internet-et-droit

Selfie, réseaux sociaux et propriété intellectuelle

Le  » selfie  » représente la réalisation d’un autoportrait photographique avec l’aide d’un  » smartphone « . Phénomène grandissant, il s’accompagne la grande majorité du temps de la publication de la photographie sur les réseaux sociaux. Cela pose des problèmes tant quant au droit à l’image que quant au droit d’auteur.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

L’autoportrait pris à bout de bras avec son smartphone ou sa tablette est devenu un rituel incontournable. Mais ce phénomène apparemment inoffensif se révèle aussi néfaste tant au regard du droit à l’image qu’au droit d’auteur.

Le  » selfie  » consiste à se prendre en photo afin de réaliser un autoportrait.

Il apparait dès le début du XXème siècle, où même la grande-duchesse Anastasia Nikolaïevna se prend en photo devant son miroir en 1914. Le  » selfie  » traversera le siècle jusqu’à exploser à l’ère d’Internet et des  » smartphones « .

Aujourd’hui, c’est toute une économie qui se développe autour du seul  » selfie « . Beaucoup de  » start-up  » californiennes en font l’élément central de leur succès. On connait l’exemple de l’application  » Instagram « , réseau social promouvant le  » selfie « , qui a été acheté au prix d’un milliard de dollars par le site Facebook

On comprend donc vite que le  » selfie  » pose des problèmes juridiques de différents ordres, et atteint particulièrement le droit à l’image, mais aussi la propriété intellectuelle. De plus, les interrogations sur le  » selfie  » sont ancrées dans l’actualité, non seulement car c’est un phénomène qui semble perdurer, mais car en plus la loi  » République Numérique  » le prend en considération de manière directe ou détournée.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien

I. Selfie et propriété intellectuelle

A. La question de l’auteur du selfie

Le Code de la Propriété Intellectuelle protège  » toutes les oeuvres de l’esprit, quels qu’en soient le genre, la forme d’expression, le mérite ou la destination  » (art. L.112-1). Le  » selfie « , en tant que photographie, est protégé par sa simple originalité. L’article suivant insère dans la liste des oeuvres protégées les  » oeuvres photographiques et celles réalisées à l’aide de techniques analogues à la photographie  » (L.112-2).

Alors, si le  » selfie  » est une oeuvre, elle a un auteur .
Une première affaire célèbre date de 2011. Un singe avait volé l’appareil photo d’un photographe, et avait appuyé sur le déclencheur, se prenant en  » selfie « . Se posait la question de savoir qui était l’auteur de la photographie : le singe ou le photographe ?

Olivier Pignatari, Docteur en droit et avocat, se pose la question de savoir quelle serait la solution en droit français dans son article  » Le  » selfie  » d’un singe saisi par le droit « .

Le singe ne peut être l’auteur de la photo en France. En effet, la qualification d’  » oeuvre de l’esprit  » suppose son  » originalité « , l’empreinte de la personnalité de l’auteur. Même en admettant qu’il en soit capable, il reviendrait au singe lui-même de rapporter la preuve de l’originalité de l’oeuvre.

D’autant plus, que la Cour d’appel américaine a été claire sur le sujet et prive l’animal de tous droits de propriété intellectuelle, le macaque ne peut pas être l’auteur du selfie.

Les textes du Copyright Act ainsi que la jurisprudence en vigueur se référent exclusivement à des auteurs-personnes humaines. La solution qui a été retenue aurait été la même devant une juridiction française, qui considère que l’originalité implique la personnalité de son auteur, or les animaux sont dépourvus d’une personnalité juridique. Cette exigence d’une intervention humaine signifie ainsi que le selfie est dépourvu de droits de copyright/auteur, qui ne peuvent être revendiqués ni par le singe ni par le propriétaire de l’appareil photo.

Quant au photographe, la propriété de l’appareil photo ne lui confère pas la paternité de l’oeuvre. Il pourrait réclamer des indemnités car il reste cependant propriétaire de l’oeuvre.

On pourrait aussi se poser la question de la paternité du  » selfie  » pris aux Oscars en 2014. Une présentatrice de télévision américaine confia son téléphone à un acteur, qui prit une photo

L’arrêt  » Painer  » rendu en 2011 par la Cour de Justice de l’Union Européenne détermine l’originalité à travers plusieurs critères : le choix de la mise en scène, de la personne à photographier, le cadrage, l’angle de prise de vue … Ces critères peuvent s’appliquer tant à l’acteur qu’à la propriétaire du téléphone du  » selfie  » des Oscars. Cette affaire montre bien la complexité nouvelle qu’apporte les  » selfies  » dans le droit.

 B.  » Selfie  » et immeubles protégés

Les nouveaux réseaux sociaux  comme  » Instagram  » se développent autour de la photographie, mais surtout autour du  » selfie « . La nouvelle mode est de poster des autoportraits dans diverses situations, divers endroits sur ces plateformes.

Cependant, les photographies peuvent être prises devant des immeubles, considérés comme des oeuvres protégées par le droit d’auteur. L’article L.112-2 du CPI protège en effet   » Les plans, croquis et ouvrages plastiques relatifs à la géographie, à la topographie, à l’architecture et aux sciences « , donc les immeubles. Aussi, le droit d’auteur protège l’oeuvre pendant toute la vie de l’auteur, et pendant 70 ans après sa mort (L.123-1 CPI).

Certaines de nos plus célèbres constructions, comme la Philharmonie de Paris, ne sont pas encore dans le domaine public. Dès lors, chaque utilisation publique de l’oeuvre est censée être soumise à autorisation de l’auteur. La plupart des touristes qui se prennent en photo devant ces bâtiments datant du début du XXème siècle sont donc considérés par le droit français comme des contrefacteurs.

Sur ce point, le droit français parait tout à fait anachronique, et assez peu efficace. C’est pourquoi le projet de loi  » République Numérique  » cherche à introduire la  » Liberté de Panorama  » permettant de reproduire sur internet une oeuvre se situant dans l’espace public. Cependant cette loi précise que l’usage doit être à but  » non-lucratif « .

Devant la complexité de la mise en oeuvre d’une telle législation, la Cour Suprême américaine a adopté la doctrine du  » Fair Use  » qui ne sanctionne pas la publication de la photographie d’une oeuvre sur les réseaux sociaux, considérant que la publication n’est pas à but commercial. Il semble évident que la Cour de cassation l’imitera.

Les doutes ont été levé par l’article 39 de la loi pour une République numérique qui a permis de compléter l’article 122-5 du Code de la propriété intellectuelle afin de préciser dans quelle mesure une œuvre peut être reproduite.

Promulguée le 8 octobre 2016 la loi pour une République numérique apporte de nouvelles précisons sur la liberté de panorama. Elle stipule ainsi que l’auteur d’œuvres architecturales ne peut en interdire les reproductions et représentations, uniquement si elles sont réalisées par des personnes physiques à l’exclusion de tout usage à caractère commercial.

Concrètement, il est désormais permis pour les seuls particuliers et dans un usage dénué de tout caractère commercial de diffuser en ligne son selfie devant une œuvre architecturale sans obtenir l’accord préalable de son auteur ou de ses ayants-droits. En revanche, la diffusion sans autorisation de la photographie d’une œuvre architecturale protégée sur des portails commerciaux ou hébergeant de la publicité, notamment les réseaux sociaux, reste à l’inverse interdite.

Par ailleurs, cette liberté concerne également les sculptures et les installations publiques, qui sont considérés comme faisant partie du patrimoine culturel et visuel accessible à tous.

Les œuvres d’art contemporain, les installations temporaires et les monuments historiques ne sont pas couverts par cette liberté et nécessitent l’autorisation préalable de leurs auteurs ou de leurs ayants droit.

En Europe, la liberté de panorama est reconnue par la directive européenne sur le droit d’auteur en date du 26 mars 2019, qui permet aux États membres de l’Union européenne d’adopter une législation nationale autorisant l’utilisation de ces images sans demander l’autorisation préalable des détenteurs de droits d’auteur. Toutefois, les modalités d’application de cette liberté varient selon les pays.

II.  » Selfies  » et droit à l’image

A.  » Selfies  » de groupe et consentement au droit à l’image

Le  » selfie  » est une photographie, il est donc naturellement protégé par le droit à l’image .
Le droit à l’image découle de l’article 9 du Code civil, qui fonde le droit à la vie privée, et est consacré à l’article 226-1 du Code Pénal.

