion ou les types de données de connexions sollicités pour chacune des personnes ou dans chacun des cas.
– Les périodes durant lesquelles l’accès aux données de connexion est sollicité.
– Les éléments factuels et de droit qui permettent de justifier la demande.

Ces décrets démontrent l’importance des données de connexion dans le cadre d’affaires judiciaires. Le procureur de la République peut, dans le cadre d’une enquête, requérir toutes les données de connexion qui la concerne. Ces données peuvent permettre aux enquêteurs d’obtenir des informations clés dans une enquête.

En effet, dans le cadre de la prévention du terrorisme, le recours aux métadonnées est indispensable. Les données de localisation des individus suspectés ainsi que les écoutes téléphoniques peuvent communiquer aux enquêteurs des informations clés. Ces informations peuvent permettre d’éviter le passage à l’acte des individus. Dans un objectif de prévention de la sécurité nationale, le recours à ces informations est autorisé par le code de la sécurité intérieure français.

Le cabinet Roquefeuil avocats vous apporte son éclairage sur la législation française en matière d’accès aux métadonnées. L’avocat spécialisé vous expose les conséquences qui font suite à l’arrêt de la Cour de justice de l’Union européenne.

Quelles conséquences à la suite de l’arrêt de la Cour de justice de l’Union européenne ?

La Cour de justice de l’Union européenne (CJUE) a déclaré les pratiques de conservation « généralisée et indifférenciée » des données de connexion illégales. Depuis ces déclarations, la conservation de ce dispositif en France demeure incertaine.

En effet, dans l’arrêt C-793/19 SpaceNet, l’avocat général a précisé que le droit européen « s’oppose à une réglementation nationale qui impose aux fournisseurs de services de communications électroniques accessibles au public de conserver, de manière préventive, générale et indifférenciée, les données relatives au trafic et les données de localisation des utilisateurs finals de ces services à des fins autres que celles de la protection de la sécurité nationale contre une menace grave réelle et actuelle ou prévisible ».

L’avocat général a également indiqué qu’une législation est illicite lorsqu’elle « ne subordonne pas l’accès des autorités compétentes aux données relatives au trafic et aux données de localisation conservées à un contrôle préalablement effectué par une juridiction ou pas une entité administrative indépendante.

Aussi, le Conseil constitutionnel a rappelé que la conservation généralisée de toutes les données de connexion est contraire à la Constitution.

A titre d’exemple, la Cour de justice de l’Union européenne a été saisi d’une question d’une juridiction espagnole dans le cadre de l’instruction d’une affaire. Celle-ci concernant un vol avec violences pendant lequel le téléphone portable de la victime fut dérobé. Le juge chargé d’instruire l’affaire avait refusé de faire requérir la transmission des numéros de téléphones activés par l’appareil volé, estimant que l’infraction n’était pas assez grave pour justifier l’accès à des données personnelles. Ainsi, la juridiction d’appel a interrogé la Cour de justice de l’Union européenne à ce sujet. Cette dernière a alors répondu que l’article 15 de la directive, lu à la lumière des articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne, « doit être interprété en ce sens que l’accès d’autorités publiques aux données visant à l’identification des titulaires des cartes SIM activées avec un téléphone mobile volé, telles que les nom, prénom et, le cas échéant, adresse de ces titulaires comporte une ingérence dans les droits fondamentaux de ces derniers, consacrés à ces articles de la Charte, qui ne présente pas une gravité telle que cet accès devrait être limité, en matière de prévention, de recherche, de détection et de poursuite d’infractions pénales, à la lutte contre la criminalité grave ».

Par conséquent, l’accès à des données à caractère personnel conservées par les opérateurs téléphoniques, ne peuvent pas être justifiées par des infractions de faible gravité portant atteinte grave au droit à la vie privée.

Néanmoins, la Cour de justice de l’Union européenne précise qu’il appartient à chaque nation d’appliquer son droit national en précisant qu’il appartient au juge pénal d’écarter les données recueillies de façon non conforme au droit de l’Union dans le cas où les personnes qui sont poursuivies ne seraient pas en mesure de commenter efficacement les informations et les éléments de preuve. Celles-ci provenant d’un domaine échappant à la connaissance des juges et qui sont susceptibles d’influencer de manière prépondérante l’appréciation des faits.

