internet-et-droit

12 Avr 2023

PIRATAGE ET DROIT EUROPEEN : LA REVISION DE LA DIRECTIVE « SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION » (NIS 2)

L’évolution du paysage des menaces de piratage informatique a conduit la Commission à effectuer une révision de la directive « sécurité des réseaux et des systèmes d’information ».

Initié en juillet 2020, la révision de la directive « sécurité des réseaux et des systèmes d’information » a permis d’actualiser les notions et les objectifs face à l’évolution du paysage des cybermenaces qui pèsent sur les états, les entreprises ou encore les particuliers.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Adopté par le Parlement européen le 10 novembre 2022, chaque État membre de l’Union européenne dispose désormais d’un délai de 21 mois afin de transposer en droit national les différentes exigences réglementaires. La directive devrait donc entrer en vigueur en France au deuxième semestre 2024, au plus tard.

Les changements opérés dans la stratégie des cyberattaquants nécessitent de moderniser la directive. Les secteurs touchés par les cyberattaques sont de plus en plus nombreux et les conséquences désastreuses. La révision de la directive SRI a permis de rafraîchir la liste des secteurs qui devront s’y conformer afin de faire preuve de résilience face aux différentes attaques dont ils sont les cibles.
La mise à jour de la directive semble vouloir « prendre le mal à la racine » en s’adaptant aux nouvelles pratiques et méthodes des attaquants.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

En outre, la directive promet de déployer une nouvelle stratégie de sensibilisation afin de lutter contre l’illectronisme des citoyens qui constituent le noyau des activités économiques.

Puisque la cybercriminalité se joue des frontières nationales, le déploiement d’une stratégie de coopération entre les États membres a également été prévu à travers la désignation de différentes autorités compétentes en la matière. Cette coopération devrait permettre d’accroître les échanges et donc de diffuser des informations relatives aux nouvelles pratiques des attaquants afin d’anticiper leur survenance. Elle devrait également permettre de communiquer les connaissances acquises par les différents États membres afin d’assurer une meilleure résilience lors de la survenance de cyberattaques.

La révision de la directive SRI n’est pas la seule à apporter de nouvelles obligations en la matière. D’autres domaines, tout aussi importants, mais surtout en lien avec l’ensemble de cette réglementation font également l’objet d’un encadrement plus strict. L’utilisation des objets connectés nécessite dans le même temps d’être réglementée pour rendre effective la stratégie de la directive. Des domaines tels que le secteur de la finance nécessitent aussi d’accroître leur sécurité afin de renforcer les besoins en confiance.

La numérisation de la société nécessite aujourd’hui un travail constant afin d’adapter le cadre des obligations et d’assurer un niveau correct de sécurité. L’élargissement de la réglementation devrait permettre de répondre à ces nouvelles menaces (I). Le déploiement d’une nouvelle stratégie non seulement en matière de sensibilisation, mais aussi de coopération devrait d’accroître la réactivité et l’efficacité des États membres dans la lutte contre la cybercriminalité (II).

I. La (nécessaire) modernisation du cadre juridique de la directive SRI

L’élargissement du cadre juridique de la directive à l’occasion de sa révision témoigne de la volonté de renforcer les obligations de sécurité pour tous les étages de l’économie qui se numérisent (A). La Commission a également mis à jour certaines définitions et a restructuré les exigences pour les opérateurs de services essentiels (B).

A. L’extension du champ d’application de la directive à de nouveaux secteurs

La transformation numérique s’étend de plus en plus à tous les secteurs de l’économie. En procédant à la dématérialisation de nos échanges, des processus de travail, et en étendant les usages à tous les étages, en passant de l’Administration, aux déclarations fiscales en ligne, à la dématérialisation des dossiers patients, et bientôt des factures électroniques pour les entreprises, un besoin urgent de renforcer le niveau général en matière de cybersécurité s’est fait ressentir.

Force est de constater que les cyberattaques touchent tous les secteurs de notre économie. La protection du secret des affaires, du secret industriel, des inventions, mais également les données des citoyens deviennent une priorité pour les États membres. Nombreuses sont les conséquences politiques, sociales, économiques liées à la protection des réseaux et des systèmes d’information. La nécessité de renforcer la confiance est d’autant plus accrue face à ses nouveaux enjeux.

L’extension du champ d’application de la directive à de nouveaux secteurs d’activités

La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de revoir à la hausse la liste des secteurs et des activités soumis à des obligations. (https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR)

La première version de la directive SRI était applicable à sept secteurs. Étaient et sont toujours concernés les secteurs de la santé, de l’énergie, bancaire et aux infrastructures de marchés financiers, aux fournisseurs de service, aux transports, aux fournisseurs d’eau et aux infrastructures numériques qui fournissent trois types de services numériques (les places de marché en ligne, les moteurs de recherche en ligne et les services d’informatique en nuage).
Sa nouvelle version englobe à présent les secteurs qui opèrent dans le domaine spatial, les services postaux, les producteurs de certains produits, de la nourriture, des administrations publiques, des services de communication, des eaux usées et de la gestion des déchets.

Au regard de l’actualité en Europe, cet élargissement semble le bienvenu. Les cyberattaques ont des objectifs divers et variés. Cependant, certaines d’entre elles font peser des menaces sans précédent qui vont jusqu’à remettre en cause la sécurité nationale. Il n’est pas sans rappeler que le 16 août 2022, l’opérateur nucléaire ukrainien, Energoatom, a été victime d’une cyberattaque russe « sans précédent » contre son site.

En outre, la directive s’appliquera sans distinction aux entités qui fournissent leurs services ou exercent leurs activités au sein de l’Union européenne. Cette mesure semble logique pour rendre effective la stratégie déployée et coïncide avec les notions développées par le Règlement à la protection des données (RGPD).

Finalement, la directive aura vocation à s’appliquer à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. A l’échelle nationale, cela représente environ 600 types d’entités différentes qui seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40.

L’application facultative à certaines entités

La révision de la directive permet d’imposer des obligations de sécurité à une liste de secteurs clairement établie tandis que pour certains d’entre eux, une option est laissée aux États membres.

Ainsi l’article 2 de la directive dispose que les États membres peuvent prévoir que le périmètre de la directive s’applique « aux entités de l’administration publique au niveau local […] » Autrement dit, il appartient à chaque État membre d’apprécier la nécessité d’élargir l’application de la directive à ses collectivités territoriales.

En France, le rapport réalisé par l’ANSSI intitulé « Panorama de la cybermenace 2022 » a permis de constater « une multiplication des cas d’attaques par rançongiciels est observée depuis l’été 2022, particulièrement à l’encontre des collectivités territoriales et des établissements de santé avec des impacts conséquents. » (https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf)

Ce rapport révèle également que les collectivités locales constituent la deuxième catégorie de victime la plus affectée par des attaques par rançongiciel derrière les TPE, PME et ETI. Elles représentent ainsi 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI en 2022.

L’exclusion des entités dont l’activité concerne la sécurité nationale

Elle exclut cependant de son champ d’application les entités de « l’administration publique qui exercent leurs activités dans les domaines de la sécurité nationale, de la sécurité publique, de la défense ou de l’application de la loi, y compris la prévention et la détection des infractions pénales, ainsi que les enquêtes et les poursuites en la matière. »

Cette directive permet d’adopter des solutions afin d’améliorer la cyber résilience et de réagir plus efficacement aux cyberattaques, en particulier celles ciblant des activités essentielles pour l’économie et la société, tout en respectant les compétences des États membres, y compris la responsabilité qui est la leur en matière de sécurité nationale.

La Commission se refuse à s’immiscer dans les affaires internes des États membres et respecte ainsi le principe de souveraineté de chacun.

B. La restructuration des opérateurs de services essentiels

La nouvelle directive a pour objectif de surmonter les lacunes de la différenciation entre les opérateurs de services essentiels et les fournisseurs de services numériques, qui s’est avérée obsolète puisqu’elle ne reflète pas l’importance des secteurs ou des services pour les activités économiques et sociétales dans le marché intérieur.

Les États membres ne seront plus responsables de la détermination des entités considérées comme opérateurs essentiels. Cette notion « d’opérateur de services essentiels », utilisée dans la précédente directive, disparaît donc.

Le périmètre de ces opérateurs régulés sera divisé en deux typologies d’acteurs prévus à l’article 3 de la directive. D’une part, les entités essentielles (EE) et d’autres part, les entités importantes (EI), dont la différenciation se fera par la criticité des secteurs associés. Elle comprend désormais toutes les entités de taille moyenne et grande dont les activités entrent dans le champ de la directive.

Dès lors, sont automatiquement considérées comme des entités « essentielles » ou « importantes » les entités qui emploient plus de 250 personnes et ont un chiffre d’affaires annuel de plus de 50 millions d’euros et/ou un bilan annuel supérieur à 43 millions d’euros. Les entités essentielles et importantes sont confrontées aux mêmes obligations, mais celles qui relèvent de la deuxième catégorie sont soumises à un régime d’application plus léger.

Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. »

Les obligations se voient renforcées, en effet, il ne suffit pas d’adopter des mesures techniques, elles doivent également être opérationnelles et organisationnelles.

Cette stratégie devra également prendre en compte les sous-traitants, alors qu’ils représentent encore le maillon le plus faible dans la chaîne de valeur, notamment en raison des attaques par rebond engagées par les cyberattaquants afin de remonter vers un prestataire plus important.

