Résultats de recherche pour: déréférencement

LE DROIT AU DEREFERENCEMENT

L’arrivée d’internet a grandement contribué au développement de nouveaux usages facilitant notre vie. Le développement des plateformes de services en ligne telles que les réseaux sociaux et les moteurs de recherches ont permis de faciliter nos échanges et notre accès à l’information.

Les moteurs de recherche sont des outils formidables qui correspondent à un grand répertoire d’informations libres qui, une fois en ligne, ne sont plus maîtrisées. Internet accroît le sentiment d’impunité et lorsque les informations sont accessibles à n’importe qui, nombreux sont les usages dérivés qui en sont fait pour ternir la réputation.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Face au problème grandissant, le droit est venu préciser le rôle des plateformes dans la gestion de leur contenu, mais également accorder des droits aux utilisateurs afin qu’internet ne deviennent pas une zone de non-droit.

Parmi ces droits, le droit au déréférencement permet de lutter contre la publication de données à caractère personnel qui porte atteinte aux droits fondamentaux de la personne ou à sa vie privée. Il permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne.

Aussi souvent appelé « droit à l’oubli », le droit au déréférencement était déjà prévu par la Directive 95/46/CE, et aujourd’hui intégré à l’article 17 du RGPD. (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17).
Issu d’une longue réflexion, cet article a créé le droit à l’effacement et a permis une inversion de la charge de la preuve, à présent le responsable de traitement supporte la charge de la preuve. Ce droit a vu son application précisée par une série d’arrêts rendus entre 2014 et 2020.

Besoin de l’aide d’un avocat pour un problème de droit à l’oubli ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

A travers cette saga jurisprudentielle, la Cour européenne de justice, mais également le Conseil d’État se sont attelés à définir les modalités de mise en œuvre du droit au déréférencement aux moteurs de recherche (I). En pratique, le droit au déréférencement a connu différentes évolutions, mais connaît également de nombreuses limites aussi bien à travers sa mise en œuvre, qu’à travers le rôle accordé aux moteurs de recherche (II).

I. La définition des modalités de mise en œuvre du droit au déréférencement

Afin de garantir une protection adéquate des personnes faisant l’objet d’un traitement de données par les moteurs de recherche, la CJUE a dû déterminer les responsabilités et devoirs de ces nouveaux acteurs au regard de la législation existante. Pour se faire, elle a d’abord procédé à la vérification de l’applicabilité de la directive européenne 95/46/CE aux moteurs de recherche (A). Elle a ensuite fixé un ensemble d’obligations découlant de la réglementation et définit leurs modalités de mise en œuvre par ces mêmes acteurs (B).

A. L’intervention de la CJUE dans la détermination de l’application de la Directive 95/46/CE aux moteurs de recherche

C’est à l’occasion de sa célèbre décision en date du 13 mai 2014 que la CJUE est venue préciser les modalités d’application du droit au déréférencement par les moteurs de recherche.  (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos)

Dans un premier temps, la CJUE procède à la vérification de l’applicabilité de la Directive 95/46/CE (aujourd’hui abrogée) au moteur de recherche, en l’occurrence Google.
Pour se faire elle effectue une qualification des activités du moteur de recherche qu’elle considère par extension de son interprétation classique, être des traitements de données. Puis, elle effectue un contrôle sur la qualité du moteur de recherche, et au regard de ses activités et de son rôle dans la détermination des finalités et moyens du traitement, lui confère la qualité de responsable de traitement.

La Cour l’existence d’un lien de cause à effet entre les résultats indexés par le moteur de recherche dans le cadre de ses activités et les atteintes à la vie privée dont sont victimes les personnes concernées.

Cette décision s’accorde difficilement avec la position antérieure de la CJUE qui considérait que ce même moteur de recherche, Google, avait un rôle « purement technique, automatique et passif ». (Arrêt de la CJUE du 23 mars 2010, affaires jointes C-236/08 à C-238/08 : )

Ce raisonnement adopté par la Cour témoigne de sa volonté de faire produire ses effets à la directive européenne afin de réguler les activités du moteur de recherche. La CJUE confirme l’application de la Directive 95/46/CE et ordonne à Google de la respecter afin de garantir une protection efficace et complète des personnes concernées.

Dans un second temps la Cour doit déterminer si la localisation de Google n’empêche pas l’application de la Directive 95/46/CE. Pour se faire, elle analyse si l’entreprise remplie une des trois conditions fixées par la directive. La Cour se livre alors à une réécriture du considérant 19 de la directive et procède à la qualification d’établissement stable de Google Spain.

Cette mise en balance des différents intérêts a permis de renforcer la protection des personnes concernées et de responsabiliser Google envers ses utilisateurs. Cette décision ne responsabilise pas seulement Google, elle apporte ainsi un cadre nouveau pour les moteurs de recherches qui devront, dès à présent, se conformer à la Directive 95/46/CE.

B. La définition des critères d’évaluation du droit au déréférencement

En vertu de la Directive 95/46/CE, les États membres garantissent aux personnes concernées le droit d’obtenir du responsable de traitement, en l’occurrence le moteur de recherche, l’effacement, la rectification ou le verrouillage des données dont le traitement n’est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données.

A travers cette décision, la CJUE définit les critères qui devront permettre aux moteurs de recherche de statuer sur une demande de déréférencement.

