Droit des affaires & des sociétés Droit des successions & immobilier Contrefaçon de brevets & marques Droit de l'internet & informatique

phone iconTel. : +33.1.71.18.28.68
divider

Archive


AFFAIRE DELFI AS c. ESTONIE

La CEDH valide le principe de responsabilité « LCEN » des hébergeurs pour les avis et commentaires d’internautes

/ 0 Comments

La Cour Européenne des Droits de l’Homme, par un arrêt pris en Grande Chambre, en date du 16 juin 2015, a jugé que la loi « SSI » estonienne (loi sur les Services de la Société d’Information) était conforme à l’article 10 de la Convention de sauvegarde des Droits de l’Hommes et des Libertés Fondamentales (CDHLF) sur la liberté d’expression.

Or, la loi « SSI » estonienne, au même titre que la loi « LCEN » française, s’inscrivent dans la droite ligne des directives « SSI » 98/34/CE et « commerce électronique » 200/31/CE, comme le rappelle la Cour Européenne. Ce qui vaut pour la loi estonienne vaut donc pour la loi française.

A ce titre, cet arrêt souligne que les éditeurs de contenus, qui sont aussi hébergeurs de commentaires ou d’avis d’internautes sur ces contenus, ont une responsabilité limitée mais certaine, non seulement quant au prompt retrait des commentaires excessifs dépassant le cadre de la liberté d’expression, et à plus forte raison lorsque ces éditeurs-hébergeurs ne s’assurent pas de moyens réalistes pour tenir les auteurs desdits commentaires / avis responsables de leurs propos.

Pour arriver à cette solution, la Cour souligne bien que la législation estonienne, comme la législation française, met en avant le principe de liberté d’expression et de responsabilité limitée des hébergeurs de contenus, sans aucune obligation de contrôle a priori des informations hébergées.

Principe de liberté d’expression sauvegardé, pas de contrôle a priori, responsabilité limitée des hébergeurs

Dans la législation estonienne, poursuit la Cour dans son analyse, seuls sont susceptibles d’être poursuivies les atteintes à la personnalité, la diffusion d’informations fausses, et la responsabilité pour faute [süü] équivalent de notre article 1382 du Code civil.

Or, c’est exactement le type de législation préconisée par le Conseil de l’Europe dans sa Déclaration sur la liberté de la communication sur l’Internet du 28 mai 2003, texte qui est désormais consacré par l’important arrêt de la CEDH.

En effet, dans la déclaration du 28 mai 2003, le Conseil de l’Europe précise notamment que « Afin d’assurer une protection contre les surveillances en ligne et de favoriser l’expression libre d’informations et d’idées, les États membres devraient respecter la volonté des usagers de l’Internet de ne pas révéler leur identité. Cela n’empêche pas les États membres de prendre des mesures et de coopérer pour retrouver la trace de ceux qui sont responsables d’actes délictueux, conformément à la législation nationale, à la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales et aux autres traités internationaux dans le domaine de la justice et de la police« .

Que la CNIL se le tienne pour dit, depuis plus de 12 ans : il ne serait pas illégitime de conserver des données sur les utilisateurs de services en lignes, même à titre gratuit, pour leur identification future de l’auteur d’un éventuel délit ou d’une éventuelle atteinte aux droits d’un tiers. Cela n’est toutefois pas prévu (ou du moins pour une durée bien trop limitée) par le cadre légal sur la conservation des données personnelles, telle qu’encadrée par la CNIL dans ses précieuses déclarations CNIL que nous connaissons tous.

Responsabilité en cas de retrait tardif et de défaut de moyen d’identification de(s) (l’) auteur(s) de l’infraction ou de l’atteinte

Quant au contrôle – a posteriori – après signalement d’un contenu illicite, le Conseil de l’Europe détaille les moyens que peuvent employer les éditeurs de contenus qui hébergent également les commentaires ou avis des internautes sous leurs publications.

Enfin, la Cour rappelle les dispositions de la Directive « Services de la société de l’information » 98/34/CE dans la droite ligne de laquelle se situent les législations estoniennes et française.