Prévu par l’article 20 de la directive, les États membres et leurs autorités nationales compétentes devront s’assurer de la mise en œuvre de cette stratégie. Elle permet d’une part d’éveiller les entités visées par la directive à l’importance de la mise en œuvre de mesures appropriées pour garantir la sécurité de leurs réseaux et de leurs systèmes d’information. D’autre part, elle tend à responsabiliser la direction des entités concernées par la directive qui pourra voir sa responsabilité engagée en cas de non-conformité.

Enfin, conformément à l’article 3. 3) de la directive, les États membres devront établir une liste des entités essentielles et importantes ainsi que des entités fournissant des services d’enregistrement de noms de domaine. Les États membres devront dresser cette liste au plus tard pour le 17 avril 2025 et procéder à sa mise à jour régulièrement, puis au moins tous les deux ans par la suite. Le contenu de cette liste est fixé par son article 3.4)

La directive prévoit également que les États membres devraient pouvoir décider que les entités identifiées comme opérateurs de services essentiels conformément à la directive (UE) 2016/1148 doivent être considérées comme des entités essentielles.

Il est également précisé que les États membres pourront mettre en place des mécanismes nationaux permettant aux entités de s’enregistrer elles-mêmes.

Mentionnée à l’article 3.5), les États membres se voient imposer une obligation de communication à la Commission des informations relatives aux entités essentielles et importantes. La communication de ces informations permettra un suivi en temps réel de la situation au niveau européen ainsi qu’une meilleure coordination en vue d’adopter une stratégie commune.

La révision de la directive SRI a permis d’étendre son champ d’application afin de renforcer les besoins actuels en cybersécurité et en résilience. Il s’agit d’une simple mise à jour qui, dans le même temps, promet de favoriser une meilleure coopération à l’échelle européenne.

II. L’harmonisation du cadre européen comme rempart face à la cybercriminalité

La révision de la directive « sécurité des réseaux et des systèmes d’information » a permis de prendre des mesures afin remédier à la fragmentation du marché intérieur. Pour ce faire, elle accroît les exigences et les obligations envers les États membres notamment en matière de sensibilisation. Elle prévoit également la désignation d’autorités compétentes afin d’organiser la coopération à différentes échelles (A).
Enfin, la Commission complète la réglementation en la matière en adoptant de nouveaux règlements qui ciblent des domaines annexes (B).

A. La consolidation de la coopération transfrontalière (dans la gestion des cyber incidents)

La cybersécurité est un facteur essentiel permettant à de nombreux secteurs critiques d’embrasser la transformation numérique et de saisir pleinement les avantages économiques, sociaux et durables de la numérisation.

L’analyse d’impact menée par la Commission a permis de constater des disparités dans l’application des exigences en la matière. Face au faible niveau de cybersécurité des entreprises établies dans l’Union et au degré de résilience variable en fonction des États membres et des secteurs concernés, une prise de conscience de la situation et l’adoption d’une réponse conjointe à la crise semblaient nécessaires.

Si les objectifs initiaux de la directive SRI lors de son adoption en 2016 étaient de « créer des capacités en matière de cybersécurité dans toute l’Union, d’atténuer les menaces pesant sur les réseaux et les systèmes d’information servant à fournir des services essentiels dans des secteurs clés et d’assurer la continuité de ces services en cas d’incidents, contribuant ainsi à la sécurité de l’Union et au bon fonctionnement de son économie et de sa société ».
La révision de la directive « sécurité des réseaux et des systèmes d’information » reprend ces objectifs tout en y ajoutant une forte volonté de coopération et d’harmonisation au regard des divergences d’application entre les États membres afin de pallier la fragmentation du marché intérieur.

La sensibilisation comme pilier de la stratégie déployée par la directive

Précisé à l’article 7 de la directive, « Chaque État membre adopte une stratégie nationale en matière de cybersécurité qui détermine les objectifs stratégiques, les ressources nécessaires pour atteindre ces objectifs ainsi que les mesures politiques et réglementaires appropriées, en vue de parvenir à un niveau élevé de cybersécurité et de le maintenir. »

Cet article instaure un certain nombre de points dans lesquels chaque état devra œuvrer. Parmi ces différents points, il est possible de retenir que chacun devra élaborer « un plan comprenant les mesures nécessaires en vue d’améliorer le niveau général de sensibilisation des citoyens à la cybersécurité. »

Comme le soulignait déjà Eric Hazane en 2016, « si les cas de cyberattaques frappant les grands groupes industriels focalisent l’attention des médias, les PME sont quotidiennement visées par des cyberattaquants appâtés par la vulnérabilité de petites structures peu ou pas protégées, faute de moyens ou de sensibilisation à la nouvelle économie numérique. »

La cybersécurité doit s’immiscer dans les plus petites structures et auprès des citoyens afin de rendre effective la stratégie européenne et pour cela, la sensibilisation devra en être un des piliers. L’erreur humaine reste en effet une des principales sources des cyber incidents qui surviennent en entreprise (téléchargement d’une pièce jointe infectée par un malware).

En outre, l’usage du numérique ne concerne pas que les entreprises. En effet, les jeunes générations de plus en plus connectées ne sont pas toujours informées des risques. Cette stratégie devra également être déployée auprès des plus jeunes.

Pour endiguer ce problème, l’état français déploie une nouvelle « stratégie numérique pour l’éducation 2023-2027 » qui repose sur une série de mesures pour renforcer les compétences numériques des élèves.

La désignation d’autorités compétentes en vue de favoriser la coopération

Afin d’établir une stratégie commune plus réactive et plus efficace, les États membres devront communiquer entre eux. Pour ce faire, chaque État membre devra en vertu de l’article 8, désigner quelle(s) autorité(s) compétentes seront chargées d’une part de la cybersécurité et, d’autre part, de la gestion des incidents de cybersécurité majeurs et des crises. Cette coopération sera assurée par la collaboration entre trois autorités.

On retrouve aux articles 10 et 11, la mise en place des « centres de réponse aux incidents de sécurité informatique ». Il s’agit d’un centre établi par (et dans) chaque État membre, conformément la directive SRI de 2016, chargée de répondre aux incidents de sécurité.

Conformément à l’article 23 de la directive, les incidents « importants » devront être signalés aux équipes nationales de réponse aux incidents de sécurité informatique (CSIRT) ou à leur autorité compétente. Pour éviter que les définitions et les seuils ne varient d’un État membre à l’autre, la Commission européenne a défini les cas où les incidents sont jugés importants.

Est également inclus, le Groupe de Coopération NIS, qui rédige les lignes directrices à l’intention des autorités nationales et coordonne leur action.

Enfin, la directive intègre à son article 16 le réseau « CyCLONe ». Créé en 2020, ce réseau a pour objectif de contribuer à la mise en œuvre d’un plan d’action en cas de cyberattaque ou de crise transfrontalière, et de permettre aux entreprises de mieux partager l’information relative aux menaces. Il complète les structures de cybersécurité existantes au niveau de l’Union européenne en reliant les instances de coopération des niveaux technique (CSIRT Network) et politique (IPCR). (https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-coordination-cyclone/)

La révision de la directive « sécurité des réseaux et des systèmes d’information » initie ainsi la collaboration entre ces trois intervenants et permet d’envisager une coopération transfrontalière accrue.

B. L’intervention de la réglementation dans des domaines annexes

Comme vu précédemment, la révision de la directive SRI a permis de moderniser son cadre juridique et de prévoir une coopération transfrontalière à différentes échelles. Afin de rendre effectif le déploiement de ces efforts, elle nécessite d’être accompagnée de mesures complémentaires qui touchent des domaines annexes.

La régulation dès la conception des objets connectés

À peine adoptée, la directive NIS 2 doit être complétée par un nouveau texte relatif à la cybersécurité des objets connectés. Le « Cyber Resilience Act », au stade de la proposition législative, doit renforcer la sécurité informatique des produits numériques en s’attaquant notamment au problème de la vulnérabilité des objets connectés. La Commission européenne souhaite apporter un socle commun de règles applicables qui vise à réguler la fabrication et les services liés à ces technologies. (https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act)

À travers l’adoption de cette loi, la Commission entend agir plus fermement sur la sécurité des produits connectés en introduisant la cybersécurité dès la conception et prémunir les consommateurs contre la multiplication des défaillances.

Pour faire respecter ces futures obligations, la Commission européenne table sur des sanctions administratives pouvant aller jusqu’à 15 millions d’euros ou jusqu’à 2,5% du chiffre d’affaires annuel mondial pour le régime de pénalités le plus élevé.

Améliorer la résilience opérationnelle informatique des acteurs des services financiers

La nouvelle directive a été alignée sur la législation sectorielle, en particulier sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) à des fins de clarté juridique et de cohérence entre la directive SRI 2 et ces actes.

Le règlement DORA adopté par la Commission européenne devrait entrer en vigueur le 17 janvier 2025 au plus tard. (https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0595)

Son principal objectif est d’harmoniser les exigences en matière de risques liés aux technologies de l’information et de la communication à travers l’Europe. Ce règlement permet à l’Union d’exiger des garanties de la part des organisations en les invitant à se plier au respect d’un cadre normatif pour résister notamment aux incidences cyber qui deviennent de plus en plus critiques.

Dans un contexte d’exposition grandissante des services numériques de la banque, il est possible de distinguer trois catégories de fraude. La première concerne la fraude externe autour des moyens de paiements qui vise principalement la carte bancaire et les chèques (vol des moyens de paiements, vol des informations de la carte bancaire pour effectuer des paiements à distance, système de cavalerie). La seconde catégorie va se baser sur l’usurpation d’identité du client.