Dès lors, chaque demande de déréférencement devra être appréciée au cas par cas afin d’effectuer un juste équilibre (principe de proportionnalité) entre les atteintes aux droits fondamentaux, au respect de la vie privée et à la protection des données que sont susceptibles de provoquer les traitements de données, et le droit à l’information et le droit de la presse. Le droit à l’oubli n’est par conséquent pas un droit absolu.

Précisé par la jurisprudence de 2019, cet examen devra se faire à la lumière d’autres critères que sont la notoriété et la fonction de la personne concernée, il s’agira de déterminer si c’est une personne publique. L’âge de la personne concernée, notamment son âge au moment de la publication, mais aussi la nature des contenus en cause leur caractère plus ou moins objectif, leur exactitude, de s’interroger sur leurs sources.

Le responsable de traitements devra également vérifier les conditions et la date de mise en ligne des contenus, et enfin les éventuelles répercussions que leur référencement est susceptible d’avoir pour la personne concernée (par exemple si la personne rencontre des difficultés à obtenir un prêt, car un article concernant d’anciennes insolvabilités est en ligne).

Cet examen doit se faire à la lumière de différents critères que sont la notoriété, l’âge de minorité, la nature des informations référencées, l’éventuel préjudice subi, le contexte de la publication. Ce qui n’est pas sans rappeler les éléments pris en compte par les juridictions françaises pour déterminer une atteinte à la vie privée.

Ainsi « l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite ».

Finalement, la nouveauté de cet arrêt réside dans le fait que le moteur de recherche peut être obligé de désindexer lesdits liens, même si les données à caractère personnel continuent à demeurer sur les sites web.

II. Les évolutions et les limites de la pratique du droit au déréférencement/du droit à l’oubli

La jurisprudence européenne offre de nouvelles perspectives en instaurant de nouvelles obligations aux moteurs de recherches. Précisé par une série d’arrêts qui découlent de cette première décision, la portée territoriale du droit au déréférencement fait aujourd’hui l’objet de discussions (A). La jurisprudence a amené à la fois des évolutions, mais également d’autres limites dans l’octroi du droit au déréférencement (B).

A. Les limites de la portée territoriale

A la suite d’un différend opposant Google Inc. et la CNIL, le Conseil d’État saisi d’une question préjudicielle la CJUE afin de déterminer la portée territoriale du droit au déréférencement. Autrement dit, s’arrête-t-il aux frontières de l’Union européenne ?

En réponse à cette question, la portée et les limites du droit au déréférencement ont été précisées par la CJUE dans deux nouveaux arrêts du 24 septembre 2019. (https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9762 et https://curia.europa.eu/juris/document/document.jsf?text=&docid=218106&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9963)

A travers l’un de ses deux arrêts, la CJUE répond et considère que le droit au déréférencement doit être respecté dans les États membres de l’Union européenne. Il n’est pas contraignant pour les autres pays. Un moteur de recherche qui reçoit une demande de déréférencement par un citoyen européen n’est obligé de supprimer les résultats concernés que pour ses noms de domaines européens (google.fr, google.be, google.de, etc.).

Toutefois, la Cour de justice de l’Union européenne précise que, si le droit de l’Union n’impose pas cette portée mondiale, « il ne l’interdit pas non plus », ce qui permet à une autorité de contrôle ou à une autorité judiciaire d’ordonner un déréférencement à portée mondiale.

Par une série de décisions rendues le 6 décembre 2019, le Conseil d’État tire les conséquences des décisions de la CJUE.

Cette saga jurisprudentielle s’achèvera le 27 mars 2020, date à laquelle le Conseil d’État prend acte du jugement rendu par la Cour de justice de l’Union européenne et annule la délibération de la CNIL ordonnant un déréférencement mondial. En France, aucune mesure législative ne permet en effet à la CNIL d’exiger de procéder à un déréférencement d’une telle envergure.

Cette décision révèle des difficultés techniques propres aux nouvelles technologies, mais aussi législatives et soulève des interrogations.

L’approbation du déréférencement à échelle européenne n’empêche pas en effet l’utilisation d’outils techniques (VPN) permettant d’outrepasser la mise en œuvre du déréférencement, ce qui remet en cause l’effectivité de ce procédé visant à protéger les utilisateurs. Ne devrait-on pas adapter cette solution à l’état de l’art ?

B. Les évolutions et les limites de l’exercice du droit au déréférencement induites par la jurisprudence

Ces jurisprudences ont allégé le processus judiciaire auparavant requis pour faire droit à une demande de déréférencement. Il n’est plus nécessaire de passer au préalable par la case tribunal. Les moteurs de recherche mettent à disposition des formulaires qui permettent d’effectuer une demande de déréférencement. . En cas de recours contre une décision prise par un moteur de recherche, il n’est pas non plus nécessaire non plus d’emprunter le chemin des tribunaux. La CNIL sert d’intermédiaire. Cela évite des frais judiciaires aux personnes qui souhaiteraient exercer ce droit.

En revanche, le pouvoir conféré aux moteurs de recherche fait l’objet de débats. En effet, ils sont, dans la première partie du processus, les seuls a apprécié s’ils accordent le déréférencement ou non, et ce même pour des contenus licites. Il s’agit de conférer à un acteur privé le rôle de concilier deux libertés fondamentales, le droit au respect de sa vie privée et la liberté de la presse. Ce qui entre dans le domaine de compétence des juges et non pas des acteurs privés.