En conséquence, l’arrêt relève notamment que l’insuffisance des mesures prises par la société d’édition requérante : 1) pour retirer sans délai après leur publication les propos litigieux ; et 2) pour assurer une possibilité réaliste de tenir les auteurs des commentaires pour responsables de leurs propos ; est susceptible d’engager la responsabilité d’un éditeur-hébergeur sans que ce dernier puisse arguer de la violation par la législation de son pays de l’article 10 de la CDHLF.

Read More
separator

Les formulaires « droit à l’oubli » : des victimes face à de l’efficacité… toute relative

/ 0 Comments

(Article mis à jour le 14 octobre 2014)

La Cour de Justice de l’Union Européenne (CJUE) l’a jugé en mai dernier, dans un arrêt C-131/12 du 13 mai 2014 une activité de moteur de recherche sur internet est un «traitement de données à caractère personnel» dans la mesure où il trouve, indexe, et stocke des informations personnelles de personnes physiques afin de les mettre à la disposition des internautes selon un ordre de préférence.

De cette constatation, la CJUE tire une conséquence majeure : afin de respecter les droits d’une personne visée par ces informations, l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de ses résultats les liens vers des pages web, publiées par des tiers, qui contiennent des informations relatives à cette personne… peu important que les informations litigieuses aient été ou non effacés de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite.

Google et les autres moteurs de recherche doivent donc supprimer tous liens proposés en résultat à une recherche portant par exemple sur une requête de type « prénom + nom », à première demande de l’intéressé, dès lors que le demandeur justifie de son identité et du caractère privé des données.

C’est la raison pour laquelle Google s’est empressé de mettre en ligne un formulaire intitulé « Demande de suppression de résultat de recherche au titre de la législation européenne relative à la protection des données« . Le lien vers le formulaire a toutefois été supprimé parce que, en raison de ce lien, mon article avait été soigneusement désindexé par Google. Cette question de la difficulté à retrouver le lien vers ledit formulaire a d’ailleurs été très justement posée à David DRUMMOND, Chief Legal Officer de Google Inc., lors du « Advisory Council » de Google sur le Droit à l’Oubli, au Forum des Images (Forum des Halles) , le 25 septembre 2014 dernier. David Drummond n’a pas vraiment répondu à l’attaque, mais il n’a pas nié non plus lesdites désindexations des liens et des articles comprenant un lien vers ledit formulaire de droit à l’oubli.

Exception importante apportée par cet arrêt de la Cour de Justice : les personnes physiques ayant joué un rôle dans la vie publique ne pourront pas demander la suppression d’informations ou de données présentant un intérêt prépondérant pour le public à avoir accès aux informations et/ou aux données en question.

Monsieur Toutlemonde peut donc solliciter le retrait des informations se rapportant à lui via le formulaire de droit à l’oubli de Google… et il est en droit de s’attendre à ce que Google réponde favorablement à sa demande.

A l’inverse, une personnalité politique ou un « pipole » (people, star, célébrité), aura davantage de difficulté à voir supprimer un contenu… car le premier gardien de l’intimité de sa vie privée devient Google et non le juge.

Dans son arrêt, la CJUE a donc sauvegardé les intérêts financiers de la presse qui pourra continuer de faire ses choux gras des enfants illégitimes ou relations extra-conjugales de stars et de personnes politiques en vue.

Pour les autres personnes physiques, il faut reconnaitre une certaine efficacité de l’emploi du formulaire Google de droit à l’oubli.

Cependant deux choses ne doivent pas être oublié :

  1. Google n’est ni juge ni avocat et n’a pas vocation à substituer au pouvoir judiciaire : il ne faut donc pas s’attendre à des miracles de « justice privée » ; il restera toujours la solution du recours au juge pour la suppression de contenus litigieux ;
  2. Toutes les données personnelles dont vous êtes l’auteur sur la toile ne feront pas l’objet d’une désindexation par GOOGLE : si vous avez perdu le contrôle d’un compte de blog ou de réseau social, il faudra alors faire appel à la justice pour obtenir la suppression du compte piraté ou sur lequel vous subissez une usurpation d’identité numérique.

Enfin, il est à prévoir un certain encombrement des services de Google, qui met déjà beaucoup de temps à exécuter des décisions de justice qui leur sont adressées par voie postale ou acte extra-judiciaire.

Ceux qui espéraient des mesures exceptionnelles et une révolution pour la protection des données personnelles et de la vie privée risquent donc, pour partie, d’être déçus.

Read More
separator

Base de données & données personnelles : le contrat portant sur un fichier peut être annulé pour défaut de respect de la réglementation CNIL

/ 0 Comments

Les droits sui generis du producteur d’une base de données, tels que prévus à l’article L.341-1 et suivants du Code de la propriété intellectuelle, peuvent être anéantis en raison du défaut de respect des conditions de constitution d’une base de données contenant des données personnelles.

La Cour de cassation a récemment rendu un intéressant arrêt en la matière en soulignant que le défaut de déclaration auprès de la CNIL impique que le contrat de cession ou de licence d’une base de données peut être annulé.

Dans une très courte mais très claire décision, la Cour suprême pose le principe selon lequel un contrat de commercialisation (en l’espèce une cession) d’une base de données peut être annulé si ladite base de données n’a pas été déclarée auprès de la CNIL (Commission Nationale Informatique et Liberté).

La Cour légalement fondé sa décision en rappelant que tout fichier de données personnelles doit être déclaré à la CNIL et que la vente d’un tel fichier non préalablement déclaré n’est pas dans le commerce et a un objet illicite, étant le résultat d’une infraction à la loi n ° 78 -17 du 6 janvier 1978 dite « Loi Informatique et Libertés ».

En d’autres termes, des bases de données personnelles (soit la majorité des bases de données faisant l’objet d’une transaction sur internet) non préalablement déclarées auprès de la CNIL sont des objets hors du commerce.

Pour prendre cette décision, la Cour de cassation (Cass. com. 25 juin 2013, pourvoi n ° 12 à 17,037), s’est fondée sur les articles 1128 du Code civil (“Il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions”) et 22 de la loi n° 78-17 du 6 janvier 1978 (sur les formalités préalables à la mise en œuvre des traitements).

Premier enseignement, le plus compréhensible, La Cour suprême énonce que, pour être négociés en toute sécurité, les contrats portant sur des bases de données doivent être soumis à une déclaration auprès de la Commission nationale française de l’informatique et des libertés (CNIL) avant toute mise en oeuvre du traitement (et donc bien avant toute signature d’un quelconque contrat).

Second enseignement, sans doute moins clairement annoncé, cette jurisprudence implique que toute autre violation de la loi « Informatique et Libertés » peut éventuellement rendre « invendable » une base de données, comme objet illicite d’un contrat.

Par exemple, le fait de recueillir des données personnelles sans le plein respect des dispositions organisant les règles de collecte de données personnelles (obligation d’information, consentement à l’opt-in ou le respect du droit à l’ opt-out, finalité du traitement déclaré, respect du droit d’accès / modification / suppression) pourrait compromettre la validité de la vente ou de la location du fichier de données personnelles, même si la BDD est bien déclarée auprès de la CNIL.

Par conséquent, les entreprises qui vendent, louent, mettent à disposition des fichiers ou organisent des mailings pour des annonceurs ont fort intérêt à prendre conseil avant une telle commercialisation un DB.

Désormais, le risque pour ces sociétés commercialisant du big-data de donner accès à ces données gratuitement est à prendre au pied de la lettre.

Il reste à savoir si la Cour de cassation a ouvert la brèche pour tous les annonceurs, même de mauvaise foi, qui voudraient dénoncer un contrat et s’en voir rembourser le prix alors qu’ils auront exploité la base de données déclarée objet illicite ne pouvant faire l’objet d’une convention…

Read More
separator