Les attaquants vont trouver des techniques (phishing) afin de récupérer les informations du client dans l’objectif de prendre la main sur leur compte en ligne et in fine d’effectuer des sorties de fonds vers des comptes de passages. La troisième catégorie correspond aux attaques massives. Cela consiste à attaquer les systèmes d’information des banques. Ces cyberattaques ont pour objectif de déstabiliser, de saboter, de voler des données afin de les revendre sur le Darknet.

Ce sont des risques opérationnels pour l’entreprise qui nécessitent un cadre de résilience. Le règlement DORA devrait donc permettre de préserver la stabilité et l’intégrité des marchés financiers, mais aussi d’assurer un niveau élevé de protection des investisseurs et des consommateurs.

Pour lire une version plus complète de cet article sur la révision de la directive européenne sur la protection des réseaux, cliquez

Sources :

La Directive : https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022L2555&from=FR
Rapport « Panorama des cybermenaces 2022 » ANSSI : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-001.pdf
Le Département de Seine-Maritime touché par une cyberattaque le 10 octobre 2022 : https://www.paris-normandie.fr/id349866/article/2022-10-10/le-departement-de-seine-maritime-touche-par-une-cyberattaque-les-services
Article concernant les obligations des EI et des EE : https://www.droit-technologie.org/actualites/directive-nis-2-renforcer-la-securite-it-en-europe/
ERIC HAZANE, (In)sécurité numérique et PME : transformer les défis en atouts, CAIRN : https://www.cairn.info/revue-securite-et-strategie-2016-2-page-14.htm
Pour en savoir plus sur le réseau Cyclone : https://www.ssi.gouv.fr/actualite/blue-olex-2020-les-etats-membres-de-lunion-europeenne-lancent-le-reseau-de-coordination-cyclone/
Le cyber résilience Act : https://www.zdnet.fr/actualites/la-commission-europeenne-va-obliger-les-fabricants-d-objets-connectes-a-muscler-leur-cybersecurite-39947278.htm
Le cyber résilience Act : https://digital-strategy.ec.europa.eu/fr/library/cyber-resilience-act
Proposition Règlement DORA : https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX:52020PC0595
Clara Saillant, « La directive SRI 2 : élargissement du champ d’application et renforcement de la coopération en matière de cybersécurité », Dalloz Actualités, Revue IP/IT, le 17 janvier 2023 : https://www-dalloz-actualite-fr.gutenberg.univ-lr.fr/flash/directive-sri-2-elargissement-du-champ-d-application-et-renforcement-de-cooperation-en-matiere

Par Murielle Cahen • internet-et-droit •

7 Avr 2023

LES SANCTIONS DE LA PLATEFORME YOUTUBE

Depuis plusieurs années déjà, la plateforme YouTube a instauré un mécanisme de sanctions qui vise à favoriser des comportements responsables et la diffusion de contenus respectueux.

Pour rappel, YouTube est un site web d’hébergement de vidéos et média social sur lequel les utilisateurs peuvent envoyer, regarder, commenter, évaluer et partager des vidéos en streaming.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Conformément aux obligations légales, la plateforme YouTube doit donc prévoir un certain nombre de règles afin de lutter contre les contenus illicites en ligne. Dans cette logique, il est normal de constater la mise en place d’un règlement ayant vocation à régir la relation entre la plateforme YouTube et les éditeurs qui partagent du contenu.

Dans le même temps, les éditeurs de contenus sont soumis à des obligations et peuvent donc voir leur responsabilité engagée s’ils partagent un contenu contrevenant à la loi et/ou au règlement fixé par la plateforme.

Puisque la plateforme est un intermédiaire mettant en relation les annonceurs et les créateurs de contenus, qui tirent leurs revenus des annonces insérées dans les vidéos, elle ne peut se permettre des laissez-passer qui causeraient un préjudice aux annonceurs, ses principaux clients.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les récentes actualités visant deux youtubeurs français mis en cause dans des affaires de harcèlement, de viol et de corruption de mineurs ont agité la toile et de nombreuses questions concernant les mesures à prendre à leur encontre ont été soulevées. En effet la plateforme a déjà démonétisé les chaînes des deux youtubeurs afin qu’elles ne produisent plus de revenus.

Dans de nombreux cas, la plateforme procède à la démonétisation des contenus postés par le créateur. À l’origine, le terme de démonétisation s’appliquait notamment pour les vidéos qui ne respectaient pas les termes de droits d’auteurs. Dans ce cas, la plateforme stoppait toute publicité diffusée sur une vidéo et arrêtait donc de rémunérer le Youtubeur.

Par ailleurs, cette mesure faisait déjà l’objet de critiques, en effet ce procédé n’empêche pas le maintien de la chaîne du créateur et par conséquent, la visibilité des contenus postés sur la plateforme.

En outre, le remaniement des outils de modération soulève également des difficultés pour les créateurs de contenus qui utilisent la plateforme.

Face au développement de ces sanctions, on peut considérer que la plateforme exerce des sanctions arbitraires à l’égard de ses créateurs de contenus ?

I. Le fondement des sanctions infligées par la plateforme YouTube envers les créateurs

B. La régulation des contenus interdits sur les plateformes de partage

La plateforme YouTube en tant qu’hébergeur est soumise à un ensemble d’obligations légales (Cass. 1re civ., 17 févr. 2011, n° 09-67.896). En France, la LCEN soumet les intermédiaires techniques tels que les hébergeurs et les fournisseurs d’accès à internet à un régime d’obligations et de responsabilité.

En outre, en tant que plateforme privée, elle se réserve le droit d’établir des règles qui sont les siennes.

1. Les dispositions légales applicables aux hébergeurs

L’article 6 de la LCEN précise le régime spécial de responsabilité des hébergeurs. Ainsi un hébergeur ne peut pas voir sa responsabilité civile ou pénale engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services s’il n’avait pas effectivement connaissance de leur caractère illicite ou si, dès le moment où il en a eu cette connaissance, il a agi promptement pour retirer ces données ou en rendre l’accès impossible.

Le même article impose aux hébergeurs ainsi qu’aux FAI une obligation de concourir à la lutte contre la diffusion de certaines infractions, compte tenu de l’intérêt général attaché à la répression de celles-ci. Ces infractions sont les suivantes : l’apologie des crimes contre l’humanité, la provocation à la commission d’actes de terrorisme et leur apologie, l’incitation à la haine raciale, à la haine à l’égard de personnes à raison de leur sexe, de leur orientation ou identité sexuelle ou de leur handicap ainsi que la pornographie enfantine, l’incitation à la violence, notamment l’incitation aux violences sexuelles et sexistes, ainsi que des atteintes à la dignité humaine.

L’obligation de concourir à la lutte contre les contenus illicites susmentionnés se traduit par la mise en place d’un ensemble de dispositifs de la part des hébergeurs (dispositif de signalement par exemple).

Dans le même temps, en tant qu’intermédiaire technique, la plateforme est donc soumise au principe de neutralité du net consacré par loi n° 2016-1321 du 7 octobre 2016 pour une République numérique (Loi Lemaire). Cette même loi a étendu les compétences de l’Arcep à l’application du règlement européen sur l’internet ouvert. L’Arcep a donc désormais pour mission de surveiller les pratiques des fournisseurs d’accès internet (FAI) qui pourraient écorner le principe de neutralité, de conduire des enquêtes ou de prononcer des sanctions pouvant atteindre jusqu’à 3% du chiffre d’affaires des opérateurs (article 40).

Le principe de la neutralité du net repose sur l’idée qu’internet est un support qui doit permettre la communication et la mise à disposition de contenus, sans jugement quant à la nature du contenu, et surtout par les opérateurs techniques. Autrement dit, cela signifie que les données qui transitent sur le réseau doivent être traitées, au plan technique, de manière indiscriminée. Au-delà du point de vue purement technique, la neutralité renvoie par ailleurs à plusieurs enjeux économiques et sociaux essentiels : la liberté d’expression, la capacité d’innovation, la concurrence ouverte, la non-discrimination, la diversité des contenus…

2. La régulation des contenus par la plateforme

Le partage de contenus illicites doit donc être encadré par la plateforme. Sont donc exclus d’office de la plateforme tous les contenus qui contreviendraient à la loi, c’est d’ailleurs ce que rappelle le règlement mis en place par la plateforme YouTube.

Pour faire face à leur responsabilité, les plateformes telles que YouTube utilisent divers procédés de modération.

Une partie de la modération est relayée à des modérateurs spécialement engagés pour filtrer les contenus. Ces embauches ne vont pas sans poser de problème. Il est possible de citer à titre d’exemple les troubles psychologiques qui en découlent pour les modérateurs exposés en continu à des contenus d’une extrême violence, mais également de l’opacité qui réside autour du travail de ces modérateurs soumis à des clauses de confidentialité très strictes.

Au-delà des opérations de filtrage effectuées par des êtres humains, les plateformes ont également recourt à l’intelligence artificielle pour occuper des fonctions de modération. Si la reconnaissance automatique des images violentes ou pornographiques atteint aujourd’hui des scores performants, les dispositifs équivalents en matière d’analyse de discours présentent des marges d’erreur beaucoup plus importantes, multipliant les risques de censure abusive. Les contenus soumis à interprétation, comme c’est le cas des fausses informations ou des discours haineux, s’avèrent, en effet, plus difficiles à traiter par des procédures automatisées, dans la mesure où celles-ci peinent à prendre en considération les contextes de leur énonciation.

En outre, afin de prévenir les potentielles dérives qui pourraient voir le jour, un ensemble de sanctions sont prévues par la plateforme.

Dans un premier temps, les créateurs de contenus qui dérogent « aux règles de la communauté » se voient infliger une mise en garde. La mise en garde se transforme ensuite en avertissement, les sanctions se durcissent et si le créateur reçoit un troisième avertissement au bout de 90 jours, sa chaîne sera définitivement supprimée de la plateforme.

À titre d’exemple, il est possible de citer le youtubeur Logan Paul qui en 2017, avait publié une vidéo dans laquelle il se mettait scène avec des amis dans la forêt japonaise d’Aokigahara tristement célèbre pour ses suicides et y montrait un homme pendu. Véritable scandale, cette vidéo était restée en ligne plus de vingt-quatre heures avant d’être retirée par l’auteur lui-même. Elle a eu le temps de dépasser les six millions de vues et de s’afficher dans les tendances de YouTube, un espace qui met en avant les contenus populaires.

Le vlogueur américain aux seize millions d’abonnés s’était vu adresser un avertissement pour violation des conditions d’utilisation. Cet avertissement ne semble pas avoir suffi au créateur qui postait quelques semaines plus tard une nouvelle vidéo dans laquelle il s’attaquait à des rats morts à coups de taser.

Face à ce nouveau scandale, la plateforme avait donc décidé de démonétiser le Youtubeur mais bien évidemment, la vidéo n’avait pas fait l’objet d’un retrait. Dans un communiqué de presse, la plateforme explique sa décision « Nous avons décidé de suspendre temporairement les publicités sur la chaîne YouTube de Logan Paul. Ce n’est pas une décision facile, toutefois, nous considérons qu’il a fait preuve d’un comportement répétitif dans ses vidéos qui rend sa chaîne inadéquate pour les annonceurs, mais également potentiellement dangereuse pour l’ensemble de la communauté des créateurs. »

Lorsque les vidéos sont démonétisées, elles ne sont plus mises en avant par l’algorithme. Ces sanctions semblent logiques puisqu’elles contribuent à fixer les limites à ne pas dépasser sur la plateforme au regard de la loi, des mœurs et de la liberté d’expression ou encore des dangers que peut constituer le contenu s’il est reproduit.

A la suite de cette affaire, de nombreux internautes et groupes d’action ont mis en exergue le manque de modération de la plateforme et ont dénoncé l’opacité de ce système. Les critères qui président au retrait d’un contenu ne sont pas rendus publics, et les internautes ne disposaient jusqu’à récemment d’aucune voie de recours pour contester un retrait abusif. L’entrée en vigueur du DMA et du DSA courant 2023 devrait changer la donne.

B. Les sanctions prévues pour les comportements des créateurs en dehors de la plateforme

Plus récemment, deux affaires impliquant deux youtubeurs français ont relancé le débat autour des sanctions prises par la plateforme à l’égard de ces créateurs de contenus. En effet, si jusqu’à présent les créateurs étaient souvent sanctionnés pour des contenus partagés en ligne dérogeant aux règles de la communauté, ce sont à présent les comportements en dehors de la plateforme qui sont visés.

La plateforme dispose d’une page spécifique sur laquelle elle rappelle toutes les règles applicables. Elle y définit « la responsabilité des créateurs », et fait mention du comportement des vidéastes hors de son site. Elle y résume les cas dans lesquels YouTube peut infliger une sanction, on retrouve notamment « Certains comportements sur la plate-forme et ailleurs peuvent également être considérés comme inappropriés et entraîner des sanctions ». Parmi les exemples, on trouve la « participation à des actes abusifs, violents ou cruels » ou encore « un comportement prédateur impliquant des communications au sujet de ou avec des mineurs ».

Il est possible d’interpréter ces sanctions comme une volonté de renforcer la prévention face à la « célébrité » qui peut parfois en amener plus d’un à commettre des faits répréhensibles par la loi.
En effet, YouTube souhaite avant tout garantir la sécurité et la confiance de ses utilisateurs qui représentent le moteur de son activité. En procédant à la démonétisation de la chaîne des créateurs mis en examen, cette dernière donne le ton aux autres créateurs et affiche une tolérance zéro à l’égard de tels comportements sanctionnés par la loi.

Il est aussi possible de s’interroger sur les préjudices d’images que de telles affaires provoquent pour cette dernière. En effet, en adoptant de telles mesures, cherche-t-elle simplement à ne pas entacher son image ? Dans un monde où tout est débat et où tout se sait à « vitesse grand V », les internautes pourraient se retourner contre la plateforme qui « implicitement » cautionnerait les vidéos postées par ces créateurs alors qu’ils font l’objet de poursuites judiciaires.

Il s’agit aussi de proposer aux annonceurs « une sécurité » sur le choix des créateurs et des contenus. En effet, il pourrait être préjudiciable pour certains annonceurs de se trouver associés au contenu d’un créateur mis en examen.

YouTube en tant qu’entreprise privée favorise donc une logique économique qui vise d’une part à protéger ses utilisateurs afin de conserver l’attractivité de la plateforme, mais également à protéger les annonceurs (clients de la plateforme) en ne les associant pas à des personnalités controversées.

I. La remise en question de la légitimité de ces sanctions

A. La question de la partialité des sanctions prises à l’encontre des créateurs

La pertinence de certaines sanctions a dernièrement fait l’objet de nombreuses controverses sur la toile. Entre les passe-droits accordés à certains créateurs et la régulation au profit des annonceurs, les créateurs de contenus font face à une pression plus importante.

Dernièrement, comme en témoignent de nombreux créateurs, la plateforme de vidéos en ligne a renforcé son outil de reconnaissance vocale en sanctionnant tous les créateurs prononçant des injures et des grossièretés. Certains d’entre eux ont dû trouver des astuces en ajoutant des bruits de censure ou des bruits d’animaux sur des vidéos déjà publiées afin d’en dissimuler tous les mots vulgaires. Cette réglementation impacte directement les revenus des Youtubeurs. En effet les modifications de ce règlement sont rétroactives et sans préavis : elles s’appliquent donc immédiatement sur toutes les vidéos, y compris celles qui sont déjà en ligne parfois depuis plusieurs années.

Dans son règlement, YouTube indiquait déjà auparavant qu’un contenu pouvait être soumis à une limite d’âge, être supprimé ou avoir un avertissement s’il employait un usage excessif de langage vulgaire. Néanmoins, il semblerait que le durcissement des politiques du langage sur YouTube ne concernerait pas seulement les injures. En effet, sur Twitter, des streamers affirment même que certains mots seraient également bannis même s’ils ne sont pas des gros mots. Ils évoquent notamment les termes « ricains » (pour désigner un américain) ou « bled » (pour parler d’un pays) qui auraient provoqué des démonétisations.

YouTube, de son côté justifie cette nouvelle règle par une meilleure optimisation monétaire du contenu produit sur la plateforme, autrement dit elle a renforcé ses règles d’utilisation car son modèle économique est fondé sur la vente d’espaces publicitaires aux annonceurs. On parle d’une entreprise ‘Ad tech’, qui met sa technologie et ses algorithmes au service de la vente de publicités. Avec la montée en puissance de TikTok, YouTube travaille à se positionner comme la première plateforme de contenus qui rémunère ses créateurs plus et mieux que les autres plateformes, notamment en partageant ses revenus publicitaires.

En outre, l’adoption du DSA n’a-t-elle pas créé une agitation au sein de la plateforme qui tente désormais de réguler plus sévèrement les contenus illicites afin de se préparer à son entrée en vigueur.

B. Les potentielles dérives de la régulation privée

Il est également possible de s’interroger sur les conséquences que ces sanctions peuvent provoquer. Vont-elles nuire à la présomption d’innocence ?

La plateforme a déjà pris des mesures de sanctions contre des vidéastes accusés de viol, de harcèlement et de corruption de mineurs. Or ces accusations n’ont fait l’objet d’aucune poursuite et encore moins l’objet d’une décision de justice permettant de déclarer coupables les créateurs de contenu. Cette décision pourrait influencer l’opinion publique ou causer un ensemble de préjudices financiers et d’image pour les créateurs dans la même situation.

Ces sanctions suscitent de nombreuses interrogations. Devra-t-on prendre en compte des anciennes condamnations de créateurs de contenu établis sur la plateforme ?

Il est en effet possible que certains créateurs de contenu aient fait l’objet d’une condamnation judiciaire avant d’entamer des activités sur la plateforme.

Doit-on craindre qu’une forme de discrimination naisse de ces sanctions ? Où doit-on interpréter ces sanctions comme des répercussions du préjudice d’image causé à la plateforme ?

De plus, qu’en est-il en cas d’erreur judiciaire ? En effet, le créateur qui se trouvera condamné devra-t-il être indemnisé dans le cas d’une erreur de justice ayant mené à ces sanctions sur la plateforme qui aujourd’hui, constitue le fonds de commerce de beaucoup de créateurs.

Les sanctions prises à l’égard des créateurs devraient peut-être se calquer sur les faits qui sont sanctionnés par la justice. En effet, à l’issue du procès qui a opposé Marvel Fitness à d’autres créateurs de la plateforme pour cyberharcèlement en meute, le créateur de contenu a vu sa chaîne démonétisée comme il le confie dans une de ses vidéos.

Enfin il est légitime de se demander si la plateforme cherche à incarner une seconde justice. Doit-on envisager et tolérer une régulation privée ?

Si cette hypothèse reste moins probable, YouTube viendrait infliger à ces créateurs des sanctions complémentaires à leur peine prononcée par la justice. Mais cette régulation privée interpelle, la justice n’est-elle pas du ressort de la compétence des états ?

Doit-on cautionner la mise en place de telles mesures au risque de voir les acteurs privés prendre une part de plus en plus importante dans nos vies ou, au contraire, doit-on envisager que YouTube en tant que plateforme privée puisse établir ses propres « règles du jeu ».

Finalement doit-on considérer que les différentes lois qui imposent des obligations aux plateformes constituent une forme de délégation des pouvoirs de censure depuis les États vers ces grandes plateformes du web.

Pour lire une version plus complète de cet article sur les sanction de Youtube, cliquez

SOURCES :

Qualification d’hébergeur retenue pour la société Dailymotion (pas de rôle actif) dans l’arrêt Cass. 1re civ., 17 févr. 2011, n° 09-67.896, Sté Nord-Ouest, Sté UGC Images et a. c/ Sté Dailymotion
https://www.arcep.fr/nos-sujets/la-neutralite-du-net.html
Règlement de YouTube https://support.google.com/youtube/answer/2802032?hl=fr
Le cas de Logan Paul : https://www.lemonde.fr/pixels/article/2018/01/05/le-scandale-logan-paul-met-en-lumiere-les-gros-defauts-de-moderation-sur-youtube_5237956_4408996.html
Les dérives de la modération en ligne : https://www.sudouest.fr/justice/contenus-offensants-les-stars-de-youtube-sont-elles-exemptees-de-sanctions-sur-la-plateforme-2508055.php
La modération sur YouTube : https://www.europe1.fr/medias-tele/youtube-devient-il-de-plus-en-plus-lisse-4165528
Les exemples des dérives de la modération sur YouTube : https://start.lesechos.fr/innovations-startups/tech-futur/la-grogne-des-youtubeurs-face-aux-nouvelles-regles-de-monetisation-1176471
DSA : https://www.vie-publique.fr/eclairage/285115-dsa-le-reglement-sur-les-services-numeriques-ou-digital-services-act
La modération du contenu portant sur les armes à feu : https://www.armes-ufa.com/spip.php?article3316
Romain Badouard, « Post-censure(s) », 2020 – Page 161 à 173 : La régulation des contenus sur Internet à l’heure des « fake news » et des discours de haine

Par Murielle Cahen • Droits d'auteur, internet-et-droit •

7 Avr 2023

LE DROIT AU DEREFERENCEMENT

L’arrivée d’internet a grandement contribué au développement de nouveaux usages facilitant notre vie. Le développement des plateformes de services en ligne telles que les réseaux sociaux et les moteurs de recherches ont permis de faciliter nos échanges et notre accès à l’information.

Les moteurs de recherche sont des outils formidables qui correspondent à un grand répertoire d’informations libres qui, une fois en ligne, ne sont plus maîtrisées. Internet accroît le sentiment d’impunité et lorsque les informations sont accessibles à n’importe qui, nombreux sont les usages dérivés qui en sont fait pour ternir la réputation.

Pour faire supprimer un contenu qui bafoue vos droits, utilisez le service mis en place par le cabinet Murielle-Isabelle CAHEN.

Face au problème grandissant, le droit est venu préciser le rôle des plateformes dans la gestion de leur contenu, mais également accorder des droits aux utilisateurs afin qu’internet ne deviennent pas une zone de non-droit.

Parmi ces droits, le droit au déréférencement permet de lutter contre la publication de données à caractère personnel qui porte atteinte aux droits fondamentaux de la personne ou à sa vie privée. Il permet de faire supprimer un ou plusieurs résultats fournis par un moteur de recherche à l’issue d’une requête effectuée à partir de l’identité (nom et prénom) d’une personne.

Aussi souvent appelé « droit à l’oubli », le droit au déréférencement était déjà prévu par la Directive 95/46/CE, et aujourd’hui intégré à l’article 17 du RGPD. (https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17).
Issu d’une longue réflexion, cet article a créé le droit à l’effacement et a permis une inversion de la charge de la preuve, à présent le responsable de traitement supporte la charge de la preuve. Ce droit a vu son application précisée par une série d’arrêts rendus entre 2014 et 2020.

Besoin de l’aide d’un avocat pour un problème de droit à l’oubli ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

A travers cette saga jurisprudentielle, la Cour européenne de justice, mais également le Conseil d’État se sont attelés à définir les modalités de mise en œuvre du droit au déréférencement aux moteurs de recherche (I). En pratique, le droit au déréférencement a connu différentes évolutions, mais connaît également de nombreuses limites aussi bien à travers sa mise en œuvre, qu’à travers le rôle accordé aux moteurs de recherche (II).

I. La définition des modalités de mise en œuvre du droit au déréférencement

Afin de garantir une protection adéquate des personnes faisant l’objet d’un traitement de données par les moteurs de recherche, la CJUE a dû déterminer les responsabilités et devoirs de ces nouveaux acteurs au regard de la législation existante. Pour se faire, elle a d’abord procédé à la vérification de l’applicabilité de la directive européenne 95/46/CE aux moteurs de recherche (A). Elle a ensuite fixé un ensemble d’obligations découlant de la réglementation et définit leurs modalités de mise en œuvre par ces mêmes acteurs (B).

A. L’intervention de la CJUE dans la détermination de l’application de la Directive 95/46/CE aux moteurs de recherche

C’est à l’occasion de sa célèbre décision en date du 13 mai 2014 que la CJUE est venue préciser les modalités d’application du droit au déréférencement par les moteurs de recherche. (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos)

Dans un premier temps, la CJUE procède à la vérification de l’applicabilité de la Directive 95/46/CE (aujourd’hui abrogée) au moteur de recherche, en l’occurrence Google.
Pour se faire elle effectue une qualification des activités du moteur de recherche qu’elle considère par extension de son interprétation classique, être des traitements de données. Puis, elle effectue un contrôle sur la qualité du moteur de recherche, et au regard de ses activités et de son rôle dans la détermination des finalités et moyens du traitement, lui confère la qualité de responsable de traitement.

La Cour l’existence d’un lien de cause à effet entre les résultats indexés par le moteur de recherche dans le cadre de ses activités et les atteintes à la vie privée dont sont victimes les personnes concernées.

Cette décision s’accorde difficilement avec la position antérieure de la CJUE qui considérait que ce même moteur de recherche, Google, avait un rôle « purement technique, automatique et passif ». (Arrêt de la CJUE du 23 mars 2010, affaires jointes C-236/08 à C-238/08 : )

Ce raisonnement adopté par la Cour témoigne de sa volonté de faire produire ses effets à la directive européenne afin de réguler les activités du moteur de recherche. La CJUE confirme l’application de la Directive 95/46/CE et ordonne à Google de la respecter afin de garantir une protection efficace et complète des personnes concernées.

Dans un second temps la Cour doit déterminer si la localisation de Google n’empêche pas l’application de la Directive 95/46/CE. Pour se faire, elle analyse si l’entreprise remplie une des trois conditions fixées par la directive. La Cour se livre alors à une réécriture du considérant 19 de la directive et procède à la qualification d’établissement stable de Google Spain.

Cette mise en balance des différents intérêts a permis de renforcer la protection des personnes concernées et de responsabiliser Google envers ses utilisateurs. Cette décision ne responsabilise pas seulement Google, elle apporte ainsi un cadre nouveau pour les moteurs de recherches qui devront, dès à présent, se conformer à la Directive 95/46/CE.

B. La définition des critères d’évaluation du droit au déréférencement

En vertu de la Directive 95/46/CE, les États membres garantissent aux personnes concernées le droit d’obtenir du responsable de traitement, en l’occurrence le moteur de recherche, l’effacement, la rectification ou le verrouillage des données dont le traitement n’est pas conforme à la directive, notamment en raison du caractère incomplet ou inexact des données.

A travers cette décision, la CJUE définit les critères qui devront permettre aux moteurs de recherche de statuer sur une demande de déréférencement.

Dès lors, chaque demande de déréférencement devra être appréciée au cas par cas afin d’effectuer un juste équilibre (principe de proportionnalité) entre les atteintes aux droits fondamentaux, au respect de la vie privée et à la protection des données que sont susceptibles de provoquer les traitements de données, et le droit à l’information et le droit de la presse. Le droit à l’oubli n’est par conséquent pas un droit absolu.

Précisé par la jurisprudence de 2019, cet examen devra se faire à la lumière d’autres critères que sont la notoriété et la fonction de la personne concernée, il s’agira de déterminer si c’est une personne publique. L’âge de la personne concernée, notamment son âge au moment de la publication, mais aussi la nature des contenus en cause leur caractère plus ou moins objectif, leur exactitude, de s’interroger sur leurs sources.

Le responsable de traitements devra également vérifier les conditions et la date de mise en ligne des contenus, et enfin les éventuelles répercussions que leur référencement est susceptible d’avoir pour la personne concernée (par exemple si la personne rencontre des difficultés à obtenir un prêt, car un article concernant d’anciennes insolvabilités est en ligne).

Cet examen doit se faire à la lumière de différents critères que sont la notoriété, l’âge de minorité, la nature des informations référencées, l’éventuel préjudice subi, le contexte de la publication. Ce qui n’est pas sans rappeler les éléments pris en compte par les juridictions françaises pour déterminer une atteinte à la vie privée.

Ainsi « l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite ».

Finalement, la nouveauté de cet arrêt réside dans le fait que le moteur de recherche peut être obligé de désindexer lesdits liens, même si les données à caractère personnel continuent à demeurer sur les sites web.

II. Les évolutions et les limites de la pratique du droit au déréférencement/du droit à l’oubli

La jurisprudence européenne offre de nouvelles perspectives en instaurant de nouvelles obligations aux moteurs de recherches. Précisé par une série d’arrêts qui découlent de cette première décision, la portée territoriale du droit au déréférencement fait aujourd’hui l’objet de discussions (A). La jurisprudence a amené à la fois des évolutions, mais également d’autres limites dans l’octroi du droit au déréférencement (B).

A. Les limites de la portée territoriale

A la suite d’un différend opposant Google Inc. et la CNIL, le Conseil d’État saisi d’une question préjudicielle la CJUE afin de déterminer la portée territoriale du droit au déréférencement. Autrement dit, s’arrête-t-il aux frontières de l’Union européenne ?

En réponse à cette question, la portée et les limites du droit au déréférencement ont été précisées par la CJUE dans deux nouveaux arrêts du 24 septembre 2019. (https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9762 et https://curia.europa.eu/juris/document/document.jsf?text=&docid=218106&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9963)

A travers l’un de ses deux arrêts, la CJUE répond et considère que le droit au déréférencement doit être respecté dans les États membres de l’Union européenne. Il n’est pas contraignant pour les autres pays. Un moteur de recherche qui reçoit une demande de déréférencement par un citoyen européen n’est obligé de supprimer les résultats concernés que pour ses noms de domaines européens (google.fr, google.be, google.de, etc.).

Toutefois, la Cour de justice de l’Union européenne précise que, si le droit de l’Union n’impose pas cette portée mondiale, « il ne l’interdit pas non plus », ce qui permet à une autorité de contrôle ou à une autorité judiciaire d’ordonner un déréférencement à portée mondiale.

Par une série de décisions rendues le 6 décembre 2019, le Conseil d’État tire les conséquences des décisions de la CJUE.

Cette saga jurisprudentielle s’achèvera le 27 mars 2020, date à laquelle le Conseil d’État prend acte du jugement rendu par la Cour de justice de l’Union européenne et annule la délibération de la CNIL ordonnant un déréférencement mondial. En France, aucune mesure législative ne permet en effet à la CNIL d’exiger de procéder à un déréférencement d’une telle envergure.

Cette décision révèle des difficultés techniques propres aux nouvelles technologies, mais aussi législatives et soulève des interrogations.

L’approbation du déréférencement à échelle européenne n’empêche pas en effet l’utilisation d’outils techniques (VPN) permettant d’outrepasser la mise en œuvre du déréférencement, ce qui remet en cause l’effectivité de ce procédé visant à protéger les utilisateurs. Ne devrait-on pas adapter cette solution à l’état de l’art ?

B. Les évolutions et les limites de l’exercice du droit au déréférencement induites par la jurisprudence

Ces jurisprudences ont allégé le processus judiciaire auparavant requis pour faire droit à une demande de déréférencement. Il n’est plus nécessaire de passer au préalable par la case tribunal. Les moteurs de recherche mettent à disposition des formulaires qui permettent d’effectuer une demande de déréférencement. . En cas de recours contre une décision prise par un moteur de recherche, il n’est pas non plus nécessaire non plus d’emprunter le chemin des tribunaux. La CNIL sert d’intermédiaire. Cela évite des frais judiciaires aux personnes qui souhaiteraient exercer ce droit.

En revanche, le pouvoir conféré aux moteurs de recherche fait l’objet de débats. En effet, ils sont, dans la première partie du processus, les seuls a apprécié s’ils accordent le déréférencement ou non, et ce même pour des contenus licites. Il s’agit de conférer à un acteur privé le rôle de concilier deux libertés fondamentales, le droit au respect de sa vie privée et la liberté de la presse. Ce qui entre dans le domaine de compétence des juges et non pas des acteurs privés.

Pour lire une version plus complète de cet article sur le droit à l’oubli, cliquez

SOURCES :

Pour visualiser l’article 17 du RGPD : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre3#Article17
Différence déréférencement et effacement : https://www.cnil.fr/fr/le-dereferencement-dun-contenu-dans-un-moteur-de-recherche
« Il serait contraire non seulement au libellé clair, mais également à l’objectif de cette disposition, consistant à assurer, par une définition large de la notion de responsable, une protection efficace et complète des personnes concernées, d’exclure de celle-ci l’exploitant d’un moteur de recherche au motif qu’il n’exerce pas de contrôle sur les données à caractère personnel publiées sur les pages web de tiers ». (CJUE, 13 mai 2014, affaire C-131/12, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos)
Pour consulter l’arrêt de la CJUE du 23 mars 2010, affaires jointes C-236/08 à C-238/08. : https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=CELEX%3A62008CJ0236
« Les droits à la vie privée et à la protection des données à caractère personnel doivent se concilier avec les droits à la liberté d’expression et d’information, ce dans la recherche d’un juste équilibre entre les droits de la personne concernée et l’intérêt légitime des internautes potentiellement intéressés à avoir accès à une information ». (TGI Paris, ordonnance de référé du 12 mai 2017, Madame X. / Google France et Google Inc.)
Pour consulter des résumés des arrêts de la CJUE en date du 24 septembre 2019 : https://www.cnil.fr/fr/droit-au-dereferencement-la-cjue-rendu-ses-arrets
Pour consulter les arrêts de la CJUE en date du 24 septembre 2019 : https://curia.europa.eu/juris/document/document.jsf?text=&docid=218105&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9762
Et https://curia.europa.eu/juris/document/document.jsf?text=&docid=218106&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=9963
Pour consulter les décisions du Conseil d’État, 06/12/2019, 429154 :
https://www.legifrance.gouv.fr/ceta/id/CETATEXT000039457006Accès aux formulaires de demande de déréférencement (CNIL):
https://www.cnil.fr/fr/le-dereferencement-dun-contenu-dans-un-moteur-de-recherche
Marion Polidori, « L’arrêt Google Spain de la CJUE du 13 mai 2014 et le droit à l’oubli » Dans Civitas Europa 2015/1 (N° 34), pages 243 à 266 : https://www.cairn.info/revue-civitas-europa-2015-1-page-243.htm
Pour consulter l’article relatif au nombre de demandes dé déréférencement reçues par Google en 2014 : https://www.nextinpact.com/article/14441/89364-google-recoit-desormais-million-demandes-dereferencement-par-jour

Par Murielle Cahen • internet-et-droit • • Tags: diffamation, données personnelles, données privées, réputation

7 Avr 2023

LES INFLUENCEURS ET LA PUBLICITE

Depuis plusieurs années déjà, les stratégies des entreprises et des marques pour faire la promotion de leurs biens et services ont pris une nouvelle tournure. Aussi appelée « marketing d’influence », cette stratégie vise pour ces dernières à collaborer avec des influenceurs.

L’influenceur est un créateur de contenu et traite de diverses thématiques qu’il partage avec sa communauté qui le suit, le plus souvent sur les réseaux sociaux. L’espace de divertissement initialement offert par ce dernier peut dans certains cas se transformer en un espace publicitaire et créer la confusion chez l’internaute.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Cette stratégie offre de nombreux avantages aux entreprises qui l’utilisent. Il s’agit d’une nouvelle forme de promotion ou de publicité qui tire profit de la visibilité qu’offre l’influenceur grâce à sa communauté. Elle leur permet également de cibler au mieux le public souhaité au regard des thématiques que l’influenceur aborde.

Malheureusement, cette stratégie fait l’objet de nombreux abus et les influenceurs peu scrupuleux n’hésitent pas à enfreindre les règles pourtant déjà fixées par le droit. Ces pratiques représentent aussi bien des risques pour la santé des consommateurs que pour leur stabilité financière, etc.

Les députés se sont donc saisis de ce phénomène en pleine expansion pour proposer l’adoption de nouvelles lois qui visent à encadrer les pratiques des influenceurs. Déposées à l’Assemblée nationale entre novembre et décembre 2022, ces propositions de loi sont en cours d’examen.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien

Avant d’étudier les apports de ces propositions de loi, il conviendra de dresser le portrait des obligations existantes pour les influenceurs.

I. Les obligations des influenceurs au regard du cadre juridique en vigueur

Au même titre que tous les opérateurs économiques, l’influenceur est soumis à diverses réglementations permettant notamment d’assurer la protection du consommateur. Pour autant, dans la pratique, les influenceurs ne respectent pas tous la réglementation en vigueur. (A) Afin d’assurer la protection des consommateurs, plusieurs autorités veillent au respect des bonnes pratiques commerciales et publicitaires. (B)

A. La protection du consommateur au cœur des obligations des influenceurs

Contrairement à un contenu dit éditorial, lorsque l’influenceur produit un contenu commercial il n’établit pas librement son contenu, et fait la promotion d’une marque, de produits ou d’un évènement en contrepartie d’une rémunération.

Créant de fait une potentielle confusion chez les internautes qui le suivent, l’influenceur doit se conformer à certaines obligations prévues par la loi. Ces obligations permettent de signaler aux internautes que le contenu ou ce qui y est mis en avant relève de la pratique commerciale.

La notion de pratique commerciale

La notion de “pratique commerciale” est plus large que la notion de publicité.

Elle n’est pas définie dans le Code de la consommation, mais la directive européenne n° 2005-29 du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs en donne la définition suivante : « toute action, omission, conduite, démarche ou communication commerciale, y compris la publicité et le marketing, de la part d’un professionnel, en relation directe avec la promotion, la vente ou la fourniture d’un produit au consommateur ». (https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32005L0029&from=FR)

En France, l’article L. 121-1 du Code de la consommation pose un principe général d’interdiction des pratiques commerciales déloyales. Parmi les pratiques commerciales déloyales, on distingue notamment les pratiques commerciales trompeuses et les pratiques commerciales agressives.

Afin de ne pas être identifié comme relevant des pratiques commerciales déloyales, l’influenceur doit se conformer lors de la diffusion de son contenu à un ensemble d’obligations déjà existantes. Il doit donc procéder à l’identification des contenus publiés, condition de loyauté de la pratique commerciale.

L’indication du caractère publicitaire de la publication

Selon la recommandation de l’ARPP, le caractère publicitaire d’un contenu est établi lorsque trois conditions sont réunies. Le contenu est commercial en ce qu’il fixe une obligation de publication et qu’il est rémunéré à cette occasion. Il existe contrôle éditorial prépondérant puisque le contenu fait la promotion d’un produit ou d’un service.

L’ARPP précise que l’identification de la publicité doit permettre au public d’avoir immédiatement connaissance de la nature publicitaire du contenu. L’éditeur de contenu a donc une obligation de transparence envers les internautes qui visionneront son contenu. L’article 20 de la loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004 rend obligatoire l’identification du caractère publicitaire en rappelant que « Toute publicité, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir être clairement identifiée comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est réalisée.

L’alinéa précédent s’applique sans préjudice des dispositions réprimant les pratiques commerciales trompeuses prévues à l’article L. 121-1 du code de la consommation. »

En pratique, l’indication de la nature promotionnelle du message doit être claire, facilement accessible, non équivoque, lisible et visible. Ainsi, la mention du caractère publicitaire ou du partenariat commercial doit être faite dans la langue française. À titre d’exemple il peut s’agir des mentions suivantes : « Partenariat rémunéré avec… », « sponsorisé », « avec @… », « #partenariat », « vidéo produite par… », « contenu sponsorisé par », « publicité ».

Cette mention doit également apparaître dès le début du post ou de la vidéo afin de ne pas être immergée dans le contenu et par conséquent semer le doute chez l’internaute.

Les opérations de promotion non autorisées

Au-delà des règles générales applicables en matière de pratiques commerciales loyales et de publicité, certains secteurs sont régis par des dispositions spécifiques en matière de publicité qui s’appliquent en cas de recours à des influenceurs.

Afin de protéger les consommateurs de la publicité de produits qui pourraient constituer des dangers, un certain nombre d’opérations de promotions sont prohibées ou font l’objet d’un encadrement très strict.

La loi du 10 janvier 1991 relative à la lutte contre le tabagisme et l’alcoolisme, dite loi Évin fixe des cas limitatifs où la publicité de ces produits peut être effectuée. (https://www.cairn.info/revue-journal-du-droit-de-la-sante-et-de-l-assurance-maladie-2021-1-page-15.htm)

Ainsi, l’alinéa 1 de l’article L. 3512-4 du code de la Santé publique dispose : « La propagande ou la publicité, directe ou indirecte, en faveur du tabac, des produits du tabac, des ingrédients […] sont interdites. » Le parrainage comme le mécénat sont prohibés. Les exceptions à ce principe sont prévues par l’article L. 3512-4 du code de la santé publique et sont extrêmement limitées. (Cass. crim., 18 mai 2016, n° 15-80922).

L’article L. 3323-2 du Code de la santé publique précise les cas dans lesquels la propagande ou la publicité, directe ou indirecte, en faveur des boissons alcooliques sont autorisées. Elle ne peut emprunter que certains supports limitativement énumérés : presse écrite, radiodiffusion, affichage, et depuis 2009, les services de communication en ligne. (Cass. 1re civ., 3 juill. 2013, n° 12-22.633)

Selon l’ARPP, seuls les influenceurs qui sont des professionnels du vin (sommelier, chef de cuisine, etc.) ou des amateurs éclairés (ce qui implique une analyse au cas par cas du degré de professionnalisation au regard de la récurrence de l’activité de l’influenceur, de sa compétence et des revenus qu’il en tire) peuvent publier des contenus en ligne.

Il en va de même pour les produits de vapotage, les produits de santé et à finalité cosmétique, les jeux et paris en ligne ainsi que des placements financiers ou encore les produits alimentaires.

Enfin, l’influenceur n’est pas le seul à devoir rendre des comptes. L’article L.1453-1 du Code de la santé publique prévoit une obligation à la charge des entreprises œuvrant dans le secteur des produits de santé à usage humain. Celles-ci doivent notamment publier sur un site internet public toute convention conclue avec un influenceur.

Toutes ces catégories de produits font l’objet d’une réglementation très stricte qui n’est malheureusement pas toujours respectée, notamment sur les réseaux sociaux.

B. Les autorités compétentes en France et leurs pouvoirs

Ce sont notamment deux entités qui veillent au bon respect des pratiques commerciales et publicitaires. Elles sont l’Autorité de régulation professionnelle de la publicité, la Direction générale de la concurrence, de la consommation et de la répression des fraudes.

Le rôle de l’autorité de régulation professionnelle de la publicité (ARPP)

L’ARPP est une association (loi 1901) indépendante des pouvoirs publics. Il s’agit de l’organisme de régulation professionnelle de la publicité en France. Elle intervient en faveur d’une publicité transparente, loyale et véridique. Elle établit à ce titre de nombreuses recommandations et œuvre afin d’encadrer les pratiques des influenceurs dans le secteur de la publicité.

Elle a ainsi élaboré avec les professionnels du secteur, une recommandation en matière d’identification des contenus publiés par les influenceurs (Recommandation communication publicitaire digitale). Afin d’inciter les influenceurs et de les sensibiliser aux recommandations de l’ARPP, cette dernière a procédé à la création du Certificat de l’influence responsable.

Dans le but d’élaborer des plans d’action en vue de favoriser le respect des bonnes pratiques l’ARPP collabore avec l’Observatoire de l’influence responsable. Elle s’appuie sur les rapports produits par l’Observatoire.

Afin de mettre en exergue les publicités déguisées dans les posts d’influenceurs, l’Observatoire a recours à l’utilisation de deux plateformes spécialisées : Reech et Traackr. Elles permettent de détecter par l’intermédiaire de l’intelligence artificielle, des posts qui seraient éventuellement litigieux. L’information est ensuite relayée à un être humain afin d’être vérifiée puis traitée si cela est nécessaire. Selon l’Observatoire de l’influence responsable entre 2021 et 2022, seuls 47 % des contenus sponsorisés ont été correctement signalés.

Le rôle de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF)

La DGCCRF est une émanation du ministre de l’Économie chargée de veiller au respect du droit de la consommation, qui peut donc intervenir dans le cadre de cette mission auprès des influenceurs. Elle diligente des enquêtes, notamment à la suite de signalements en ligne effectués par des particuliers qui suspectent des publicités déguisées et, partant, des comportements trompeurs de la part d’influenceurs.

C’est d’ailleurs à ce titre que l’influenceuse Nabilla Benattia-Vergara avait été condamnée en 2021 à la suite d’une enquête menée par la DGCCRF. Dans sa publication sur le réseau social Snapchat, cette dernière avait omis de signaler qu’elle avait été rémunérée par un site pour faire la promotion des bitcoins. De plus, elle avait communiqué des allégations trompeuses quant à la gratuité du service proposé par le site et les rendements espérés des placements en bitcoin. À la suite d’un accord avec le Procureur de la République du tribunal judiciaire de Paris, cette dernière avait dû payer une amende transactionnelle d’un montant de 20 000 euros.

Pour rappel, le défaut d’identification du caractère commercial ou publicitaire d’un contenu publié par un influenceur est susceptible d’engager la responsabilité pénale de ce dernier en matière de protection du consommateur sur le fondement notamment des pratiques commerciales déloyales interdites, ce qui n’exclut pas la mise en cause de la responsabilité de l’annonceur.

La DGCCRF a le pouvoir d’intervenir afin de faire cesser une pratique commerciale trompeuse. Un agent habilité a la possibilité d’émettre des injonctions. Dans les autres cas, la cessation peut être ordonnée soit par un juge d’instruction ou par le tribunal saisi des poursuites.

II. Vers l’émergence d’un cadre juridique adapté

Les abus perpétrés par les influenceurs nécessitent la création de nouvelles obligations afin de les responsabiliser (A). Par la même occasion, le législateur souhaite renforcer les pouvoirs attribués aux autorités de contrôle ainsi que les obligations de certains acteurs économiques (B).

A. L’élaboration de nouvelles obligations applicables aux influenceurs

La première proposition de loi visant à encadrer les pratiques commerciales et publicitaires liées au marché de l’influence sur internet, a été déposée à l’Assemblée nationale le 15 novembre 2022. Elle vise à créer un cadre légal général dans lequel pourra s’inscrire l’activité des influenceurs. (https://www.assemblee-nationale.fr/dyn/16/textes/l16b0456_proposition-loi)

Son premier article prévoit l’insertion de nouveaux articles au Code du travail (L.7125-1 à L.7125-8).

Ces dispositions permettraient d’introduire la définition de l’influenceur. Ainsi, l’influenceur correspondrait à « toute personne physique ou morale qui détient, exploite ou anime, à titre professionnel ou non, une page ou un compte personnel accessible sur une plateforme en ligne […] en vue du partage de contenus exprimant un point de vue ou donnant des conseils susceptibles d’influencer les habitudes de consommation. » L’article prévoit que le seuil d’audience d’un influenceur soit défini par décret. Elles ajoutent également la définition de l’agent d’influenceur.

Dans un souci de sécurisation juridique, cet article pose également l’obligation d’établir un contrat comprenant des mentions obligatoires entre un influenceur et son agent. L’absence de contrat entre un influenceur et son agent, pourrait être sanctionné de 75 000 euros d’amende et 6 mois d’emprisonnement.

Par ailleurs, force est de constater que de nombreux influenceurs ne mentionnent pas le caractère publicitaire de leurs publications. Son deuxième article prévoit donc l’insertion des articles L.122-26 à L.122-30 au Code de la consommation. Ces derniers imposeraient de nouvelles obligations de transparence pour les influenceurs. Enfin un contrat écrit est rendu obligatoire entre l’influenceur et l’utilisateur de ses services. Il devra également comprendre des mentions obligatoires.

Son troisième envisage de nouvelles sanctions administratives et pénales qui seront insérées aux articles L. 132-29 à L. 132-33 du Code de la consommation. Dès lors qu’un manquement de l’influenceur à son devoir d’information et de transparence est constaté, il pourra encourir 300 000 euros d’amende ou 10% du CA annuel.

En cas absence de contrat entre l’influenceur et l’annonceur, ces derniers pourront être sanctionnés de 75 000 euros d’amende et 6 mois d’emprisonnement.

La dernière proposition de loi visant à lutter contre les dérives des influenceurs sur les réseaux sociaux, déposée à l’Assemblée nationale le 27 décembre 2022, avait pour objectif d’interdire certains placements de produits sur les réseaux sociaux compte tenu des intérêts de santé et d’ordre public. Elle a cependant fait l’objet d’un retrait le 9 février 2023.

Elle prévoyait d’interdire la promotion des produits pharmaceutiques, médicaux et investissements financiers et tendait à responsabiliser les influenceurs dans leurs pratiques en instaurant une obligation de vérification sur les produits dont ils font la publicité (drop shipping).

B. Le renforcement de la lutte contre les dérives et abus commis par les influenceurs

La première proposition de loi prévoit également en son article 4 une modification de l’article 7 de la loi pour la confiance dans l’économie numérique. Cette modification permettrait de soumettre les opérateurs de plateformes en ligne à l’obligation de mettre en place un dispositif de signalement des contenus relevant des pratiques commerciales interdites, agressives et trompeuses. On retrouve également cette suggestion dans la seconde proposition.

La seconde proposition de loi datée du 15 décembre 2022, vient quant à elle renforcer la prévention des fraudes en ligne et les moyens des autorités de répression des fraudes. (https://www.assemblee-nationale.fr/dyn/16/textes/l16b0653_proposition-loi.pdf)

Pour ce faire, elle envisage en son article premier de mettre à disposition de nouveaux moyens et d’effectif à la DGCCRF en complétant l’article L. 511-3 du code de la consommation. En effet, comme le soulignent députés dans leur proposition « les agents de la DGCCRF ne sont pas assez nombreux pour pouvoir agir sereinement et efficacement sur un pan entier du numérique en constante expansion.

Un nombre conséquent d’influenceuses et d’influenceurs et leurs agences sont domiciliés dans d’autres pays tels que les Émirats arabes unis ou l’Arabie Saoudite afin de payer moins d’impôts et de rendre les sanctions à leur égard plus difficilement applicables et ce alors qu’une part considérable de leurs revenus provient de consommateurs français. » (https://www.vie-publique.fr/en-bref/287945-marketing-dinfluence-6-influenceurs-sur-10-en-infraction)

Il est également abordé la possible création d’un Comité interministériel de prévention contre les pratiques commerciales illégales en ligne afin de veiller sur les différentes pratiques commerciales illégales en ligne, et de proposer des politiques de prévention en adéquation avec les différents publics touchés par ces pratiques.

Selon les députés « Les plateformes qui hébergent ces marchés de l’influence devront prendre leur part dans la lutte contre les arnaques en ligne. » Ils proposent ainsi de nouvelles obligations qui incomberont aux fournisseurs de services de communications en ligne. Ces derniers devront veiller à informer les utilisateurs sur les pratiques commerciales et favoriser les signalements de pratiques commerciales trompeuses.

Enfin, elle introduirait pour les banques et les services de paiements en ligne de nouvelles obligations relatives à la lutte contre les pratiques commerciales illégales.

Les propositions initiées par ces textes nous permettent de saisir l’ampleur du phénomène et des dérives qui nécessitent aujourd’hui un cadre juridique. Elles sont le reflet de la volonté des députés d’alerter le Gouvernement sur le problème que ces pratiques représentent pour l’intérêt général. Cette stratégie semble avoir porté ses fruits comme en témoigne la mise en place début janvier 2023, d’une consultation sur le métier d’influenceur. Cette consultation était disponible sur le site internet make.org, et devait permettre aux citoyens de donner leurs avis sur l’encadrement des pratiques commerciales des influenceurs.

Pour lire une version plus complète de cet article sur les influenceurs et la publicité, cliquez

SOURCES :

Directive du 11 mai 2005 relative aux pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur :
https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32005L0029&from=FR
Article L. 121-1 du Code de la consommation (pratiques commerciales déloyales) : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032227301
Julien Canlorbe, « Loi Evin, Publicité indirecte et marques », 2021 :
https://www.cairn.info/revue-journal-du-droit-de-la-sante-et-de-l-assurance-maladie-2021-1-page-15.htm
Article L. 3512-4 du code de la Santé publique : https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032550568
Article L. 3323-2 du Code de la santé publique :
https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000034110404/
Décision de la Chambre criminelle de la Cour de cassation en date du 18 mai 2016, n° 15-80922 : https://www.dalloz-actualite.fr/sites/dalloz-actualite.fr/files/resources/2016/06/fl0606vt1580922.pdf
Paiement d’une amende de 20 000€ par l’influenceuse Nabilla BENATTIA-VERGARA, pour pratiques commerciales trompeuses sur les réseaux sociaux :
https://www.economie.gouv.fr/dgccrf/paiement-dune-amende-de-20-000eu-par-linfluenceuse-nabilla-benattia-vergara-pour-pratiques-0
Proposition de loi n° 456 du 15 novembre 2022 :
https://www.assemblee-nationale.fr/dyn/16/textes/l16b0456_proposition-loi
Proposition de loi n° 653 du 15 décembre 2022 : https://www.assemblee-nationale.fr/dyn/16/textes/l16b0653_proposition-loi.pdf
Réseaux sociaux : 6 influenceurs sur 10 ne respectent pas la réglementation :
https://www.vie-publique.fr/en-bref/287945-marketing-dinfluence-6-influenceurs-sur-10-en-infraction
Alain Hazan, Gaëlle Loinger-Benamran, « Influence et responsabilité : les obligations juridiques des influenceurs », 2022 :
https://www.cairn.info/revue-legipresse-2022-HS1-page-9.htm
Alexandra Di Maggio, « Contrôle des influenceurs aux frontières : petit tour d’horizon de quelques réglementations nationales », 2022 :
https://www.cairn.info/revue-legipresse-2022-HS1-page-64.htm

Par Murielle Cahen • internet-et-droit • • Tags: consommation, contrat, marque, publicité

«< 22 23 24 25 26 >»

Murielle Cahen Cabinet d’avocats Paris

internet-et-droit

PIRATAGE ET DROIT EUROPEEN : LA REVISION DE LA DIRECTIVE « SÉCURITÉ DES RÉSEAUX ET DES SYSTÈMES D’INFORMATION » (NIS 2)

I. La (nécessaire) modernisation du cadre juridique de la directive SRI

A. L’extension du champ d’application de la directive à de nouveaux secteurs

L’extension du champ d’application de la directive à de nouveaux secteurs d’activités

L’application facultative à certaines entités

L’exclusion des entités dont l’activité concerne la sécurité nationale

B. La restructuration des opérateurs de services essentiels

II. L’harmonisation du cadre européen comme rempart face à la cybercriminalité

A. La consolidation de la coopération transfrontalière (dans la gestion des cyber incidents)

La sensibilisation comme pilier de la stratégie déployée par la directive

La désignation d’autorités compétentes en vue de favoriser la coopération

B. L’intervention de la réglementation dans des domaines annexes

La régulation dès la conception des objets connectés

Améliorer la résilience opérationnelle informatique des acteurs des services financiers

LES SANCTIONS DE LA PLATEFORME YOUTUBE

I. Le fondement des sanctions infligées par la plateforme YouTube envers les créateurs

B. La régulation des contenus interdits sur les plateformes de partage

1. Les dispositions légales applicables aux hébergeurs

2. La régulation des contenus par la plateforme

B. Les sanctions prévues pour les comportements des créateurs en dehors de la plateforme

I. La remise en question de la légitimité de ces sanctions

A. La question de la partialité des sanctions prises à l’encontre des créateurs

B. Les potentielles dérives de la régulation privée

LE DROIT AU DEREFERENCEMENT

I. La définition des modalités de mise en œuvre du droit au déréférencement

A. L’intervention de la CJUE dans la détermination de l’application de la Directive 95/46/CE aux moteurs de recherche

B. La définition des critères d’évaluation du droit au déréférencement

II. Les évolutions et les limites de la pratique du droit au déréférencement/du droit à l’oubli

A. Les limites de la portée territoriale

B. Les évolutions et les limites de l’exercice du droit au déréférencement induites par la jurisprudence

LES INFLUENCEURS ET LA PUBLICITE

I. Les obligations des influenceurs au regard du cadre juridique en vigueur

A. La protection du consommateur au cœur des obligations des influenceurs

La notion de pratique commerciale

L’indication du caractère publicitaire de la publication

Les opérations de promotion non autorisées

B. Les autorités compétentes en France et leurs pouvoirs

Le rôle de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF)

II. Vers l’émergence d’un cadre juridique adapté

A. L’élaboration de nouvelles obligations applicables aux influenceurs

B. Le renforcement de la lutte contre les dérives et abus commis par les influenceurs

Internet et droit

# Coordonnées du cabinet

Contactez-nous