Pour lire une version plus complète de cet article sur le droit à l’oubli, cliquez

SOURCES :

Par internet-et-droit • Tags: , , ,

Le droit au déréférencement : droit à l’oubli et droit à la vie privée

 » Le juste équilibre entre la protection de la vie privée des individus et le droit au public à accéder aux informations  » c’est ce qu’essaie de concilier Google lors de l’évaluation des demandes d’effacement qui lui parviennent via un formulaire dédié à la suppression des liens faisant état de la vie privée des internautes et que ces derniers souhaitent voir disparaître.

NOUVEAU : Utilisez nos services pour faire retirer un contenu de droit à l’oubli en passant par le formulaire !

Le formulaire de désindexation

Google a mis en place un formulaire de demande de désindexation qui a eu un grand succès dès le début (12 000 demandes le premier jour, mais aujourd’hui ces demandes sont d’environ 1 million par jour) (1).

La procédure est donc simple. Il suffit de renseigner le formulaire en y annexant une copie de sa pièce d’identité valide et les liens litigieux. Si le lien ne reprend pas le nom de la personne (exemple : une image) alors l’internaute doit justifier le motif de la demande de suppression. Une fois signé et envoyé, toutes les cartes sont entre les mains de Google qui est seul à décider de la pertinence de la demande, des critères d’évaluation de cette pertinence et du délai qu’il juge nécessaire à l’étude de la demande.

Ce délai est légalement encadré en France. Google dispose de deux mois pour répondre à la demande de désindexation. En l’absence de réponse tout comme en cas de refus de désindexation, une plainte peut être déposée auprès de la CNIL

Besoin de l’aide d’un avocat pour un problème de droit à l’oubli?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

La situation actuelle

Bien que certains cas de saisine, ne posent pas de difficultés concernant le motif légitime des plaignants ce qui était le cas des images violant le droit à l’image protégé par l’article relatif à la vie privée (article 9 du code civil). En effet, ces images ont été publiées sur des sites en l’absence d’autorisation de l’objet des images. Bien que les photos publiées sur les liens liti-gieux soient celles d’un personnage public (en l’espère, un ex-mannequin), le TGI de Paris par une ordonnance de référé du 12 mai 2017 a fait droit à ses demandes de déréférencement des liens sur le moteur de recherche Google.

Ceci dit, ce droit au déréférencement n’est pas systématiquement accueilli par les autorités. Et récemment, dans une décision du 24 février 2017, le Conseil d’État a posé plusieurs questions préjudicielles d’interprétation à la Cour européenne relatives à quatre saisines de la CNIL.

Dans chaque affaire, le plaignant avait effectué une recherche à partir de son nom pour constater :
– dans le premier cas, un lien renvoyant à un photomontage satirique mis en ligne à l’occasion de la campagne électorale et mettant en scène la directrice de cabinet du maire évoquant ses relations particulières avec ce dernier qui avait d’ailleurs changé de fonction depuis.
– dans le second, un lien renvoyant à un article du quotidien relatif au suicide d’un adepte de l’Église de scientologie dans laquelle le requérant cité avait été responsable des relations publiques.
– dans la troisième affaire, un lien renvoyant à des articles de presse relatifs à la mise en examen en 1995 du plaignant pour financement du parti républicain qui avait obtenu par la suite un non-lieu
– Enfin, dans la dernière affaire, un lien renvoyant vers deux articles relatifs à la condamnation pour agressions sexuelles sur mineur mentionnant plusieurs détails intimes révélés lors du procès.

Même en se référant à l’arrêt Google Spain de 2014, le Conseil d’État a considéré que ce dernier n’était pas suffisant pour lui permettre de prendre sa décision et a préféré demander des éclaircissements à la CJUE afin de pouvoir traiter ces cas concrets.

Le Conseil d’État demande si l’interdiction de traiter des données sensibles au sens de l’article 8 de la directive 95/46/CE sous réserve des exceptions s’applique au moteur de recherche ?

Et si l’application de cette interdiction de traiter des données sensibles et relatives aux infractions devait obliger le moteur de recherche Google à faire droit à la demande de déréférencement ?

Quand bien même certains de ces liens renvoient vers des articles de presse ou d’expression artistique ou littéraire donc ont pour objet l’information du public.

D’autres questions concernaient l’influence de la licéité ou de l’illicéité du contenu du site indexé, mais aussi de l’influence du caractère incomplet, inexact ou obsolète de ces informations…

La réponse de la Cour est d’autant plus attendue étant donné qu’un an nous sépare de l’entrée en vigueur du nouveau règlement relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données et abrogeant la directive 95/46/CE.

Notons que quand bien même ces liens seraient condamnés à disparaître, cette disparition se limiterait pour le moment aux versions européennes de Google. Ce qui signifie qu’il suffit de se rendre sur une autre version de ce moteur de recherche pour retrouver les résultats supprimés, même suite à une décision judiciaire.

Deux arrêts de la CJUE du 24 septembre 2019, vont venir compléter cette jurisprudence de l’obligation de déréférencement et du droit à l’oubli. Après avoir rappelé l’existence de cette obligation de déréférencement à l’égard des exploitants de moteurs de recherche, la CJUE va venir limiter les cas où la responsabilité de ces exploitants va être engagée.