En effet, la Cour de justice de l’Union européenne reconnaît que la conservation des métadonnées peut être utile dans un objectif de prévention de la menace grave pour la sécurité nationale. Cependant, elle insiste sur le respect de trois conditions : la limite du dispositif dans le temps, la possibilité de justifier la saisie de ce levier par une menace grave, réelle, actuelle ou prévisible pour la sécurité nationale. Enfin, l’utilisation des métadonnées doit être réalisée sous le contrôle effectif d’une juridiction ou d’une autorité administrative indépendante.

De ce fait, le traitement automatisé de données relatives à la localisation en prévention du terrorisme prévu par le Code de la sécurité intérieure est autorisé. Celui-ci doit permettre de filtrer toutes les données pour n’en faire ressortir que les données permettant de rechercher et d’identifier la personne.

En revanche, lorsqu’il ne s’agit pas de menace grave pour la sécurité nationale, la conservation des données à titre de prévention doit être ciblée. Par exemple, les écoutes téléphoniques ne sont autorisées que pour des enquêtes de criminalité organisée ou de terrorisme. Elles sont possibles pour les crimes et délits punis de plus de deux ans d’emprisonnement. Quant aux données de géolocalisation, les services de renseignement ou les forces de l’ordre ne peuvent les utiliser que pour les délits punis de plus de cinq ans d’emprisonnement, ou trois ans dans le cas où il y aurait atteinte à la personne.

Vos données de connexion ont été utilisées dans le cadre d’une enquête et vous souhaitez être conseillé ? Pierre de Roquefeuil, avocat spécialisé en droit pénal des technologies de l’information à Paris, vous accompagne pour vous conseiller et pour faire respecter vos intérêts. L’avocat spécialisé vous aidera à identifier la procédure adaptée à votre situation.

World-Check, ICIJ, Pandora papers, faire retirer des données personnelles

droit informatique avocat paris

Au nom de la transparence, de la lutte contre le blanchiment, et de la liberté de la presse, des consortiums de presse font profession de rechercher, en parallèle ou en amont d’enquêtes policières ou judiciaires, des flux financiers suspects.

Aussi, ils sont tendance à épingler des personnalités plus ou moins connues sur la base des documents publics qu’ils peuvent trouver sur internet.

Ces documents publics sont parfois issus de fuites de données, connues sous les noms de « Pandora papers », « Panama papers », etc…et aussi de registres officiels publics.

Ces organes de presse vont parfois vite en besogne et font des déductions hasardeuses, pour faire du scoop et racoler le lecteur, ou encore, de façon plus légitime, pour tenter de provoquer des éclaircissements sur une affaire.

Des personnes se voient ainsi publiquement suspectées puis fichées dans des bases de données partagées, telles que World-Check, sur lesquelles certaines banques, peu outillées en moyens d’investigation – et surtout désireuses de fermer des petits comptes (<3ME) peu lucratifs et à risque – , se précipitent pour vérifier si les comptes bancaires qu’elles détiennent n’impliquent pas des personnes visées par ces fichiers.

Elles s’empresseront de fermer ces comptes sans explication, et pourront ainsi justifier de leur conformité auprès des autorités de contrôle et de coopération internationale, sans trop dépenser.

L’ICIJ est l’un de ces consortiums de journalistes, et entend participer à la lutte contre la fraude fiscale et l’appauvrissement des Nations.

Ce type de consortium part de l’hypothèse que les gouvernements et les pouvoirs publics gèrent correctement l’argent public et qu’il n’y a en tout état de cause pas de justification à la fraude.  Personne ne contestera que la fraude est effectivement répréhensible en soi en ce qu’elle vise à se soustraire indûment à ses obligations légales, et que la fraude fiscale peut avoir pour effet d’appauvrir le contribuable consciencieux.

En revanche, l’opinion selon laquelle les pouvoirs publics ne sauraient provoquer une défiance légitime n’est malheureusement pas partagée.

Surtout, une personne peut prétendre être injustement victime des oukazes d’organes de presse, et se plaindre qu’elle n’a pas bénéficié des garanties qui lui sont dues dans le cadre des enquêtes menées par les autorités judiciaires ou administratives.