Quand une pluralité de personne apparait sur la photo – ou  » selfie de groupe  » – la question mérite du droit à l’image se pose. Il faut en effet le consentement de chaque personne du groupe pour publier la photographie sur Internet.

Quand une pluralité de personne apparait sur la photo – ou « selfie de groupe » – la question mérite du droit à l’image se pose. Il faut en effet le consentement de chaque personne du groupe pour publier la photographie sur Internet. En effet, il faut garder en tête que cette pratique n’est pas sans incidence et il arrive que des personnes se trouvant dans l’entourage immédiat soient prises en photo à leur insu et découvrent leur photo sur internet, parfois dans des postures qui portent atteinte à leur image, leur réputation et leur dignité.

Le consentement est tacite pour le droit à l’image. Cependant, ce consentement s’étend t-il à la publication de l’image sur les réseaux sociaux ? Ces deux droits sont distincts, et donc les consentements aussi.

Encore une fois, ici il y a peu de contentieux. Le  » selfie  » implique souvent autant la prise de la photographie que sa publication sur les réseaux sociaux, et donc le consentement est tacite. De plus, le  » selfie  » est souvent réalisé avec des proches, et donc si le consentement n’était pas tacite, le problème sera la plupart du temps réglé à l’amiable. La seconde personne dispose néanmoins de son droit à l’image et pourrait s’en prévaloir devant un juge, il est donc recommandé de demander l’autorisation de poster le  » selfie  » de groupe à chacun des individus présent sur la dite photographie.

Bien que de ce principe est né la jurisprudence sur le Revenge Porn, qui est  le fait de rendre publiques des images intimes d’un partenaire, obtenues initialement pour son seul usage personnel avec le consentement de la personne représentée, puis rendues publiques aux fins de nuire à celle-ci, généralement à la suite d’une séparation. Bien que l’action sur le fondement de l’article 226-1 du Code pénal a été condamnée par l’arrêt de 2016, cela a permis l’introduction dans le Code pénal de l’article 226-2-1 condamnant une telle pratique. Une décision du TGI de Bobigny du 20 novembre 2018 avait également retenu que le revenge porn était une atteinte à la vie privée.

De cette application est née la protection relative à la pornodivulgation, introduite dans le Code pénal à la suite de la promulgation de la loi pour une République numérique du 7 octobre 2016. La pornodivulgation consiste à publier sur internet des images ou des vidéos pornographiques de son ancien compagnon souvent après une rupture amoureuse.

Cette pratique constitue à présent un délit sévèrement sanctionné. Désormais condamné par l’article 226-2-1 du Code pénal, le Revenge porn n’a pas toujours fait l’objet de sanction par les juridictions pénales.

Dans un arrêt rendu le 16 mars 2016, la chambre criminelle de la Cour de cassation refusait, en vertu de l’article 111-4 du Code pénal, de procéder à une interprétation extensive de la loi pénale.

La Cour d’appel avait relevé que le fait d’avoir accepté d’être photographiée ne signifie pas, compte tenu du caractère intime de la photographie, que la personne avait donné son accord pour que celle-ci soit diffusée.

La Cour de cassation a cassé l’arrêt au motif que « n’est pas pénalement réprimé le fait de diffuser, sans son accord, l’image d’une personne réalisée dans un lieu privé avec son consentement. »

Le fait de porter à la connaissance du public ou d’un tiers l’image d’une personne se trouvant dans un lieu privé n’était punissable que si la captation avait été réalisée sans le consentement de la personne concernée.

Or, la photo intime est souvent prise, ou obtenue avec le consentement de la personne concernée, mais diffusée sans son accord, et ceci pour lui nuire. Cette interprétation stricte de la loi pénale avait particulièrement remué le monde politique, ce qui avait conduit quelques mois après à l’adoption de la loi pour une République numérique.

B.  » Selfies  » et image de marque

La marque , elle aussi, est une propriété intellectuelle. Selon l’article L.711-1 du CPI, elle est  » un signe susceptible de représentation graphique servant à distinguer les produits ou services d’une personne physique ou morale « . Elle comprend donc autant les signes figuratifs (logos …), que les mots (nom de la marque …).

Une marque peut dès lors être représentée dans un  » selfie « , par son logo ou son nom, sur le fondement du droit à l’image peut demander réparation si ce  » selfie  » porte préjudice à la marque.

Cependant, une des principales limites au droit des marques est l’utilisation de la marque sans son accord quand c’est dans un but  » non commercial « . La Cour de Justice de l’Union Européenne précise avec l’expression  » lorsque ce n’est pas dans la vie des affaires « .

Ainsi, de la même façon que pour les immeubles, il semble évident que les  » selfies  » postées sur les réseaux sociaux comportant une marque pourront être publiées sans l’autorisation de la marque car la doctrine du Fair Use américain considère que ça n’est pas un usage commercial, et que dans le cas des marques, la Cour de cassation a déjà reconnu pour des associations comme Greenpeace utilisant l’image de marque d’entreprises pour une campagne publicitaire de sensibilisation que ça n’était pas un usage commercial.

III. Les accessoires du selfie et les interdictions

A. Interdiction de prendre des « selfies »

  1. Festival de Cannes

Depuis 2018, il n’est plus question de prendre des selfies sur le tapis rouge du Festival de Cannes. La raison : éviter un « désordre intempestif » durant la montée des marches.

  1. Les isoloirs

Est-ce autorisé de prendre un selfie dans l’isoloir au moment de voter ? En France, il n’y a pas de règle explicite qui l’interdit, mais il y a une condition importante à respecter : la photo ne doit en aucun cas dévoiler le choix de votre vote. Bien que la prise de photo elle-même soit légale, le vote secret est protégé par la Constitution et ne doit par conséquent pas être violé. Par conséquent, il existe une zone grise juridique concernant cette question. Cependant, le risque principal est de se faire expulser du bureau de vote. Nos voisins britanniques ont pris la question très au sérieux et appliquent une amende de plus de 6 000 euros en cas d’infraction à la confidentialité du vote.

D’autres pays, tels que les Philippines et certains États américains, interdisent strictement les selfies dans l’isoloir. Certains pays vont même jusqu’à interdire l’utilisation de téléphones portables dans tout le bureau de vote, car une photo pourrait être utilisée comme preuve de vote pour soumettre certains électeurs à des pressions.

  1. La tour Eiffel

Tombée dans le domaine public, notre très chère tour Eiffel peut être prise et diffusée partout en plein jour. La nuit cependant, les choses sont nettement différentes. En effet, une autorisation est nécessaire pour toute publication, l’éclairage étant protégé au titre du droit d’auteur.

B. Les interdictions concernant les perches à selfies

Depuis 2015, les perches à « selfie », bras télescopiques qui permettent de se prendre en photo avec du recul, sont interdites dans différents lieux culturels, comme le château de Versailles.

En effet, la perche est considérée comme un danger, entre les lustres et les objets précieux qui pourraient être détériorés. Enfin, le risque concerne également les touristes, qui en utilisant leur perche à « selfie » deviennent une proie facile pour les voleurs de portables.

A titre d’exemple le MoMa à New-York ou la National Gallery à Londres ont également banni les perches à « selfie » de leurs allées.

Bien entendu ces interdictions ne dépendent pas d’un cadre juridique légal en vigueur mais des règlements adoptés par les lieux culturels. Il vous est donc conseillé de vous renseigner avant d’envisager de prendre votre matériel.