En effet, bien que le principe reste l’obligation de déréférencement, mais la responsabilité des moteurs de recherche ne va pas être engagée si les contenus illicites ont été manifestement rendus publics par la personne concernée.

De même, dans le cas où ces contenus sont nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice, ou encore dans le cas où ces contenus sont « strictement nécessaires pour protéger la liberté d’information des internautes (…) à avoir accès à cette page web au moyen d’une telle recherche ». Un contrôle de proportionnalité peut être fait pour s’assurer que cette exception du droit à l’information à l’internaute est nécessaire, de même cette exception prend fin, une fois que le contenu ne correspond plus à la situation actuelle. Ces exceptions sont conditionnées à traitement licite des contenus ainsi qu’à l’absence d’exercice du droit d’opposition de la personne concernée.

Concernant la portée du déréférencement, ces arrêts de la CJUE précisent que cette obligation ne porte pas sur l’ensemble des versions du moteur de recherche. Par ailleurs, le déréférencement n’a pas vocation à s’étendre au niveau mondial, mais la CJUE ne vient pas interdire ce déréférencement mondial. L’importance étant que les exploitants de moteurs de recherche remplissent « toutes les exigences légales et avoir pour effet d’empêcher ou, à tout le moins, de sérieusement décourager les internautes dans les États membres d’avoir accès aux liens en cause à partir d’une recherche effectuée sur la base du nom de cette personne ».

Pour lire une version plus complète de cet article sur le déréférencement, il faut cliquer sur le mot déréférencement

Sources :
(1)https://www.nextinpact.com/news/89364-google-recoit-desormais-million-demandes-dereferencement-par-jour.htm
CJUE 24 septembre 2019, C-136/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=C79A640026AB3A4E4C65E98489F26D6B?text=&docid=218106&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1821952
CJUE 24 septembre 2019, C-507/17
https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=1822270

Par internet-et-droit • Tags: ,

QUEL CONSENTEMENT SUR INTERNET ?

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Le consentement de la personne concernée est défini comme toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement (Règl. UE 2016/679 du 27-4-2016, art. 4-11).

Il en résulte que la personne concernée ne doit pas se sentir forcée à consentir. Si la personne concernée n’est pas véritablement en mesure d’exercer un choix, se sent contrainte de consentir ou subit des conséquences négatives importantes si elle ne donne pas son consentement, le consentement n’est pas valable.

La personne concernée a le droit de retirer son consentement à tout moment (Règl. UE 2016/679 du 27-4-2016, art. 7-3).

En outre, la locution « nécessaire à l’exécution d’un contrat » doit être interprétée de façon restrictive. Le traitement doit être nécessaire pour exécuter le contrat conclu avec chacune des personnes concernées. Dans le contexte du travail, ce principe peut par exemple autoriser le traitement des informations liées au salaire et au compte bancaire afin de pouvoir verser les salaires. Il doit exister un lien direct et objectif entre le traitement des données et l’objectif d’exécution du contrat ‘Groupe de travail « Article 29 » : Lignes directrices sur le consentement au sens du règlement 2016/679 du 10-4-2018).

Besoin de l’aide d’un avocat pour un problème de vie privée?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, le principe du consentement de la personne concernée est entouré de diverses garanties (RGPD art. 7) :

–  le responsable du traitement doit être en mesure de démontrer que le consentement a été effectivement donné ;

–  si la déclaration écrite de consentement porte également sur d’autres questions que celle du consentement et si elle est consécutive à une demande préalablement adressée à la personne concernée, cette demande doit être présentée sous une forme compréhensible et aisément accessible ; elle doit aussi être formulée en des termes clairs et simples ;

–  la personne concernée a le droit de retirer son consentement à tout moment ; ce retrait ne remet pas pour autant en cause la licéité du traitement fondé sur le consentement initial ;

–  au moment de déterminer si le consentement est donné librement, il convient, éventuellement, de s’assurer que l’exécution d’un contrat n’est pas subordonnée à un consentement non nécessaire à cette exécution (pratique du « couplage »).

Tel n’a pas été le cas dans un arrêt de la CJUE du 12 novembre 2020 qui juge qu’un contrat de fourniture de services de télécommunication qui contient une clause selon laquelle le client a consenti à la collecte et la conservation de son titre d’identité ne peut démontrer qu’il a valablement donné son consentement lorsque la case y afférente a été cochée par le responsable de traitement avant la signature du contrat. Il en est de même lorsque le consommateur est induit en erreur quant à la possibilité de conclure le contrat en cas de refus du traitement de ses données, ou lorsque le libre choix de s’opposer à cette collecte et à cette conservation est affecté par l’exigence d’un formulaire supplémentaire exprimant ce refus.

La CEDH dans une décision du 9 mai 2023 (CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/ Finlande) (1)  avait à se prononcer sur l’obligation imposée aux témoins de Jéhovah par la commission de protection des données personnelles, de recueillir le consentement des personnes à la collecte de leurs données personnelles dans le cadre de leurs activités de prédication. La CEDH a considéré que cette obligation n’est pas une violation de la liberté de conscience et de religion. Bien qu’il s’agisse d’une ingérence dans les droits de la communauté religieuse, cette dernière poursuivait un but légitime et était nécessaire dans une société démocratique. (7)

I. La case se référant à cette clause a été cochée par le responsable du traitement des données avant la signature de ce contrat

Selon l’article 4 § 1 du RGPD, la donnée à caractère personnel est toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée « personne concernée »); est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

En outre, la lettre de l’article 4 § 2 dispose que le « traitement » est toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliqués à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction.