Il s’agit notamment des garanties de secret de l’enquête, de la présomption d’innocence, et de la possibilité d’être entendu impartialement avant qu’une condamnation soit prononcée.

Quels sont les recours de la personne injustement dénoncée contre les organes de presse ?

La personne dénoncée par la presse peut choisir de « communiquer » ou non, et susciter ainsi auprès du public telle ou telle image, selon sa situation.

Elle veillera à concilier sa communication avec les exigences du secret des enquêtes (prévu par exemple par l’ article 11.du code de procédure pénale français), ou d’autres secrets, notamment le secret des affaires, prévu par la directive (UE) 2016/943 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires) contre l’obtention, l’utilisation et la divulgation illicites.

Ainsi l’article 11 du code de procédure pénale français prévoit, dans sa version du 24 décembre 2021 :

Sauf dans le cas où la loi en dispose autrement et sans préjudice des droits de la défense, la procédure au cours de l’enquête et de l’instruction est secrète.

Toute personne qui concourt à cette procédure est tenue au secret professionnel dans les conditions et sous les peines prévues à l’article 434-7-2 du code pénal.

Toutefois, afin d’éviter la propagation d’informations parcellaires ou inexactes ou pour mettre fin à un trouble à l’ordre public ou lorsque tout autre impératif d’intérêt public le justifie, le procureur de la République peut, d’office et à la demande de la juridiction d’instruction ou des parties, directement ou par l’intermédiaire d’un officier de police judiciaire agissant avec son accord et sous son contrôle, rendre publics des éléments objectifs tirés de la procédure ne comportant aucune appréciation sur le bien-fondé des charges retenues contre les personnes mises en cause.

Sur un plan juridique, le droit des pays européens offre un recours en diffamation contre les organes de presse, selon une procédure particulière.

On se réfèrera par exemple, pour le droit français, à la loi du 29 juillet 1881 sur la liberté de la presse et à son article 29 selon lequel :

Toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne ou du corps auquel le fait est imputé est une diffamation. La publication directe ou par voie de reproduction de cette allégation ou de cette imputation est punissable, même si elle est faite sous forme dubitative ou si elle vise une personne ou un corps non expressément nommés, mais dont l’identification est rendue possible par les termes des discours, cris, menaces, écrits ou imprimés, placards ou affiches incriminés.

La protection de la vie privée peut aussi être recherchée, à travers, par exemple, l’article 8 de la Convention européenne des droits de l’homme (ou Convention de sauvegarde des droits de l’homme et des libertés fondamentales du 4 novembre 1950

Toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa
correspondance.
Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de ce droit que pour
autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans
une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au
bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions
pénales, à la protection de la santé ou de la morale, ou à la protection des droits et libertés
d’autrui.

 

Quels sont les recours contre les bases de données ?

Le droit de la protection des données personnelles vise à sanctionner les traitements, en particulier informatiques, de données personnelles  qui portent atteinte aux libertés ou au consentement de la personne.

Ce droit peut être invoqué contre des fichiers et bases de données, des moteurs de recherche internet.

Les fichiers, registres, traitements, moteurs de recherche et autres bases de données qui rassemblent des données personnelles permettent de profiler la personne, parfois à son détriment.

En effet, une requête, dans la base, sur un nom ou une autre donnée personnelle, aboutira inévitablement à dresser un profil de la personne concernée, à y adjoindre une catégorie et tout éventuel avis négatif, public ou non, de source journalistique ou non, de source officielle ou non, selon le type de base que l’on consulte.

Le fichier, en tant qu’il permet un accès direct et instantané au profil d’une personne à partir du renseignement d’une de ses données personnelles, détient une capacité de nuisance qui peut être particulièrement cuisante quand la base de données est publique, sans restriction d’accès, non réservée à des autorités de police, comme peut l’être par exemple un moteur de recherche internet.

En droit de l’Union européenne, c’est le règlement (UE) 2016/679 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) qui prévoit le régime de protection des données personnelles.