Pour lire une version plus détaillée et complète de cet article sur les selfies, cliquez

Sources :

– http://www.lexpress.fr/actualite/societe/justice/poster-un-selfie-devant-la-tour-eiffel-illuminee-est-illegal_1779362.html
– Olivier Pignatari,  » Le  » selfie  » d’un singe saisi par le droit « , 2014
–   http://www.dreyfus.fr/nouvelles-technologies/le-casse-tete-juridique-du-selfie/
–   Le Figaro Madame 2015, Article  » Selfie
– Northen District of California Naruto et al. v. Slater et al., case No. 15-cv-04324-WHO, 28 janv. 2016 et United States Court Of Appeals For The Ninth Circuit 23 avril 2018.
– TGI de Bobigny, ch.5/sec.3, jugement contentieux du 20 novembre 2018
https://www.legalis.net/jurisprudences/tgi-de-bobigny-ch-5sec-3-jugement-contentieux-du-20-novembre-2018/

 

Par internet-et-droit, marques • Tags: , ,

LE DROIT À L’OUBLI

Le règlement général sur la protection des données (RGPD), entré en vigueur le 25 mai 2018, au sein d’une section consacrée aux droits de la personne concernée, affecte son article 17 à la notion de « Droit à l’effacement » des données à caractère personnel.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Prévu par l’article 17 du RGPD et également connu sous l’appellation de « droit à l’oubli » ou « droit à l’oubli numérique », le droit à l’effacement des données permet à tout citoyen résidant dans un pays membre de l’Union européenne de demander à un organisme d’effacer les données personnelles qui le concernent.

Si le droit à l’oubli n’est pas nouveau, les frontières de cette notion ont continuellement été débattues et font toujours l’objet de nombreuses controverses. L’avènement du numérique, en démultipliant la quantité de données échangées et instantanément disponibles sur internet, n’a fait que renforcer l’intérêt porté à ce droit qui revêt désormais une importance cruciale.

I. Le principe du droit à l’oubli

A. La portée du droit à l’oubli

Le droit à l’oubli est initialement un concept européen. Les premiers jalons d’un droit à l’effacement ont été posés par la loi informatique et liberté de 1978, mais aussi par la directive européenne 95/46 (Directive 95/46/CE du 24/10/1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données ) dont l’article 12 b) (désormais abrogé) dispose que toute personne a un droit d’obtenir d’un responsable de traitement, l’effacement des données personnelles qui la concernent lorsque celles-ci sont incomplètes ou erronées.

Besoin de l’aide d’un avocat pour un problème de vie privée ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Toutefois, ce droit à l’effacement a rapidement montré ses limites, notamment en raison des facultés de stockage des données sur internet qui dépassent largement les capacités humaines.

En effet, les moteurs de recherche peuvent conserver les données relatives à un individu pour une période quasi illimitée, et ce, sans faire la distinction entre celles qui mériteraient d’être référencées et celles qui ne devraient plus l’être.

Face à ce constat, l’idée de créer un véritable « droit à l’oubli » a suscité de nombreux débats, notamment entre les régulateurs et les entreprises du net.

Avant le RGPD, le droit à l’oubli numérique ou droit à l’oubli en ligne était un concept qui permettait à tout internaute de demander le déréférencement d’une ou de plusieurs pages contenant des informations sur lui. Il a été instauré par le fameux arrêt Google Spain c/AEPD et Costeja Gonzales de la CJUE daté du 13 mai 2014.

Cet arrêt affirmait qu’en respectant certaines conditions, une personne physique a le droit de demander à un moteur de recherche de supprimer de la liste des résultats des liens pointant vers des pages contenant ses données personnelles une fois que l’on saisit son nom dans la barre de recherche.

Depuis la mise en application du RGPD, le droit à l’oubli a été en quelque sorte renforcé par la consécration d’un droit à l’effacement

Selon l’article 17 du RGPD qui s’applique en France à compter du 25 mai 2018, la personne concernée a le droit d’obtenir du responsable du traitement l’effacement, dans les meilleurs délais, de données à caractère personnel la concernant et le responsable du traitement a l’obligation d’effacer ces données à caractère personnel dans les meilleurs délais lorsque l’un des motifs suivants s’applique :

  1. a) les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées d’une autre manière ;
  2. b) la personne concernée retire le consentement sur lequel est fondé le traitement, conformément à l’article 6, paragraphe 1, point a), ou à l’article 9, paragraphe 2, point a), et il n’existe pas d’autre fondement juridique au traitement ;
  3. c) la personne    concernée s’oppose au traitement en vertu de l’article 21, paragraphe 1, et il n’existe pas de motif légitime impérieux pour le traitement, ou la personne concernée s’oppose au traitement en vertu de l’article 21, paragraphe 2 ;
  4. d) les données à caractère personnel ont fait l’objet d’un traitement illicite ;
  5. e) les données à caractère personnel doivent être effacées pour respecter une obligation légale qui est prévue par le droit de l’Union ou par le droit de l’État membre auquel le responsable du traitement est soumis ;
  6. f) les données à caractère personnel ont été collectées dans le cadre de l’offre de services de la société de l’information visée à l’article 8, paragraphe 1.

Lorsqu’il a rendu publiques les données à caractère personnel et qu’il est tenu de les effacer en vertu du paragraphe 1, le responsable du traitement, compte tenu des technologies disponibles et des coûts de mise en œuvre, prend des mesures raisonnables, y compris d’ordre technique, pour informer les responsables du traitement qui traitent ces données à caractère personnel que la personne concernée a demandé l’effacement par ces responsables du traitement de tout lien vers ces données à caractère personnel, ou de toute copie ou reproduction de celles-ci.

Cette notion de droit à l’oubli peut être définie par sa finalité, en écartant les éventuels risques qu’un individu soit atteint de manière durable par l’utilisation des données qui le concerne à son insu, que celles-ci soient présentes en ligne par sa propre initiative, ou par celle d’une tierce personne.

En plus d’obtenir du responsable du traitement l’effacement des données ayant un caractère personnel, le droit à l’oubli numérique prévoit également d’effacer la diffusion de ces données personnelles, et en particulier quand la personne concernée n’accorde plus son consentement pour leur utilisation.

B. Les limites du droit à l’oubli

Le droit à l’effacement est écarté dans un nombre de cas limité. Il ne doit pas aller à l’encontre :

  1. De l’exercice du droit à la liberté d’expression et d’information ;
  2. Du respect d’une obligation légale (ex. délai de conservation d’une facture = 10 ans) ;
  3. De l’utilisation de vos données si elles concernent un intérêt public dans le domaine de la santé ;
  4. De leur utilisation à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques ;
  5. De la constatation, de l’exercice ou de la défense de droits en justice.

 C. Ouverture sur un déréférencement mondial au cas par cas

Dans sa décision du 27 mars 2020, le Conseil d’État a précisé la portée géographique du droit au déréférencement. La CNIL prend acte de cette décision qui tire les conséquences automatiques de l’arrêt de la Cour de justice de l’Union européenne (CJUE) du 24 septembre 2019.

En effet, lorsque le moteur de recherche répond à l’affirmative, il ne supprime toutefois que les résultats qui apparaissent sur le site de l’État de nationalité du requérant. Or, cette restriction territoriale suscite des controverses. Selon la CNIL, le refus de Google de déréférencer les liens sur toutes les extensions du nom de domaine du moteur de recherche représente une violation des droits d’opposition et d’effacement reconnus aux personnes faisant l’objet d’un traitement de données personnelles, dans la mesure où les liens demeurent « accessibles à tout utilisateur effectuant une recherche à partir des autres extensions du moteur de recherche ».

La CNIL a ainsi déjà mis en demeure Google d’effectuer les déréférencements sur toutes ses extensions dans un délai de quinze jours (CNIL, décis. N °2015-047, 21/05/2015). De son côté, Google considère que les pouvoirs de la CNIL se limitent à la France et que celle-ci ne saurait valablement se prononcer sur les extensions des autres pays, soutenant qu’un déréférencement mondial serait excessif et limiterait la liberté d’expression.

La CJUE a été saisie par le Conseil d’État le 24 février 2017 pour se prononcer sur des questions préjudicielles ayant trait à la portée du droit au déréférencement et ses conditions de mise en œuvre (CE, Assemblée, 24/02/2017, n°391000).

Dans l’attente de la réponse de la Cour, l’avocat général de la CJUE a rendu un avis le 10 janvier 2019 aux termes duquel il donne partiellement l’avantage à Google en soutenant que « l’exploitant d’un moteur de recherche n’est pas tenu, lorsqu’il fait droit à une demande de déréférencement, d’opérer ce déréférencement sur l’ensemble des noms de domaine de son moteur ».

Contrairement à la CNIL qui s’est largement positionnée en faveur de l’ « amnésie générale », le Conseil d’État proposait que le droit à l’oubli  ne s’applique qu’en Europe, laissant ainsi la possibilité de consulter un contenu référencé en France depuis l’étranger.