Par ailleurs, le paragraphe 11 de l’article 4 du RGPD dispose que le « consentement » de la personne concernée est toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement.

Le consentement de la personne concernée reste essentiel pour traitement de ses données à caractère personnel par le responsable du traitement ou par ses sous-traitants. Le manquement à cette obligation est une faute imputable au responsable du traitement pour violation du consentement préalable de la personne avant toutes sortes de collectes de ses données.

La Cour de Justice de l’Union européenne par cet arrêt a voulu démontrer ou mettre en lumière l’objet même ou le but poursuivi par le RGPD en l’occurrence le renforcement des droits des personnes physiques concernées par tout traitement de leurs données à caractère personnel.

De plus, le consentement doit être éclairé. Cette qualité fait écho à l’obligation de transparence qui découle des articles 5 et 12 du RGPD et, plus particulièrement à l’obligation d’information qui s’impose au responsable de traitement en vertu des articles 13 et 14 du RGPD.

La CNIL considère que le recours à des cases précochées ou préactivées ne permet pas d’obtenir un consentement univoque. Dans le même esprit, la CJUE a jugé que le placement de cookies requiert un consentement actif des internautes de sorte qu’une case cochée par défaut est insuffisante. De plus, le recueil du consentement de l’utilisateur s’applique quand bien même les données concernées seraient à caractère personnel ou non.

Le Conseil d’État confirme cette observation de la CNIL, à travers une décision du 19 juin 2020 (CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810) (2). Celui-ci précise qu’un consentement exprimé par défaut, tel que par une case pré-cochée, ne reflète pas une action active de la part de l’utilisateur et ne peut donc être considéré comme émanant d’un choix clair et délibéré permettant légitimement le recueil du consentement. La cour ajoute que le consentement obtenu dans le cadre de l’acceptation générale des conditions d’utilisation d’un service ne revêt pas un caractère spécifique conforme au RGPD.

Quand le responsable décide de fonder son traitement sur le consentement de la personne concernée, il doit être en mesure de démontrer qu’il a obtenu ce consentement.

La CJUE a précisé que le responsable du traitement doit être en mesure de démontrer le consentement de la personne concernée à la collecte et à la conservation de ses données à caractère personnel. La seule présence d’une clause contractuelle, cochée à l’avance par les agents de vente, précisant que le client a consenti, ne permet pas de prouver l’existence d’un consentement valable (CJUE, 11 nov. 2020, aff. C-61/19, Orange Romania).

La CNIL dans une délibération rendue le 24 novembre 2022 n°SAN-2022-021 (3), avait à se prononcer sur un contrat conclu entre la société EDF et un courtier en données. Celle-ci précise que le responsable de traitement reste garant de l’obtention du consentement des personnes prospectées et ne peut se décharger de sa responsabilité en cas de manquement de son contractant, à moins qu’il n’ait mis en place des mesures de contrôle adéquates. (8)

2. Les stipulations contractuelles dudit contrat sont susceptibles d’induire la personne concernée en erreur quant à la possibilité de conclure le contrat en question même si elle refuse de consentir au traitement de ses données

Conformément aux lignes directrices dégagées par le CEPD (Lignes directrices CEPD n° 05/2020, 4 mai 2020), le consentement est libre quand il n’est pas contraint, ni influencé. La personne doit se voir offrir un choix réel, sans avoir à subir de conséquences négatives en cas de refus. En ce sens, l’article 7 du RGPD dispose qu’« au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat ».

Cela semble revenir à l’idée que le consentement ne peut être considéré comme valable quand il est donné dans le but de profiter d’un produit ou d’un service pour la fourniture duquel un traitement de données n’est pas nécessaire. Le CEPD donne l’exemple d’un fournisseur de site web qui bloque la visibilité du contenu, sauf si l’utilisateur clique sur le bouton « Accepter les cookies ». La personne concernée ne dispose pas d’un véritable choix, son consentement n’est donc pas donné librement.

La CNIL dans une délibération rendue le 15 juin 2023 (SAN-2023-009) (4) a sanctionné une société spécialisée dans la publicité en ligne pour ne pas avoir vérifié que les personnes dont elle traite les données par l’intermédiaire de cookies avaient donné leur consentement. À cette occasion, elle détaille les conditions requises pour prouver le consentement des individus lorsque des cookies tiers sont déposés sur un site web.

Le responsable peut tout d’abord mettre en œuvre un traitement nécessaire soit à l’exécution d’un contrat auquel la personne concernée est partie, soit à l’exécution de mesures précontractuelles prises à la demande de celle-ci. Comme le consentement, la base légale contractuelle se révèle être souvent utilisée en pratique.

Le responsable peut également faire reposer la licéité de son traitement sur le respect d’une obligation légale à laquelle il est soumis, la sauvegarde des intérêts vitaux de la personne concernée ou encore l’exécution d’une mission d’intérêt public ou la mise en œuvre d’un traitement relevant de l’exercice de l’autorité publique dont il est investi.