Cette protection est assurée au moyen de recours juridictionnels et administratifs ouverts au citoyen, et aussi par l’initiative d’autorités dédiées pouvant agir en réseau (par exemple, en UE, réseau des autorités nationales de chacun des Etats-membres de l’UE).

Ce droit à la protection des données personnelles contient un « droit à l’oubli », prévu à l’article 17 du règlement, qui permet l’effacement des données personnelles.

Ce droit ne remet nullement en question la liberté d’expression de la presse mais permet de restreindre le traitement des données personnelles (autrement dit le « fichage de la personne ») quand les droits fondamentaux de la personne sont en jeu, notamment sa vie privée et sa sécurité.

Il convient donc de distinguer

d’une part :

  • « l’actualité » qui paraît spontanément sous forme de bulletin sur tel ou tel sujet, selon, précisément, l’actualité du moment, qui commande, et que la liberté d’expression entend favoriser,

et d’autre part :

  • le « traitement des données personnelles » dont l’exploitation suppose le renseignement préalable d’une donnée personnelle ; ici c’est le renseignement d’une donnée personnelle, et non l' »actualité », qui commande le résultat de recherche.

 

Se faire assister par un avocat spécialisé en droit de la communication à Paris :

Cabinet Roquefeuil avocats

Influenceur et contrat avec une marque, l’avocat en droit de la propriété intellectuelle répond

L’influenceur a généralement une communauté sur un ou plusieurs réseaux sociaux type instagram, facebook, tiktok..

Les marques peuvent le solliciter pour qu’il commente leurs produits ou leurs services.

Quand est-on en présence d’une opération à caractère publicitaire ? L’avocat en propriété intellectuelle vous répond

La pratique d’influenceur est très encadrée dès qu’elle est identifiée comme « publicitaire », c’est-à-dire quand l’influenceur et la marque ont conclu un accord, et que le poids de la marque se fait sentir.

La Cour de cassation rappelle que « le fait que ce message soit relayé par l’intervention d’un internaute à l’intention de son « réseau d’amis » ne lui faisait pas perdre son caractère publicitaire » (Cass. 1re civ., 3 juill. 2013, n° 12-22.633).

La publicité est soumise aux exigences induites par les pratiques commerciales trompeuses ou agressives des articles L. 121-1 et suivants du Code de la consommation, aux obligations d’identification prévues par la loi pour la confiance dans l’économie numérique (L. n° 2004-575, 21 juin 2004, dite LCEN) et la lutte contre la publicité cachée, pour ce qui est du marché français.

Quels sont les droits en jeu à prendre en considération dans un contrat avec une marque ? L’avocat en propriété intellectuelle intervient

L’influenceur a bien entendu un droit à l’image.

Mais plus généralement il a un droit à la protection de tous les attributs de sa personnalité, tels son nom et prénom.

La marque a pour l’essentiel un droit de marque, lui permettant de capitaliser la réputation de son produit ou de son service.

D’autres prestataires ont un droit d’auteur, tel le photographe ou le producteur/réalisateur.

Ce droit leur permet de revendiquer une compensation contre l’exploitation de leurs travaux, outre la rémunération qu’ils ont pu recevoir pour l’accomplissement de leur prestation.

L’ensemble de ces droits doivent donc faire l’objet de négociation et de contrat afin d’éviter au mieux les risques de réclamation.

La loi visant à encadrer l’exploitation commerciale de l’image d’enfants de moins de 16 ans sur les plateformes en ligne est parue (L. n° 2020-1266, 19 oct. 2020).

Les règles du code du travail leur sont désormais applicables (art. L. 7124-1 et s.), obligeant ainsi les parents à demander une autorisation individuelle ou un agrément auprès de l’administration.

Ces derniers ont également l’obligation de placer une partie des revenus de leur enfant à la Caisse des dépôts et consignations jusqu’à leur majorité ou leur émancipation(art. L. 7124-9).

Dans tous les cas, une déclaration doit être faite, au-delà de certains seuils de durée ou de nombre de vidéos ou de revenus tirés de leur diffusion (L. n° 2020-1266, art. 3).

Parallèlement, les plateformes de partage de vidéos sont fortement incitées, sous l’égide de l’ARCOM, à adopter des chartes favorisant l’information des mineurs sur les conséquences de la diffusion de leur image sur leur vie privée ainsi que sur les risques psychologiques et juridiques qui en découlent (L. n° 2020-1266, art. 4 et 5).