Si sans surprise, dans sa décision du 27 mars 2020 le Conseil d’État confirme l’impossibilité d’un droit au déréférencement mondial et général, il ouvre cependant la porte à une application mondiale de ce droit, au cas par cas. Les deux parties peuvent ainsi trouver satisfaction dans cet arrêt : Google qui voit sa sanction annulée et le confinement du droit au déréférencement aux frontières de l’UE confirmé et la CNIL qui voit le Conseil d’État l’autoriser à permettre l’abolition des frontières, au cas par cas.

Par une décision du 10 mars 2016, la CNIL avait prononcé une sanction de 100 000 euros à l’encontre de Google Inc. en raison de son refus d’appliquer le droit au déréférencement à l’ensemble des extensions de nom de domaine de son moteur de recherche. Saisi par le moteur de recherche, le Conseil d’État avait sursis à statuer, pour demander à la CJUE son interprétation du RGPD en matière de territorialité. La cour de Luxembourg avait rappelé que, si le RGPD n’impose pas un déréférencement sur l’ensemble des versions du moteur de recherche, il ne l’interdit pas non plus. Et c’est dans cette brèche que le Conseil d’État s’est glissé, approuvant ainsi le raisonnement de la CNIL.

La CJUE considère qu’il n’existe pas un droit au déréférencement mondial, sur la base du RGPD.

Néanmoins, elle rappelle que les autorités des États membres demeurent compétentes pour effectuer, à l’aune des standards nationaux de protection des droits fondamentaux, une mise en balance entre, d’une part, le droit de la personne concernée au respect de sa vie privée et à la protection des données et, d’autre part, le droit à la liberté d’information, et, qu’au terme de cette mise en balance, elle peut enjoindre, le cas échéant, à l’exploitant de ce moteur de recherche de procéder à un déréférencement portant sur l’ensemble des versions dudit moteur.

Faute pour la CNIL d’avoir effectué cette mise en balance dans le contentieux qui l’opposait à Google, elle a vu confirmé l’annulation de sa décision du 10 mars 2016.

II. Le droit à l’oubli en pratique

A. Identifier l’organisme à contacter

L’exercice du droit à l’effacement est une procédure relativement simple. Dans un premier temps, la personne concernée doit identifier l’organisme à contacter, c’est-à-dire l’entreprise qui assure le traitement des données.

Il faudra ensuite se rendre sur la page d’information consacrée à l’exercice des droits sur la plateforme de ladite entreprise, en cliquant entre autres sur « politique vie privée », « politique confidentialité » ou « mentions légales ».

B. Exercer le droit à l’effacement auprès de l’organisme

L’exercice du droit d’effacement peut être exercé par divers moyens : par voie électronique (formulaire de déréférencement, adresse mail, bouton de téléchargement, etc.) ou par courrier, par exemple.

A la suite de l’affaire Google Spain de 2014, Google a mis en place un formulaire de requête en ligne permettant aux internautes de faire une demande de déréférencement. Lorsque Google est saisi d’une requête en déréférencement, le moteur de recherche effectue une analyse au cas par cas pour déterminer si le lien litigieux donne accès à des informations qui s’avèrent « inadéquates, pas ou plus pertinentes ou excessives au regard des finalités du traitement en cause ».

Depuis les mêmes formulaires de déréférencement existe pour les moteurs de recherche YAHOO, BING, QWANT notamment.

En outre, il est très important d’indiquer précisément quelles sont les données que vous souhaitez effacer.

En effet, l’exercice de ce droit n’entraîne pas la suppression simple et définitive de toutes les données vous concernant qui sont détenues par l’organisme.

Par exemple, une demande d’effacement de votre photo sur un site n’aboutira pas à la suppression de votre compte. De même, une demande de suppression de votre compte n’entraînera pas la suppression des factures et autres documents comptables relatifs à vos achats, pour lesquels une obligation légale de conservation existe.

Si et seulement si, l’organisme à des doutes raisonnables sur votre identité, il peut vous demander de joindre tout document permettant de prouver votre identité, par exemple pour éviter les usurpations d’identité.

En revanche, il ne peut pas vous demander des pièces justificatives qui seraient abusives, non pertinentes et disproportionnées par rapport à votre demande.

La conservation d’une copie des différentes démarches est toujours conseillée, notamment lorsque la personne concernée souhaite saisir la CNIL en cas d’absence de réponse ou de réponse non satisfaisante du responsable de traitement.

C. Que faire en cas de refus ou d’absence de réponse

Le responsable du fichier droit procéder à l’effacement dans les meilleurs délais et au plus tard dans un délai d’un mois, qui peut être porté à trois compte tenu de la complexité de la demande.

Dans ce dernier cas, l’organisme doit vous informer des raisons de cette prolongation. En cas de réponse insatisfaisante ou d’absence de réponse sous un mois, vous pouvez également saisir la CNIL afin de procéder au dépôt d’une plainte en ligne.

 En outre, le responsable du traitement qui décide de ne pas donner suite à une demande d’exercice du droit à l’effacement se voit dans l’obligation de justifier son refus auprès du propriétaire des données.

Suite à l’application des nouvelles dispositions du RGPD, les entreprises traitant les données personnelles doivent mettre en place les meilleurs mécanismes qui permettent de vérifier que les données collectées ne sont pas conservées au-delà du délai nécessaire, compte tenu des finalités annoncées au départ.

Pour lire une version plus complète de cet article sur le droit à l’oubli, cliquez

 SOURCES :

https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000697074&categorieLien=id
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A62012CJ0131
https://www.cnil.fr/sites/default/files/atoms/files/decision_du_conseil_detat_-_dereferencement_-_27_mars_2020.pdf

Par internet-et-droit • Tags: , ,

Diffamation sur une page Facebook et sur twitter : qui est l’auteur principal ?

Comme chacun le sait, les réseaux sociaux sont le théâtre de vifs échanges fondés sur la liberté d’expression. Cette liberté de communication n’est cependant pas absolue et le délit de diffamation peut être retenu à l’encontre d’un utilisateur. Cependant, il est parfois difficile de déterminer qui est l’utilisateur, auteur des propos diffamatoires.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Il est alors intéressant de revenir sur le régime de responsabilité applicable au délit de diffamation sur une page Facebook ou sur un compte Twitter et plus particulièrement à la détermination du responsable.

L’émergence des réseaux sociaux a en effet permis à chacun de se saisir de l’actualité et d’exprimer son point de vue de manière directe. Mais cette nouvelle voie d’expression dénuée d’intermédiation peut également favoriser des propos qualifiables de diffamatoires.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Les victimes de propos diffamatoires sur une page Facebook ou sur un compte Twitter ne sont pas démunies face à cette situation et la loi permet de réagir face à ces comportements délictueux.

Ainsi, en se fondant sur la loi de 1881 (loi du 29 juillet 1881 sur la liberté de la presse) réprimant les propos diffamatoires (I), la loi de 1982 (loi du 29 juillet 1982 sur la communication audiovisuelle) et la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) prévoient un régime de responsabilité en cascade (II) fondé sur la détermination de l’auteur principal.

I – APPLICABILITÉ DE LA LOI DE 1881 POUR DES PROPOS TENUS SUR UNE PAGE FACEBOOK OU UN COMPTE TWITTER

A – L’APPLICABILITÉ DE LA LOI DE 1881

Lors de l’émergence d’Internet, s’est posée la question du régime de responsabilité applicable à des propos répréhensibles. En effet, face à l’augmentation du nombre de connexions et d’échange de messages via l’Internet, un nombre croissant de contentieux est apparu. La solution est venue de la loi du 29 juillet 1982 (loi n° 82652) dite loi sur la communication audiovisuelle (Cour de cassation – Chambre criminelle 16 octobre 2018 in fine).

Par cette loi, le législateur de l’époque crée un régime de responsabilité spécial, directement fondé sur la loi du 29 juillet 1881 et notamment son article 29 qui consacre la diffamation. Ce renvoi permet d’écarter le fondement classique de la responsabilité civile fondé sur l’article 1240 du Code civil (anciennement 1382 du Code civil) qui prévoit que « tout fait quelconque de l’homme, qui cause à autrui un dommage, oblige celui par la faute duquel il est arrivé à le réparer ». Cette responsabilité spéciale permet une meilleure adaptation des recours face aux réalités de l’Internet, notamment sur les difficultés probatoires que peuvent rencontrer les victimes.

L’article 1240 du Code civil requiert en effet classiquement trois critères pour retenir la responsabilité d’une personne : une faute, un lien de causalité et un dommage. Par cette loi, le législateur reconnaît donc la spécificité des cas de responsabilités sur l’Internet.

L’assimilation faite en 1982 pour l’Internet à la loi de 1881 sur la liberté de la presse vaut aujourd’hui pour les réseaux sociaux. C’est ce que prévoit la loi de 2004 dite LCEN (Tribunal correctionnel Pau, 12 nov. 2018). La loi de 1881 réprimant les propos diffamatoires par voie de presse est donc applicable aux messages postés sur une page Facebook ou un compte Twitter (Cour d’appel de de Paris – 17 déc. 2014 n° 12/20 756).

La Cour d’appel de Pau, dans un arrêt du 16 janvier 2024, a rappelé l’article 29 de la loi de 1881 et le fait que les abus de la liberté d’expression prévus et réprimés par la loi du 29 juillet 1881 ne peuvent être réparés sur le fondement de 1240 du Code civil, l’objectif étant d’interdire aux parties de contourner, en se fondant sur le droit commun, les dispositions protectrices de la liberté d’information et d’expression de la loi de 1881.

En l’espèce, il est constant que les appelants fondent leur action sur les dispositions des articles 1240 et 1241 du Code civil. Par conséquent, la cour estime que c’est donc justement que le premier juge, retenant que les dispositions des articles 1240 et 1241 du Code civil ne permettaient pas de sanctionner les abus à la liberté d’expression, a débouté les demandeurs de l’intégralité de leurs demandes

B – LE DÉLIT DE DIFFAMATION DANS LA LOI DE 1881           

La loi du 29 juillet 1881, dispositif cardinal de la liberté d’expression dans le corpus juridique français prévoit en son article 29 un délit : la diffamation.

Cet article dispose : « toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne ou du corps auquel le fait est imputé est une diffamation. La publication directe ou par voie de reproduction de cette allégation ou de cette imputation est punissable, même si elle est faite sous forme dubitative ou si elle vise une personne ou un corps non expressément nommés, mais dont l’identification est rendue possible par les termes des discours, cris, menaces, écrits ou imprimés, placards ou affiches incriminés ».

La diffamation requiert donc la réunion de cinq éléments : une allégation ou imputation, un fait déterminé, une atteinte à l’honneur ou à la considération, une personne ou un corps identifié, une publicité des propos.

Un arrêt du 26 février 2020 rendu par la Cour d’appel de Paris (Cour d’appel de Paris, 26 févr. 2020, 10/2020) précise cette notion de diffamation : « la diffamation, qui peut se présenter sous forme d’allusion ou d’insinuation, doit être appréciée en tenant compte des éléments intrinsèques et extrinsèques au support en cause, а savoir tant du contenu même des propos que du contexte dans lequel ils s’inscrivent ».

La publicité est le caractère le plus discuté en matière de diffamation, la Cour de cassation procédant à une différence d’analyse entre les pages publiques et privées. Plusieurs affaires concernant des insultes proférées par des salariés à propos de leurs employeurs ont en effet été rejetées par la Cour.

La haute juridiction a plusieurs fois procédé à une analyse du nombre d’amis de l’intéressé : si ce nombre dépasse celui du cercle d’amis restreint, alors le message litigieux pourra être considéré comme étant public (Civ. 1re, 10 avr. 2013, n° 11–19.530). À l’inverse, si le nombre d’amis demeure comparable à un cercle d’amis restreint, le caractère public n’est pas retenu et l’auteur pourra être exonéré. Dans le cas de Twitter, l’analyse diffère : pour les comptes privés, les juges pourront procéder à une évaluation du nombre de personnes suivant le compte. Pour le cas des comptes publics, la publicité est présumée (Cass. Crim, 11 décembre 2018, 17-85.159, Inédit)

La question du caractère public ou non d’un message Facebook peut s’avérer épineuse. La Cour de cassation semble s’attacher à un autre critère : celui de la communauté d’intérêts. Elle a ainsi pu retenir le caractère public d’un message publié au sein d’un groupe partageant une « communauté d’intérêts » (Civ. 1re, 10 avr. 2013, n° 11-19.530).

Dans le cas d’une page Facebook, la question est différente puisque le caractère public est plus aisé à caractériser : n’importe quel utilisateur peut avoir accès à cette page (CAA Nantes, 21 janv. 2016, n° 14NT02263).

S’ajoute à ces éléments dits « matériels » de l’infraction, un élément moral : l’intention de porter atteinte à l’honneur ou à la considération d’une personne ou d’un corps déterminé. Ce deuxième élément est le plus souvent présumé. C’est ce que juge la Cour de cassation dans un arrêt du 19 juin 2012  : (Cour de cassation, chambre criminelle, 19 juin 2012, n° 11-84.235) : « les imputations diffamatoires sont réputées, de droit, faites avec intention de nuire, mais elles peuvent être justifiées lorsque leur auteur établit sa bonne foi, en prouvant qu’il a poursuivi un but légitime, étranger а toute animosité personnelle, et qu’il s’est conformé à un certain nombre d’exigences, en particulier de sérieux de l’enquête, ainsi que de prudence dans l’expression, étant précisé que la bonne foi ne peut être déduite de faits postérieurs à la diffusion des propos ».

II – UN RÉGIME DE RESPONSABILITÉ EN CASCADE

A – LA RESPONSABILITÉ EN CASCADE : DÉTERMINATION DE L’AUTEUR PRINCIPAL

Déterminer qui est le responsable d’un acte de diffamation peut s’avérer complexe, surtout lorsque l’acte a été commis par l’intermédiaire d’un ordinateur.

Conscient de cette problématique, le législateur a instauré un système de responsabilité en cascade, permettant dans la plupart des cas, de déterminer un responsable. Ainsi, l’article 93-3 de la loi du 29 juillet 1982 prévoit que « l’auteur, et à défaut de l’auteur, le producteur seront poursuivis comme auteur principal ».

Appliqué à une page Facebook ou à un compte Twitter et à défaut d’auteur identifiable, il s’agira du producteur. Producteur au sens de celui « ayant pris linitiative de créer un service de communication au public » (Cass. crim., 16 févr. 2010 n°09-81.064) c’est-à-dire la personne physique qui fournit le service. Sachant que la jurisprudence considère que « le titulaire dun compte Facebook en est en conséquence le directeur de la publication » (Tribunal correctionnel de Pau, 12 nov. 2018). Cela vaut aussi pour un compte Twitter dont l’auteur n’est pas identifiable.

Cependant, le créateur ou animateur d’un site de communication au public, en tant que producteur, pourra se voir exonérer de toute responsabilité vis-à-vis du contenu du message adressé par un utilisateur s’il n’avait pas connaissance du message avant sa mise en ligne (Conseil constitutionnel, 16 sept. 2011, n° 2011-164 QPC). Pour une page Facebook.

Dans un arrêt rendu le 13 novembre 2020 par la Cour Administrative d’Appel de Paris (4e chambre de l’instruction), la personne mise en cause, animatrice d’une page Facebook contestait sa responsabilité, arguant que l’ordinateur utilisé pour administrer sa page se trouvait dans un lieu accessible au public et que plusieurs personnes pouvaient de fait, y avoir eu accès, sans son contrôle (la personne ne s’étant pas déconnectée de son compte personnel).

Elle cherchait ainsi à s’exonérer de sa responsabilité. La Cour a cependant refusé ce raisonnement en se fondant sur le fait qu’elle ne pouvait nier sa responsabilité. Le message litigieux provenant de son compte personnel et non d’un compte tiers : l’auteur avait utilisé les codes d’accès de l’administrateur de la page, sans que cette dernière ne puisse démontrer qui était cette personne. L’administrateur a donc était désigné comme responsable.

Ainsi, peut-être retenu comme auteur principal et donc responsable au sens de la loi du 29 juillet 1881, l’auteur du texte litigieux et à défaut l’administrateur de la page Facebook ou du compte Twitter (pour Facebook : Cour de cassation – Chambre criminelle, 1 septembre 2020, n° 19-84.505 – pour Twitter : Cour de cassation – Chambre criminelle, 10 mai 2017, 16.81-555)

Dans le cas précis de Twitter, il faut noter une spécificité : les membres apparaissent souvent sous pseudonyme, rendant l’exercice d’identification encore plus complexe (Cass. Crim. 8 janv. 2019). Afin de lutter plus efficacement contre les agissements de personnes non identifiables, la loi pour la confiance dans l’économie (loi du 21 juin 2004, précitée) a mis en place un régime de responsabilité spécifique. Ainsi, les hébergeurs ont l’obligation de supprimer les tweets illicites qui leur ont été signalés. Et ceux dans les plus brefs délais.

Dans un arrêt du 16 février 2023, la Cour d’appel de Versailles a établi que que la demande formulée par l’appelant n’a pas pour objet l’engagement de la responsabilité des sociétés Google Ireland Limited et Google LLC sur le fondement de la loi du 29 juillet 1881, aucune des infractions de presse prévues par ce texte ne leur étant reprochée et aucune des qualités mentionnées ne pouvant leur être appliquées, seul demeure au débat à hauteur de la cour, le respect de leurs obligations en matière de traitement de données personnelles. Par conséquent, la cour considère que la fin de non-recevoir tirée de ce moyen sera rejetée.

B –  LE RÉGIME D’EXONÉRATION

Il existe en finalité peu de cas d’exonération de responsabilité pour des propos diffamatoires sur une page Facebook ou un compte Twitter. Le principal cas pour l’auteur n’en est pas réellement un : cela recouvre la situation dans laquelle il n’est pas identifiable. Un autre cas d’exonération pour l’auteur peut être celui d’arguer la non-publicité de la diffamation ou le manque d’un critère constitutif de la diffamation. Mais encore une fois ce il ne s’agit pas d’un réel cas d’exonération.

Pour l’administrateur, l’exonération peut venir de la démonstration que les propos diffamatoires publiés sur sa page n’avaient pas été portés à sa connaissance avant publication. Dans le cas où son identité a été usurpée et qu’un usage malveillant de son compte Facebook ou Twitter a été perpétré, l’administrateur pourra se voir exonérer de toute responsabilité pour des propos diffamatoires. Il devra pour cela rapporter la preuve de l’usurpation (en lien : Tribunal correctionnel de Paris 18 avril 2019).

Tel ne fut pas le cas dans l’affaire précitée du 13 novembre 2020 (Cour Administrative d’Appel de Paris, 4e chambre de l’instruction).

Dans le cas où une personne publie un message à caractère diffamatoire sur une page Facebook ou un compte Twitter qu’elle n’administre pas et si l’administrateur intervient promptement pour supprimer le commentaire, alors sa responsabilité pourra être écartée. C’est le même mécanisme que celui prévu par la LCEN (Loi sur la Confiance dans l’Économie Numérique du 21 juin 2004), pour les hébergeurs.

En somme, la responsabilité en cascade prévue par la loi du 29 juillet 1982 réduit considérablement les cas d’exonérations pour des cas de diffamation.

Pour lire cet article sur la diffamation sur les réseaux sociaux, Facebook et Twitter en version plus détaillée, cliquez

SOURCES :

Par internet-et-droit, Newsletter • Tags: , , , , , ,

RGPD : la question du consentement

Comme chacun sait, le 25 mai 2018, est une date butoir non seulement pour tous les acteurs du numérique, mais aussi et plus largement pour toutes les entreprises, leur mise en conformité au nouveau grand texte européen en matière de données personnelles devant être assurée d’ici là.

Le règlement général sur la protection des données (« RGPD », ou « GDPR » en anglais), à cette échéance, sera applicable dans tous les États membres de l’Union européenne. Et s’il est des notions essentielles au sein du texte, c’est bien celle du consentement.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de vie privée en passant par le formulaire !

Le droit européen des données personnelles a été longtemps régi par la directive 95/46/CE.

Adoptée en 2016, l’entrée en vigueur de la nouvelle réglementation européenne le 25 mai 2018 a permis d’adapter le droit de l’union aux changements induits par l’explosion de l’informatique et d’Internet.

Afin de garantir l’effectivité des dispositions prévues par ce règlement, toutes les entreprises qui collectent des données personnelles de personnes résidant dans l’Union européenne, sont soumises à la réglementation indépendamment de leur localisation.

Les entreprises se doivent de respecter un certain nombre de principes fondamentaux pour la protection des données, tels que la transparence, la limitation de la finalité, la minimisation des données, l’exactitude et l’intégrité des données, ainsi que la sécurité des données. L’un de ces principes est le consentement, qui est défini comme une indication claire et positive de la volonté de la personne concernée de donner son accord pour le traitement de ses données personnelles.

Le consentement demeure l’une des six bases juridiques permettant de traiter des données à caractère personnel, telles qu’énumérées à l’article 6 du RGPD. Lorsque le responsable de traitement sollicite le consentement, il a l’obligation d’évaluer si celui-ci satisfera à toutes les conditions d’obtention d’un consentement valable. S’il a été obtenu dans le plein respect du RGPD, le consentement est un outil qui confère aux personnes concernées un contrôle sur le traitement éventuel de leurs données à caractère personnel. Dans le cas contraire, le contrôle de la personne concernée devient illusoire et le consentement ne constituera pas une base valable pour le traitement des données, rendant de ce fait l’activité de traitement illicite.

Afin d’aider les responsables de traitement dans le recueil du consentement, le comité européen à la protection des données a élaboré un guide composé de lignes directrices qui permet de saisir les réflexes à adopter lors du recours au consentement comme base légale.

Par conséquent, toute entreprise qui traite des données personnelles de résidents de l’Union européenne devra donc prendre pleinement conscience de la portée des dispositions afférentes au consentement. Il conviendra dans un premier temps d’aborder les obligations liées à la nature même du consentement requis (I) et les obligations relatives à sa valeur (II). Enfin, seront traités les cas particuliers tels que le consentement du mineur (III).

I. Les conditions relatives à la nature du consentement requis

Lorsque la base légale du traitement retenue est le consentement, le RGPD impose que ce dernier soit libre, spécifique, éclairé et univoque.

A) L’obligation d’un consentement libre et éclairé

Auparavant inscrite dans la loi Informatique et Libertés, la notion de consentement a été renforcée par les dispositions du RGPD afin de permettre aux personnes concernées d’exercer un contrôle réel et effectif sur le traitement de leurs données.

Définit par l’article 4 du règlement, le consentement s’apparente à « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 7 du RGPD précise les conditions applicables au consentement.

Pour être valide, le consentement doit être accompagné d’un certain nombre d’informations communiquées à la personne avant qu’elle ne consente. Au-delà des obligations de transparence prévues aux articles 12, le responsable du traitement se doit fournir la liste d’informations mentionnée à l’article 13 afin de recueillir le consentement éclairé des personnes concernées. Il s’agit de l’identité du responsable du traitement, des finalités poursuivies, des catégories de données collectées, de l’existence d’un droit de retrait du consentement.

Le consentement est considéré comme « libre » lorsque l’utilisateur l’a donné sans pression ni influence extérieure. En outre, le caractère libre du consentement se matérialise par la possibilité de refuser et de le retirer à tout moment. Ce droit de retrait doit pouvoir être exercé dès que la personne concernée le souhaite et aussi simplement que lorsqu’elle a consenti. Le responsable du traitement doit donc mettre en place un moyen simple et efficace pour que l’utilisateur puisse retirer son consentement

Le règlement général sur la protection des données parle du consentement, comme d’une « manifestation de volonté libre […] ». Tout en reprenant le terme, déjà soutenu au sein des textes antérieurs, le législateur a cependant fait le choix d’un encadrement concis, au regard de ce principe.

Ainsi, le texte prévoit que la personne concernée dispose du droit de retirer son consentement quand elle le souhaite, aussi simplement qu’elle l’a accordé, et doit être informée de cette possibilité. Ce retrait ne remet pas en cause, pour autant, la licéité du traitement fondé sur le consentement précédemment donné, pour la période allant jusqu’au dit retrait.

Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez – nous au : 01 43 37 75 63

ou contactez – nous en cliquant sur le lien

Par ailleurs, cette liberté signifie également que la personne ne doit pas être contrainte « d’abandonner » son consentement, notamment sous le joug du préjudice éventuel qui pourrait découler de son refus : « le consentement est présumé ne pas avoir été donné librement en cas de déséquilibre […] si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice » .

Le texte précise également que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ».

Autrement dit, le retrait du consentement ne doit pas engendrer de frais pour la personne concernée ou encore avoir pour conséquence d’amoindrir le service fourni. Un déséquilibre des rapports de force peut également avoir lieu dans le cadre des relations de travail. Il est en effet peu probable que la personne concernée soit en mesure de refuser de donner son consentement à son employeur concernant le traitement de ses données sans craindre ou encourir des conséquences négatives suite à ce refus.

Par ailleurs, le considérant 43 du RGPD précise qu’un consentement distinct doit être obtenu pour chacune des finalités envisagées « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel ». Dès lors qu’un traitement comporte plusieurs finalités, les personnes doivent pouvoir consentir indépendamment pour l’une ou l’autre de ces finalités. Elles doivent pouvoir choisir librement les finalités pour lesquelles elles consentent au traitement de leurs données.

Pour rappel, dans une décision du 21 janvier 2019, la Commission nationale de l’informatique et des libertés (CNIL) a prononcé une amende de 50 millions d’euros à l’encontre de Google, pour violation des dispositions du Règlement général sur la protection des données (RGPD).

Dans un premier temps, la formation restreinte de la CNIL a estimé qu’il y avait une violation continue des obligations de transparence et d’information (article 12 du RGPD) lors de la collecte des données personnelles (article 13 et 14 du RGPD) et que les droits des personnes n’était pas assez clair (article 15 à 22 du RGPD).

Elle relève également que des informations essentielles (finalité, durée de conservation ou catégories de données) étaient anormalement disséminées dans de multiples espaces où il était nécessaire d’activer des boutons ou onglets pour prendre connaissance des informations complémentaires.

De plus, la CNIL a remarqué que les informations fournies n’étaient pas suffisamment claires ou compréhensibles par rapport aux aspects massifs et intrusifs des différents traitements réalisés par l’entreprise et que les finalités étaient trop génériques et vagues.

Dans un second temps, la CNIL est venue sanctionner l’absence de base légale pour les traitements de personnalisation de la publicité. La société américaine indiquait se fonder sur le contentement des utilisateurs, or les agents de la Commission ont estimé que celui-ci n’était pas éclairé, spécifié et univoque. En effet, dans le prolongement de ce qui a été exposé précédemment, les informations permettant de justifier du consentement ont été réparties sur plusieurs espaces et documents en plus de présenter des cases précochées au moment de la collecte.

B) L’obligation d’un consentement explicite

Le terme explicite se rapporte à la façon dont le consentement est exprimé par la personne concernée. Il implique que la personne concernée doit formuler une déclaration de consentement exprès.

Le consentement peut se matérialiser de diverses façons. Le considérant 32 du RGPD  nous apporte quelques précisions, ainsi « Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale […] Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ».

Le consentement peut être recueilli au moyen d’une déclaration écrite ou orale (enregistrée), y compris par voie électronique. Ainsi, un consentement tacite n’est pas valable, et le recueil du consentement nécessite une formalisation. Le consentement ne peut donc pas être obtenu par défaut ou par inaction de l’utilisateur. A ce titre, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement exprès au sens du texte susvisé. Le RGPD n’autorise pas non plus le recours à des options de refus nécessitant une action de la personne concernée pour signaler son refus (par exemple des « cases de refus »).

L’article 4 du Règlement, déjà cité, fait allusion au caractère « express » du consentement, en ce que celui-ci doit découler d’une décision « par laquelle une personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de ses données.

Cette formulation constitue une différence clef entre les « anciens textes » et celui à paraître, puisque la directive 95/46 omet toute mention en ce sens. A contrario, le RGPD souligne expressément « qu’il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.

Attention, il convient de bien différencier la case cochée par défaut, de la case à cocher, qui constitue en soi l’expression d’un consentement express au sens du texte susvisé.

De même, l’acceptation d’un contrat ou de conditions générales ne rend pas compte d’un tel consentement éclairé, tandis qu’un accord donné par voie écrite, orale ou électronique vaudra acceptation, tant que le sens d’une telle action n’est pas ambiguë.

Si la pratique du « double opt-in » est avancée par le G29 dans ses conclusions, elle demeure non seulement facultative, mais paraît également inefficace à certains égards : « ce double opt-in […] est lourd à mettre en place. Il est bien évidemment redouté notamment par les professionnels du marketing qui savent que la collecte d’un consentement impliquant deux actions positives d’un prospect ou d’un client est très illusoire », la plupart des utilisateurs étant peu enclins à communiquer deux fois leur consentement.

A l’occasion d’un arrêt du 1er octobre 2021, la CJUE statue sur la notion de consentement explicite, et rappelle que le recueil du consentement doit être explicite avant tout traitement des données personnelles, ainsi le consentement doit être donné activement et expressément au site web par les utilisateurs. En l’espèce, la CJUE considère que le consentement recueilli n’est pas explicite, car la case était cochée par défaut, et l’utilisateur devait décocher cette case pour refuser de donner son consentement. Par ailleurs, la CJUE dispose dans cet arrêt que le consentement doit être spécifique ce qui n’est pas le cas en l’espèce, car le bouton de participation au jeu promotionnel « ne suffit pas pour considérer que l’utilisateur a valablement donné son consentement au placement de cookies. »

Enfin, il convient de rappeler que le consentement de la personne est systématiquement requis pour certains traitements, encadrés par des dispositions légales spécifiques. L’article 5 de la directive ePrivacy impose ainsi le recours au consentement avant le dépôt de cookies sur le terminal de l’utilisateur. Il en va de même dans le cadre de la prospection électronique (L34-5 du code des postes et télécommunications).

II. Les conditions relatives à la valeur du consentement requis

La valeur du consentement récolté dépendra principalement de deux facteurs : son fondement (A), qui caractérise sa nécessité, et sa matérialisation, nécessaire au responsable de traitement en matière de preuve (B).

 A) L’importance du fondement du traitement

Il paraît évident que tous les développements précédents, relatifs au consentement des personnes, s’appliquent avant-même la récolte des données personnelles en question.

Pour autant, il convient de distinguer les différentes situations sur la base desquelles le consentement est requis.

En effet, si l’article 6 du RGPD prévoit le régime général des dispositions relatives au consentement, l’article 7, en son paragraphe 4, dénote d’un régime particulier en ce que « au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat » .

Ainsi, et comme le rappelle assez justement le G29, « si le traitement n’est pas nécessaire à l’exécution du contrat, cette exécution ne peut être conditionnée par le consentement au traitement ».

Selon le G29, les deux bases juridiques que sont le consentement et l’exécution d’un contrat ne doivent pas être amalgamées et fusionnées : la conclusion d’un contrat ne doit pas être conditionné à l’acceptation d’un traitement de données « non nécessaires » à l’exécution d’un contrat.

À l’évidence, un traitement rendu obligatoire pour la bonne exécution d’un contrat n’implique donc pas le recueil du consentement quant à un tel traitement.

Il est essentiel de garder à l’esprit, par ailleurs, que le fondement de la licéité du traitement ne peut être modifié après que les données ont été recueillies et traitées. De fait, si un problème se pose quant à la conformité du traitement, il est impossible, pour le responsable de traitement , de basculer sur un autre régime pour justifier le traitement en question.

B) La charge de la preuve

La preuve, au regard de telles exigences, est primordiale. C’est le premier paragraphe de l’article 7 du RGPD qui en précise l’aménagement, en rappelant que « dans le cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

L’article 7 du RGPD requiert que le consentement soit démontrable, ce qui implique deux conditions.
Tout d’abord, il est nécessaire d’identifier de manière certaine la personne qui donne son consentement. Ensuite, il est important de conserver ce consentement sous une forme qui puisse prouver son existence. Si une personne donne son consentement en se connectant à un compte en ligne avec un code d’accès qui lui est propre, comme c’est le cas sur un espace de banque en ligne par exemple, la première condition peut être considérée comme remplie. Cependant, cette situation est relativement rare, car de nombreux consentements sont demandés sans que l’identité de la personne ne soit vérifiée

Suivant ces dispositions, la charge de la preuve incombe donc au responsable de traitement, qui devra démontrer par des arguments convaincants le respect du consentement des personnes concernées par le traitement.

Cette dernière précision fait notamment écho aux traitements obligatoires pour la bonne exécution des contrats, où la preuve devra être jugée comme « suffisante ».

Pour autant, le texte ne donne pas plus d’indications concernant la forme de la preuve. Des avis sont cependant fournis par des institutions nationales, à l’image de l’autorité de protection des données du Royaume-Uni, l’« ICO » (« Information Commissionner’s Office ») , qui conseille de conserver toute trace relative aux personnes concernées, à la date et aux méthodes de consentement, etc.

D’un côté, cette souplesse pourrait inquiéter au sujet des éventuelles dérives relatives à la collecte et la réutilisation de ces données ; pour autant, est-il pertinent de cloisonner ce type de preuve, au risque d’une rigidité certaine du texte ?

Quoi qu’il en soit, ces dispositions sont encore à l’étude, et il conviendra d’en observer la pratique pour en comprendre réellement l’étendue.

La CNIL préconise que le responsable de traitement tienne un registre des consentements. Elle rappelle également qu’une fois le traitement terminé, la preuve du consentement ne doit pas être conservée plus longtemps que le temps nécessaire à l’exercice ou à la défense de ses droits en justice par le responsable de traitement. Enfin, il convient de noter que le RGPD ne fixe pas de durée de validité du consentement. Cette durée dépendra du contexte, de la portée du consentement initial.

III. Les cas particuliers

A. Les conditions applicables au consentement des enfants

En vertu de l’article 8 du RGPD, dans le cas où le consentement est donné par un mineur, il doit être donné avec l’autorisation des détenteurs de l’autorité parentale, sauf si le droit national prévoit que l’enfant est en mesure de donner un consentement valable sans autorisation parentale.

En France, l’âge de la majorité numérique est fixé à 15 ans. Conformément à l’article 45 de la loi informatique et libertés, les enfants de 15 ans ou plus peuvent donc consentir eux-mêmes au traitement de leurs données fondé sur le consentement dans le cadre des services de la société d’information. En-dessous de 15 ans, la loi « Informatique et Libertés » impose le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale.

Les raisons de cette protection sont précisées au considérant 38 du RGPD « Les enfants méritent une protection spécifique en ce qui concerne leurs données à caractère personnel parce qu’ils peuvent être moins conscients des risques, des conséquences et des garanties concernées et de leurs droits liés au traitement des données à caractère personnel […] »

Il est cependant regrettable de constater qu’aucune mesure de contrôle de l’âge n’est actuellement déployée par les plateformes. Il est néanmoins possible de noter qu’une proposition de loi visant à instaurer une majorité numérique et à lutter contre la haine en ligne a été déposée le 17 janvier 2023 à l’Assemblée nationale. Elle tend à compléter la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) afin contraindre les réseaux sociaux de refuser l’inscription à leurs services des enfants de moins de 15 ans, sauf si les parents ont donné leur accord. Pour se faire, ces plateformes devront mettre en place une solution technique permettant de vérifier l’âge de leurs utilisateurs et l’autorisation des parents.

Il est important de noter que les âges de majorité numérique peuvent varier d’un pays à l’autre en Europe, et que certains pays peuvent également avoir des règles spécifiques pour certaines activités en ligne (par exemple, les réseaux sociaux ou les jeux en ligne) qui peuvent avoir leur propre âge minimum pour le consentement. En Allemagne cette majorité est fixée à l’âge de 16 ans tandis qu’en Belgique ou au Portugal elle est atteinte dès l’âge de 13 ans.

Enfin, les enfants ont le droit de retirer leur consentement à tout moment. Les responsables du traitement doivent donc veiller à ce que les enfants soient informés de leur droit de retirer leur consentement et à ce qu’il soit facilement d’exerçable.

B. Le consentement au traitement de données sensibles

Le RGPD catégorise certaines données personnelles comme étant sensibles. Définit à l’article 9 du règlement, ces données sont celles qui révèlent l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques, l’appartenance syndicale, les données de santé ou encore les données biométriques. En raison de leur caractère « sensible » et des risques que leur traitement entraîne pour la vie privée ou pour les droits des personnes, ces données ne peuvent être traitées qu’avec des garanties supplémentaires.

Le consentement donné en matière de données sensibles doit être encore plus explicite que celui donné pour les données à caractère personnel. Le consentement explicite est requis dans certaines situations où un risque sérieux lié à la protection des données survient, et où un niveau élevé de contrôle sur les données à caractère personnel par la personne concernée est de ce fait jugé approprié.

Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. Le cas échéant, le responsable du traitement pourrait s’assurer que la déclaration écrite est signée par la personne concernée afin de prévenir tout doute potentiel et toute absence potentielle de preuve à l’avenir. Il est également possible d’obtenir un consentement explicite moyennant une conversation téléphonique, à condition que les informations relatives au choix soient loyales, compréhensibles et claires et qu’elle demande une confirmation spécifique de la part de la personne concernée.

Il est important de noter que le consentement n’est pas toujours la base légale utilisée pour le traitement des données sensibles.

Le traitement des données sensibles sans recourir au consentement peut être autorisé pour des raisons de santé publique. Il peut, par exemple, s’avérer nécessaire de collecter et de traiter des données sensibles pour lutter contre la propagation d’une maladie contagieuse (circonstances que nous avons rencontré lors de la crise du Coronavirus). Dans ce cas, la collecte et le traitement de ces données peuvent être autorisés par des lois ou des réglementations nationales ou européennes, même si l’utilisateur n’a pas donné son consentement explicite.

De même, dans le cadre de la lutte contre le terrorisme ou la criminalité, il peut être nécessaire de collecter et de traiter des données sensibles pour prévenir ou détecter des infractions graves. Dans ce cas également, la législation peut autoriser le traitement de ces données sensibles, même en l’absence de consentement explicite de l’utilisateur.

Pour une version plus détaillée sur le RGDP et le consentement, cliquez sur les mots RGDP et consentement

SOURCES :
http://www.avistem.com/fr/le-rgpd-en-focus-focus-2-le-recueil-du-consentement
http://www.privacy-regulation.eu/fr/r43.htm
https://cnpd.public.lu/content/dam/cnpd/fr/actualites/national/2017/10/séances-information–gdpr/gdpr-info-sessions-fr-11h05-consentement.pdf
https://www.cnil.fr/fr/reglement-europeen/lignes-directrices
http://www.privacy-regulation.eu/fr/r32.htm
https://fr.mailjet.com/rgpd/consentement/
http://www.privacy-regulation.eu/fr/7.htm
https://ico.org.uk/media/about-the-ico/consultations/2013551/draft-gdpr-consent-guidance-for-consultation-201703.pdf
Délibération, 21 janvier 2019, SAN-2019-001
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038032552/
CJUE, 1er octobre 2019, C-673/17
https://curia.europa.eu/juris/document/document.jsf;jsessionid=CA644C7436D43DA19729CD95998C7383?text=&docid=218462&pageIndex=0&doclang=FR&mode=lst&dir=&occ=first&part=1&cid=6352664
https://asso-generationnumerique.fr/enquetes/
F. Mattatia « RGPD et droit des données personnelles », 5° édition – Edition EYROLLES – 2021
Comité Européen à la protection des données – Guide lignes directrices – 2020 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-052020-consent-under-regulation-2016679_fr
CNIL – Capacité des mineurs en ligne : https://www.cnil.fr/fr/recommandation-1-encadrer-la-capacite-dagir-des-mineurs-en-ligne

Par internet-et-droit • Tags: , , ,

< 1 2 3 4 5 >»

# Nos catégories juridiques

# Poser une question en ligne

Si vous avez une question précise à poser au cabinet d’avocats, dont vous ne trouvez pas la réponse sur le site, posez votre question en ligne.
La question sera alors payante et le montant est de 150 euros TTC. Paiement sécurisé par Paypal ou Crédit Mutuel »

# Nos articles avocat Paris

# Newsletter mensuelle

  • Le Darknet est-il illégal ?
    Mar , 2024
    Est-ce que le darknet en soi est illégal ? NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire ! Le Darknet, ce mystérieux réseau informatique souvent associé à des
© Murielle Cahen Cabinet d’avocats Paris 2024
Powered by WordPressThemify WordPress Themes