En dernier lieu, la loi du 6 janvier 1978 et le RGPD prévoient la possibilité de mettre en œuvre un traitement quand ce dernier est « nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée qui exigent une protection des données à caractère personnel, notamment lorsque la personne concernée est un enfant » (L. n° 78-17, 6 janv. 1978, art. 5, 6° RGPD, art. 6, § 1, f). C’est ainsi au responsable de déterminer à quel moment ses intérêts ou ceux d’un tiers doivent prévaloir sur ceux de la personne concernée.

La CEDH dans une décision du 8 septembre 2022 (CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France) (5) devait se prononcer sur une collecte de données effectuée par un établissement français du sang. À cette occasion, elle a rappelé que le seul fait que le responsable de traitement puisse collecter les données personnelles au regard du but poursuivi est insuffisant à rendre ce traitement illicite. Il faut en plus que les données collectées soient exactes, mises à jour, pertinentes et non excessives au regard des finalités du traitement des données. (10)

Dans tous les cas la personne concernée doit être informée de la collecte de ses données conformément au RGPD et son consentement devra être recueilli sans ambiguïté sauf exception édictée par ledit RGPD.

 3. Le libre choix de s’opposer à cette collecte et à cette conservation est affecté indûment par ce responsable, en exigeant que la personne concernée, afin de refuser de donner son consentement, remplisse un formulaire supplémentaire faisant état de ce refus

La personne concernée est libre de consentir à la collecte de ses données à caractère personnel. Certes, le RGPD prévoit encore la possibilité pour les personnes concernées de « s’opposer à tout moment » au traitement de leurs données (art. 21 (1)). Elles ne peuvent toutefois plus le faire selon les mêmes modalités.

Aux termes du règlement européen, l’exercice du droit d’opposition n’a en effet vocation à s’appliquer qu’à l’encontre des traitements nécessaires à « l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, ou en raison des intérêts légitimes du responsable du traitement » (RGPD, consid. no 69 et art. 21 (1), par renvoi à, art. 6 (1) e) ou f)).

Dans de telles circonstances, les seules possibilités de mettre fin au traitement seront donc soit de recourir au droit à l’effacement (RGPD, art. 17), soit de retirer son consentement (RGPD, art. 7 (3)) avec l’avantage de ne pas devoir justifier de « motif légitime » (voir en ce sens, Maisnier-Boché L., art. préc.).

Ce qui implique dans les deux hypothèses que de telles actions soient nécessairement exercées après que le traitement ait été mis en œuvre et non avant (RGPD, art. 99 (2)). Sans compter qu’aucune disposition ne semble par ailleurs pouvoir être invoquée pour faire valoir le droit d’opposition en cas de traitement de données personnelles nécessaire à l’exécution d’un contrat ou de mesures précontractuelles (RGPD, art. 6 (1) b) ; voir également en ce sens, Maisnier-Boché L., art. préc.) ou celui – mais l’exception est plus admissible compte tenu des risques encourus – nécessaire à la sauvegarde des intérêts vitaux (RGPD, art. 6 (1) d)).

Le Conseil d’État, dans une décision rendue le 20 décembre 2023 (CE, 20 décembre 2023 n°430810) (6), devait se prononcer sur le droit à l’effacement d’un politicien souhaitant obtenir le déréférencement d’un article de presse le concernant. Celui-ci, par une mise en balance du droit à la protection des données à caractère personnel et le droit à la liberté d’information du public, sur des questions d’intérêt public, a rejeté cette demande de déréférencement.(11)

À cette limite, importante donc, le règlement européen apporte au moins deux précisions utiles. La première est que le droit d’opposition vaut bien en cas de profilage et qu’il continue de s’appliquer en matière de prospection (RGPD, art. 21 (2)), à des fins commerciales comme non-commerciales notamment associatives ou politiques.

La deuxième concerne les conséquences de l’exercice du droit d’opposition. Aussi évidentes soient-elles, il n’en demeurait pas moins pertinent de rappeler que « lorsque la personne concernée s’oppose au traitement à des fins de prospection, les données à caractère personnel ne sont plus traitées à ces fins » (RGPD, art. 21 (3)). Ce qui, comme du reste actuellement, ne devrait toutefois pas avoir pour conséquence d’interdire la mise en place de listes d’opposition, justement dans la mesure où elles poursuivent une finalité propre, à savoir garantir l’exercice effectif de ce droit.

Selon l’article 6 § 1.b du RGPD, le traitement est nécessaire à l’exécution d’un contrat auquel la personne concernée est partie ou à l’exécution de mesures précontractuelles prises à la demande de celle-ci.

Toutefois, lorsque le responsable du traitement coche au préalable la case de consentement de la collecte des données personnelles des clients, ce dernier ne met pas en évidence le caractère libre du client pour consentir ou non à la collecte de ses données personnelles. Autrement dit, il affecte même le caractère licite de la collecte des données personnelles des personnes concernées au regard de l’article 6 du RGPD.