La loi ouvre aux enfants un droit à l’oubli numérique qu’ils pourront exercer seuls sans leurs parents (L. n° 2020-1266, art. 6).

 

Quel sont les écueils à éviter lors de la rédaction et de la négociation du contrat avec la marque ? L’avocat en propriété intellectuelle à Paris vous assiste

Au début d’un partenariat, on a pas forcément toutes les cartes en mains pour négocier au mieux et au plus juste.

Il convient donc de prévoir une clause de révision du contrat plus ou moins souple, permettant à un contractant de se dégager, au moins dans telles ou telles conditions.

Il s’agit aussi d’éviter les contrats trop longs ou écrits trop petits, ou renvoyant à des conditions générales, souvent piégeux, ou peu clairs.

Or les contrats peu clairs ouvrent droit à interprétation. Ils sont donc source de discussions, le plus souvent à l’avantage du cocontractant économiquement plus fort.

 

Se faire assister par un cabinet spécialisé en droit de la propriété intellectuelle :

Cabinet Roquefeuil avocats

On te lynchera : Droit à l’oubli et droit de réponse sur internet, l’avocat en droit de la presse à Paris répond

Le profilage par les moteurs de recherche, ce fléau des temps moderne – Big Brother is Watching You

A l’heure des réseaux sociaux et des plateaux télé vociférant où l’on vient avec ses sentiments en bandoulière, le droit de réponse est souvent présenté comme le rempart absolu contre l’usage excessif de la liberté d’expression, permettant à quiconque est visé dans un article publié d’exiger la publication d’un correctif. Les choses sont cependant à relativiser. Typiquement le profilage des personnes et des entreprises par les moteurs de recherche, très épris de la liberté d’expression à l’américaine, la sauvage « freedom of speech » de la constitution des USA, ne permet aucun droit de réponse et stigmatise réellement ce qui en sont victime.

 

L’absence d’un droit de réponse contre les moteurs de recherche

Sur internet, le droit de réponse est régi par :

L’article 6-IV de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique

Le décret 2007-1527 du 24 octobre 2007 relatif au droit de réponse applicable aux services de communication au public en ligne et pris pour l’application du IV de l’article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique
 
L’article 13 de la loi du 29 juillet 1881 sur la liberté de la presse

Les moteurs de recherche voient en général d’un bon œil ce qui peut s’apparenter à du dialogue et à de la critique constructive, ou ce qui renforce et finalement légitime un avis négatif, telle une réponse.

Selon les principes de e-réputation, l’insertion d’une réponse a néanmoins un effet contre-productif en ce sens où elle aurait tendance à augmenter le référencement de la publication que l’on veut précisément combattre.

Toutefois, ce droit de réponse reste souvent le seul moyen de combattre rapidement les dénigrements et les diffamations, les atteintes à la vie privée, en attendant mieux, quand il existe un moyen pour la personne visée de répliquer directement, en ligne, à l’avis. (Malheur : pas de droit de réponse contre les moteurs de recherche qui indexent les contenus défavorables et dont pourtant le pouvoir de nuisance est bien plus important).

Ce d’autant plus que les recours restent si laborieux pour le commun des mortels.

Consultez un avocat spécialisé en droit de la communication à Paris

Le palliatif du « droit à l’oubli »

L’arrêt Costeja (Cour de justice de l’Union Européenne, 13 mai 2014, Costeja / Google Spain, C-131/12) pourra éventuellement être opposé aux moteurs de recherche pour obtenir un déréférencement  (« droit à l’oubli »), et par référence aux articles 17  et 85 du règlement UE 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)(RGPD), et à l’article 80 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.

L’arrêt Costeja permet de poursuivre les référencements faits par les moteurs de recherche, étant donné qu’ils permettent d’établir le profil d’une personne par une recherche sur son nom, en indexant les pages qui mentionnent ce nom. Ce traitement informatique effectué par le moteur est visé par l’article 17 du RGPD (« droit à l’oubli » ou « droit à l’effacement ») et développé à l’article 51 de la loi informatique et liberté, qui réserve l’exercice de la liberté d’expression.

Ce déréférencement n’est pas automatique. Il permet à une personne stigmatisée de réclamer à un moteur de recherche que certains contenus la concernant ne soit plus fléchés par le moteur. Elle doit s’appuyer sur des raisons valables (arrêt de la CJUE du 24 septembre 2019, arrêts du conseil d’État du 6 décembre 2019 et du 27 mars 2020, Cour de cassation, Chambre civile 1, 27 novembre 2019, 18-14.675, Publié au bulletin, pôle 1), ou sur la protection de la vie privée.

En ce qui concerne le thème de la protection des données personnelles face à la liberté d’expression, on notera :

L’article 85 du RGPD renvoie à la loi de chaque Etat membre en ce qui concerne la conciliation du droit à la protection des données personnelles avec la liberté d’expression.

A ce sujet, l’article 80, 2°, de la loi informatique et libertés, dans sa version du 1er juin 2019 résultant de l’ordonnance n°2018-1125 du 12 décembre 2018, article 1, maintient la restriction du droit de protection des données personnelles face à la liberté d’expression seulement en ce que celle-ci est exercée par un journaliste professionnel…et Google, dans son activité de moteur de recherche (« Google Search ») ne fait pas œuvre de journalisme, mais d’indexeur. Il est d’ailleurs redevable envers les contenus journalistiques qu’il indexe (cf.directive DIRECTIVE (UE) 2019/790 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE,  article 17).

L’article 21 paragraphe 1 du RGPD permet à chacun d’invoquer une situation particulière, liée à son parcours personnel, pour s’opposer à un traitement de ses données personnelles (« droit d’opposition », visé aussi par l’article 56 de la loi informatique et libertés).

***

Voir aussi

Se faire assister par un avocat spécialisé en droit de la presse à Paris :

Cabinet Roquefeuil avocats

Données personnelles : la CJUE retient l’intérêt prépondérant des registres officiels des sociétés, l’avocat en droit de la communication à Paris analyse

#privacy #donnéespersonnelles #annuairesweb #droitaloubli : Cour de justice de l’Union européenne – CJUE – Arrêt dans l’affaire C-398/15Camera di Commercio, Industria, Artigianato e Agricolturadi Lecce/Salvatore Manni

Dans cet arrêt la CJUE confirme le rôle d’information des registres des sociétés, qui, par les informations qu’ils livrent, y compris des données personnelles, contribuent à la transparence du commerce.

Faites vous assister par un avocat en droit de la communication

Registres de commerce et de sociétés : une légitimité non remise en question

Cette position est classique.

On veillera à ce qu’elle ne profite pas à des entreprises d’annuaires privés qui pullulent sur internet, qui rachètent des données auprès des registres officiels, pour en assurer une publication accrue et intempestive sur internet, sans l’autorisation préalable des professionnels et des entreprises concernés, aux seules fins d’attirer du trafic sur les publicités qu’elles affichent à côté des dites données, et dans leur seul intérêt.

Ces entreprises d’annuaires privés restent bien évidemment condamnables pour l’usage non autorisé de données personnelles et pour le dommage qu’elles sont susceptibles d’occasionner et qu’elles occasionnent de fait pour « service » non sollicité. Une prétendue liberté d’expression ou la loyauté des affaires ne sauraient dériver en droit de porter atteinte à la liberté d’entreprendre et au choix de son mode de communication.

De façon plus générale, on peut s’interroger toutefois sur la nécessité d’indiquer dans ces registres certaines données personnelles des dirigeants. Les dirigeants peuvent en effet être « retrouvés » par les huissiers sans que la publication de l’adresse personnelle du dirigeant soit nécessaire ; une simple collecte par le registre et une divulgation sur demande d’huissier ou du juge porterait moins atteinte à l’exercice du droit à la protection de la vie privée. A l’heure actuelle, l’ingérance de l’autorité publique dans l’exercice de ce droit paraît excessive et pourrait sans doute être contestée devant la CEDH.

Consultez un avocat en droit de la communication

Voir aussi :

La longue lutte contre les annuaires sauvages

Le nouvel article 6.I.8 LCEN, pour un retrait plus dynamique des contenus en ligne.

Faire sanctionner un avis négatif sur internet.

Le développement inquiétant des aspirateurs de données nominatives (« ADN »).

Voir aussi :

Le droit de rétractation

Remarques sur l’interprétation du contrat

Les conditions générales, servent-elles encore à quelque chose ?

Peut-on faire juger en France son fournisseur étranger ?

Les clauses abusives

Voir aussi

Le droit à l’oubli sur internet est-il garanti ? L’analyse de l’avocat en droit de la communication à Paris

Les réseaux sociaux, heurs et malheurs

Définition du droit à l’oubli

Droit à l’oubli : permet à tout individu de demander le retrait des informations le concernant sur des actions passées, qui pourraient lui nuire.
Conformément à l’article 38 de la loi n°78-17 du 6 janvier 1978 relative à ‘l’informatique, aux fichiers et aux libertés (modifié par la loi n°2004-801 du 6 août 2004) « Toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. Elle a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur ».

 Le droit à l’oubli est l’objet d’un important travail législatif européen. Il est mentionné dans la directive sur la protection des données de 1995 n° 95/46/CE jusqu’à une décision n°C-131/12 de la Cour de Justice de l’Union Européenne du 13 mai 2014 qui a consacré le droit à l’oubli en Europe.

 

 Consécration relative par le RGPD

  • Le 14 avril 2016 a été adopté le règlement régulation européenne pour la protection des données (General Data Protection Regulation). Celui-ci entrera en vigueur le 24 mai 2018. Il prévoit notamment que le consentement du sujet devra être donné explicitement, que les pouvoirs des autorités nationales indépendantes chargées de la protection des données seront renforcés ou que des sanctions pour manquement au respect de ce règlement seront adressées aux entreprises.

 

En France, à l’initiative de la secrétaire d’Etat chargée de la Prospective et du développement de l’économie numérique, Nathalie Kosciusko-Morizet, est signée en 2010 deux chartes relatives au droit à l’oubli numérique :
– le 30 septembre 2010 : Charte du droit à l’oubli numérique dans la publicité ciblée : concernant les données personnelles collectées sans que l’internaute en ait conscience ;
– le 13 octobre 2010 : Charte du droit à l’oubli numérique dans les sites collaboratifs et moteurs de recherche : concernant les données personnelles publiées activement par l’internaute. (Facebook et Google n’en seront pas signataires).
 
En 2011 le G29 par un avis 15/2001 souligne que l’utilisateur doit pouvoir exprimer clairement son consentement.

 Le responsable du site où est présent l’information dispose d’un délai légal de deux mois pour répondre à la demande du plaignant (conformément à l’article 94 du Décret n°2005-1309 du 20 octobre 2005 pris pour l’application de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés). En cas de non réponse ou de refus, le plaignant peut porter plainte auprès de la CNIL.

 Le droit à l’oubli s’applique concrètement  de 2 manières :

  • par le retrait de l’information sur le site d’origine, on parle alors du droit à l’effacement (I)
  • par un déréférencement du site par les moteurs de recherches, on parle alors du droit au déréférencement (II).

 

  1. Le droit à l’effacement

 

Selon la CNIL, il suffit de contacter le site d’origine pour faire une demande de suppression. Il est possible de trouver son identité via les mentions légales ou les conditions générales d’utilisation.
Pour cela, il suffit de justifier la demande en expliquant en quoi la publication de ce contenu nuit à la réputation ou à la vie privée.
Là encore, le responsable du site dispose d’un délai légal de deux mois pour répondre à la demande. En l’absence de réponse ou en cas de réponse insatisfaisante, une plainte peut être adressée à la CNIL.

 

  1. Le droit au déréférencement

 

La procédure du droit au déréférencement provient de l’arrêt rendu par la Cour de Justice de l’Union Européenne rendu le 13 mai 2014 (n° C-131/12) : Dans cette décision, la Cour de Justice de l’Union européenne a confirmé l’application du droit de la protection des données aux moteurs de recherche. Elle en a déduit que les internautes peuvent demander, sous certaines conditions, la suppression des liens vers des informations portant atteinte à la vie privée. De ce fait, elle assimile les exploitants de moteur de recherche (Google en l’espèce) à des responsables de traitement au sens de la directive 95/46/CE et donc les soumet à celle-ci.
Par cet arrêt, la Cour de justice donne donc une interprétation unique de la directive de 1995 applicable dans les 28 pays de l’Union européenne. 

 Le droit au déréférencement, découlant du droit à l’oubli, permet de demander à un moteur de recherche de supprimer certains résultats de recherche associés aux noms et prénoms.

Mais attention, cette suppression ne signifie pas l’effacement de l’information sur le site internet source. Le contenu original reste ainsi présent et est toujours accessible via les moteurs de recherche en utilisant d’autres mots clés de recherche ou en allant directement sur le site.
 
Ces résultats de recherche doivent être retirés s’ils sont « inadéquats, pas ou plus pertinents ou excessifs ». La Cour a néanmoins précisé que la désindexation des contenus doit tenir compte de l’intérêt public, tout en spécifiant que les moteurs de recherche ne peuvent pas revendiquer la valeur journalistique d’un contenu pour refuser une demande de suppression.

 Pour procéder à un déréférencement, il suffit d’écrire au moteur de recherche en demandant la suppression de ce référencement.

En effet, dans les semaines qui ont suivi l’arrêt “Google Spain”, Google a mis en place un processus de demande de retrait mettant à la disposition de tout internaute européen un formulaire dans sa langue.

 Toutefois, s’il y a un refus ou une absence de réponse de la part du moteur de recherche, toute personne résidant en France pourra alors saisir la CNIL (ou les juridictions judiciaires – la CNIL a une action « verticale » de service public pour des actions de grande envergure – le juge judiciaire est plus adéquat dans les rapports privés horizontaux, entre adversaires.

 Un tel droit n’est cependant pas absolu. La suppression de telles données doit être appréciée au cas par cas. Cette analyse se fera en fonction de la nature de l’information, de son atteinte à la vie privée de la personne concernée et de l’intérêt pour le public à la recevoir (s’il y a un caractère de notoriété attaché à la personne par exemple). la date de la publication, ainsi que sa portée politique seront également pris en compte.

 Cependant, le Conseil d’Etat, dans une décision rendue le 24 février 2017 s’est permis de renvoyer plusieurs questions préjudicielles à la Cour de Justice de l’Union Européenne concernant la mise en oeuvre du droit au déréférencement. En effet il soulève plusieurs difficultés relatives à la portée de la directive européenne  du 24 octobre 1995 sur la protection des personnes physiques à l’égard des traitements de données à caractère personnel, après la première interprétation donnée  par la Cour de justice de l’Union européenne dans son arrêt “Google Spain”. Ces questions concernent les obligations de déréférencement pesant sur l’exploitant d’un moteur de recherche dans l’hypothèse ou les pages web qu’il traite contiennent des informations sensibles dont la collecte et le traitement est illicite ou très encadré (parce qu’elles révèlent une orientation sexuelle, des opinions politiques, religieuses ou philosophiques, ou qu’elles contiennent des informations relatives à des infractions, condamnations pénales ou mesures de sûreté). Ainsi, le Conseil d’Etat a considéré que l’arrêt de la CJUE n’était pas assez précis pour lui permettre de prendre sa décision. Il demande à la Cour si les règles applicables aux données sensibles sont applicables aux moteurs de recherche ? S’ils doivent déréférencer les liens vers des pages web qui traitent ces données ou peuvent-ils refuser de le faire ?

 Enfin, il faut préciser que cette procédure ne s’applique que pour l’Europe, les versions européennes de Google notamment. La désindexation ne se fera pas sur les versions des Etats tiers à l’Union Européenne du moteur de recherche.

 

Pour résumer la procédure :

 

  • les internautes peuvent saisir l’exploitant d’un moteur de recherche d’une demande de déréférencement d’une page web qui porterait atteinte à leur vie privée.
  • L’exploitant examinera alors le bien fondé de la demande, au regard des conditions fixées par la CJUE.
  • En cas d’absence de réponse ou de réponse insatisfaisante, le plaignant pourra saisir la CNIL ou la justice afin qu’elles vérifient et ordonnent les mesures nécessaires.

 

Voir aussi