Le Conseil d’État dans un arrêt du 19 juin 2020 (CE, 19 juin 2020, n°430810) a condamné la société Google sur ce fondement. Ce dernier souligne que le consentement donné au moyen d’une case pré-cochée ne résulte pas d’une action active de la part de l’utilisateur et ne peut donc être considéré comme provenant d’une décision claire et volontaire. (9)

SOURCES :

1)  CEDH, 9 mai 2023 n°31172/19 « Association les témoins de Jéhovah c/Finlande :https://hudoc.echr.coe.int/fre#{%22itemid%22:[%22002-14070%22]}

(2) CE, 10e et 9e chambre réunies, 19 juin 2020 n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546
(3) CNIL, délibération SAN-2022-021 du 24 novembre 2022 : https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000046650733

(4) CNIL, Délibération SAN-2023-009 du 15 juin 2023

(5) CEDH, 5e sect., 8 sept. 2022, nos 3153/16 et 27758/18, Drelon c/ France https://hudoc.echr.coe.int/fre#%7B%22itemid%22:%5B%22001-219069%22%5D%7D

(6) CE, 19 juin 2020, n°430810 : https://www.legifrance.gouv.fr/ceta/id/CETATEXT000042040546

(7) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201o3?em=consentement%20collecte%20des%20donn%C3%A9espar%20

(8) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-distribution-et-de-la-concurrence/DDC201h3?em=responsable%20de%20traitement%20consentement

(9) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL383j7?em=consentement%20%C3%A9clair%C3%A9%20donn%C3%A9es

(10) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/lessentiel-droit-de-la-famille-et-des-personnes/DFP201a6?em=collecte%20de%20donn%C3%A9es%20

(11) https://www-labase-lextenso-fr.ezpum.scdi-montpellier.fr/gazette-du-palais/GPL459j2?em=droit%20%C3%A0%20l%27effacement

Par internet-et-droit • Tags: , , , ,

Le cyber harcèlement et l’identification de l’harceleur : Combattre le cyber harcèlement

Le cyber harcèlement est un problème grave et préoccupant qui se produit dans le monde en ligne. Il se réfère à l’utilisation abusive des technologies de l’information et de la communication pour harceler, menacer, intimider ou nuire à une personne. L’un des aspects les plus complexes du cyber harcèlement est l’identification du harceleur.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou harcelant  en passant par le formulaire !

Étant donné que les agresseurs peuvent se cacher derrière l’anonymat de l’internet, il peut être difficile de les identifier et de les tenir responsables de leurs actions. Cependant, grâce aux efforts des forces de l’ordre, des plateformes en ligne et des victimes elles-mêmes, des progrès sont réalisés pour retracer les harceleurs et les traduire en justice.

Les enquêtes numériques, la collecte de preuves électroniques et la collaboration internationale sont quelques-unes des méthodes utilisées pour identifier les harceleurs en ligne. Il est essentiel de sensibiliser davantage à ce problème et de mettre en place des mesures de prévention, de soutien aux victimes et de responsabilisation des harceleurs pour combattre efficacement le cyber harcèlement.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

I. Comprendre le cyber harcèlement

Le cyber harcèlement se réfère à l’utilisation des technologies de l’information et de la communication pour intimider, menacer, humilier ou harceler une personne. Cela peut se manifester sous différentes formes telles que les messages haineux, la diffusion non consensuelle de photos ou vidéos compromettantes, le partage d’informations personnelles, les insultes en ligne, et bien d’autres encore. Le caractère anonyme de l’internet permet aux harceleurs de se cacher derrière des identités fictives ou des pseudonymes, rendant ainsi leur identification difficile.

Le cyberharcèlement est puni par la loi qui prévoit de lourdes sanctions à l’encontre de ses auteurs.

Le cyberharcèlement est une forme de harcèlement moral défini par l’article 222-33-2-2 du code pénal. Il désigne « le fait de harceler une personne par des propos ou comportements répétés ayant pour objet ou pour effet une dégradation de ses conditions de vie se traduisant par une altération de sa santé physique ou mentale » […] « lorsqu’ils ont été commis par l’utilisation d’un service de communication au public en ligne ou par le biais d’un support numérique ou électronique ».

Le cyberharcèlement est puni de deux ans d’emprisonnement et de 30 000 euros d’amende ; si la victime est mineure, les peines sont de trois ans d’emprisonnement et de 45 000 euros d’amende.

À noter que l’infraction est constituée qu’elle soit le fait d’une seule ou d’un groupe de personnes, et, dans ce dernier cas, alors même que chacune de ces personnes n’a pas agi de façon répétée.

Selon la forme et les moyens des agissements de l’auteur ou des auteurs de cyberharcèlement :

– L’injure ou la diffamation publique (article 32 de la Loi du 29 juillet 1881) : délit passible d’une amende de 12 000 euros.

– L’atteinte au droit à l’image (articles 226-1, 226-2, 226-2-1 du Code pénal) : le fait, au moyen d’un procédé quelconque, volontairement de porter atteinte à l’intimité de la vie privée d’autrui est puni d’un an d’emprisonnement et de 45 000 euros d’amende.

Lorsque les faits sont commis par le conjoint de la victime ou qu’ils présentent un caractère sexuel, les peines sont portées à deux ans d’emprisonnement et à 60 000 euros d’amende.

– La diffusion de contenu à caractère pornographique d’un mineur (article 227-23 du Code pénal) : délit passible de 5 ans d’emprisonnement et de 75 000 euros d’amende.

– L’usurpation d’identité (article 226-4-1 du Code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 euros d’amende.

Lorsque les faits sont commis par le conjoint de la victime, ils sont punis de deux ans d’emprisonnement et de 30 000 euros d’amende.

II. L’importance de l’identification du harceleur

Identifier le harceleur est crucial pour mettre fin au cyber harcèlement. Cela permet à la victime de prendre les mesures nécessaires pour se protéger et de signaler les activités nuisibles aux autorités compétentes. De plus, l’identification du harceleur peut dissuader d’autres personnes de se livrer à des comportements similaires, en créant une prise de conscience des conséquences potentielles de leurs actions.

A. Moyens d’identification du harceleur :

  1. Collecte de preuves : La victime doit conserver toutes les preuves du harcèlement, telles que les captures d’écran des messages, les enregistrements audio ou vidéo, et les courriels. Ces éléments peuvent servir de preuves lorsqu’ils sont signalés aux autorités compétentes.
  2. Aide des autorités compétentes : Si le harcèlement en ligne constitue une infraction pénale, il est essentiel de signaler l’incident aux forces de l’ordre compétentes. Ils peuvent enquêter sur l’affaire, utiliser des compétences spécialisées en informatique pour identifier les harceleurs et prendre les mesures légales appropriées.
  3. Signalez les contenus ou les comportements illicites auprès des plateformes sur lesquelles ils sont présents afin de les faire supprimerVoici quelques exemples de liens de signalement pour les principaux réseaux sociaux parmi les plus répandus : FacebookTwitterLinkedInInstagramSnapchatTikTokWhatsAppYouTube. Contactez directement le service concerné s’il ne figure pas dans cette liste.
  4. Demandez que les contenus harcelants ne soient plus référencés par les moteurs de recherche. Si ces publications vous concernant apparaissent dans les résultats de moteurs de recherche, il est possible de demander de ne plus les voir afficher. Cette procédure est appelée le déréférencement. La plupart des moteurs de recherche mettent à votre disposition un formulaire en ligne à remplir pour demander un déréférencement. Faites une demande auprès de chaque moteur de recherche concerné:BingQwantGoogleYahooautres.
  5. Signalez les faits sur la plateforme dédiée du ministère de l’intérieur en cas d’injure, de diffamation, de menace, d’incitation à la haine, à la discrimination, à la violence ou de mise en danger : Internet-signalement.gouv.fr.
  6. Déposez plainte au commissariat de police ou à la brigade de gendarmerieou encore par écrit au procureur de la République du tribunal judiciairedont vous dépendez en fournissant toutes les preuves en votre possession. Vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.
  7. Vous pouvez contacter le 3018, 7 jours sur 7 de 9h à 23h (appel et service gratuits). Il s’agit d’une ligne nationale d’écoute et de conseil anonyme et confidentielle destinée aux personnes confrontées à des situations de cyberharcèlement ou de violences numériques. Cette plateforme peut également intervenir auprès des réseaux sociaux pour aider la victime à faire supprimer les contenus qui lui portent préjudice.

Vous pouvez également contacter la plateforme Non au harcèlement du ministère de l’Éducation nationale au 30 20 (appel et service gratuits). Le service est ouvert de 9h à 20h du lundi au vendredi et le samedi de 9h à 18h (sauf les jours fériés).

B. Quels sont les recours auprès de la CNIL ?

La qualification et la sanction de telles infractions relève de la seule compétence des juridictions judiciaires.

En parallèle de telles démarches, vous pouvez demander la suppression de ces informations auprès de chaque site ou réseau social d’origine, en faisant valoir votre droit à l’effacement. Le responsable du site doit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande. Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez saisir la CNIL.

Par ailleurs, si ces informations apparaissent dans les résultats de recherche à la saisie de vos prénom et nom, vous avez la possibilité d’effectuer une demande de déréférencement auprès du moteur de recherche en remplissant le formulaire. En cas d’absence de réponse ou de refus, vous pourrez revenir vers la CNIL en joignant une copie de votre demande effectuée auprès du moteur de recherche incluant le numéro de requête.

Pour terminer, le cyber  harcèlement est un problème sérieux qui nécessite une attention et une action constantes. La lutte contre le cyber harcèlement commence par l’identification des harceleurs. Grâce à la collecte de preuves, à la collaboration avec les plateformes en ligne et à l’aide des autorités compétentes, il est possible de mettre fin à l’impunité des harceleurs et de rendre l’internet plus sûr pour tous.

Il est important de continuer à sensibiliser le public aux dangers du cyber harcèlement et d’encourager la solidarité envers les victimes pour lutter efficacement contre ce fléau de notre ère numérique.

Pour lire une version plus complète de cet article sur le cyberharcèlement et les moyens de se défendre, cliquez

Sources :

  1. Que faire en cas de cyberharcèlement ou harcèlement en ligne ? – Assistance aux victimes de cybermalveillance
  2. Cyber-harcèlement (harcèlement sur internet) | Service-public.fr
  3. Le harcèlement, c’est quoi ? | Ministère de l’Education Nationale et de la Jeunesse
  4. Lutte contre le cyber harcèlement – Prevention harcèlement (e-enfance.org)
  5. Réagir en cas de harcèlement en ligne | CNIL
  6. Cour de cassation, civile, Chambre sociale, 16 mars 2016, 13-25.927, Inédit – Légifrance (legifrance.gouv.fr)

Par internet-et-droit • Tags: , ,

1 2 3 4 5 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes