droit à l’oubli

Etre en conformité avec le RGPD et l’accountability

Le Règlement général sur la protection des données (« RGPD ») est le nouveau texte phare en matière de protection des données personnelles  en Europe. Prévu pour entrer en application le 25 mai 2018, le délai de mise en conformité est court et pourtant trop peu d’entreprises sont au courant des dispositions en la matière.

NOUVEAU : Utilisez nos services pour faire retirer un contenu lié à la protection des données ou de contrefaçon en passant par le formulaire !

Le droit européen a instauré un cadre juridique qui se veut « stable » pour l’ensemble de l’Union européenne. Le texte a pour objectif, comme le rappelle la CNIL, de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel, tout en responsabilisant les traitants et sous-traitants de ces données.

Me CAHEN Murielle, Avocat, peut être choisi par une société pour être Avocat agissant en tant que délégué à la protection des données .

L’avocat  délégué à la protection des données  a un rôle de conseil et de sensibilisation sur les nouvelles obligations du règlement (notamment en matière de conseil et, le cas échéant, de vérification de l’exécution des analyses d’impact).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.


Besoin de l’aide d’un avocat pour un problème de rgpd ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


Entré en vigueur en mai 2018, le règlement général sur la protection des données (RGPD) fêtera bientôt ses cinq ans. Qu’importe votre situation, si vous collectez des données, une démarche de mise en conformité au règlement devra être initiée.

Afin d’en saisir les contours, cette démarche peut s’appuyer sur la désignation d’un délégué à la protection des données qui se chargera de mettre en œuvre la conformité au règlement européen sur la protection des données pour votre organisme.

La promulgation de ce règlement a permis d’harmoniser le cadre juridique pour l’ensemble de l’Union européenne. Ce texte a, dans un premier temps, permis de renforcer le droit des personnes au regard du traitement de leurs données à caractère personnel.

Dans un second temps, le RGPD a été conçu pour être un rempart face aux dérives et aux risques que les traitements de données peuvent représenter. Pour se faire, il introduit de nouvelles obligations et de nouvelles notions. On pensera par exemple à la notion d’accountability et de privacy by design qui ont pour objectif de responsabiliser les organismes afin de rendre plus effective la protection des données.

Les données sont aujourd’hui des sources de valeur considérable. Elles représentent non seulement des actifs pour les entreprises, mais elles sont également un moyen d’assurer la continuité de leurs activités. Comme le souligne l’ENISA, entre 2021 et 2022, on comptabilise environ une attaque par rançongiciel toutes les onze secondes sur l’ensemble des entreprises situées sur le territoire européen.

Au regard des dangers qui pèsent aujourd’hui sur les entreprises, l’ensemble des dispositions du texte se devront d’être comprises par ces dernières (I) afin d’organiser de manière rapide et efficace leur mise en conformité (II).

I. Le cadre juridique instauré par le RGPD , le régime d’accountability et Privacy by Design

Le texte européen entré en vigueur le 25 mai 2018, prévoit de nouvelles obligations pour les entreprises et, plus largement, tous traitants ou sous-traitants de données à caractère personnel (a). Le non-respect de ces obligations entraîne désormais des sanctions plus lourdes que par le passé (b), dans une volonté non dissimulée d’atteindre un cadre harmonisé.

A) Des obligations nouvelles pour les entreprises et en particulier l’accountability et le « Privacy by Design »

L’entrée en vigueur du texte en mai 2018 renouvelle le cadre de la protection des données et des relations entre ceux qui les fournissent et ceux qui les traitent.

Selon son article 3, ce règlement a vocation à s’appliquer aux entreprises qui traitent des données à caractère personnel, que celles-ci soient établies sur le territoire de l’Union européenne (principe d’établissement) ou non, dès lors que les données traitées concernent les personnes qui se trouvent sur le territoire de l’Union européen (principe de ciblage).

Ce texte insère de nouvelles notions telles que la « Privacy by Design ». Définie à l’article 25 du RGPD, cette notion correspond à la prise en considération de la protection des données dès la conception d’un traitement. Il s’agit aussi bien de la mise en œuvre de mesures techniques et organisationnelles appropriées, telles que la pseudonymisation. Ces mesures sont destinées à mettre en œuvre les principes relatifs à la protection des données.

Elles s’accompagnent des principes énoncés par le règlement, tel que le principe de minimisation des données (notamment pour les données sensibles). Ces mesures visent à assortir le traitement des garanties nécessaires afin de répondre aux exigences fixées par le règlement et tendent à assurer une protection effective des données de la personne concernée.

D’autres points essentiels du ressortent du Règlement, à commencer par la « consécration » du droit à l’oubli. Pour commencer, le texte amène la « consécration  » du droit à l’oubli  » , déjà soutenu par la Cour de justice de l’Union européenne dans l’arrêt Google Spain qui précisait qu’un traitement de données pouvait devenir « avec le temps incompatible avec la directive lorsque ces données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ou traitées » .

Les données devront être conservées aussi longtemps que nécessaire et leur accès, leur modification, leur restitution jusqu’à leur effacement sur la demande des individus concernés, devront être garantis.

De même, le texte prévoit que les entreprises devront veiller à ce que seules les données nécessaires à la finalité en cause soient collectées.

Également, les entreprises devront s’assurer du consentement éclairé et informé des individus quant à la collecte et au traitement de leurs données, consentement qu’elles devront pouvoir recueillir et prouver.

Ainsi, les organismes à l’origine d’un traitement de données tel que défini à l’article 4 du règlement, se devront de respecter et d’établir, le cas échéant, les durées de conservation des données. Une liste de mesures à prendre en compte lors de l’établissement d’un traitement de données est disponible à l’article 5.

Par ailleurs, les organismes devront répondre aux demandes d’exercice des droits des personnes concernées. Énoncés au chapitre III, ils devront lorsque la demande en sera faite, garantir l’accès, la modification, la restitution voire l’effacement des données de la personne concernée.

De plus, ils devront à chaque traitement s’assurer d’avoir recueilli le consentement de la personne concernée comme prévu aux articles 7 et 8 du Règlement.

Pour qu’un traitement de données soit considéré comme licite lorsque le consentement n’est pas demandé, l’organisme doit s’assurer d’être dans son bon droit en établissant l’existence d’une base légale conformément à l’article 6.

Pour commencer, le traitement peut intervenir dans le cadre d’une relation contractuelle ou d’une obligation légale.  Il peut également être considéré comme licite lorsqu’il vise l’intérêt général ou la sauvegarde des intérêts vitaux d’une personne. Enfin, il peut s’agir du recours au motif légitime, condition abstraite et très peu utilisée en pratique.

Dans le cas contraire, le traitement (la conservation, l’utilisation, la revente, l’analyse, etc.), n’est pas licite et peut par conséquent faire l’objet de sanction.

Enfin, le texte prévoit également des mesures concernant le respect du droit à la portabilité des données, la mise en place d’un cadre strict pour un tel transfert en dehors de l’Union ainsi que l’obligation pour les entreprises d’informer le propriétaire des données ainsi que la CNIL d’une violation grave des données ou d’un piratage , dans les 72 heures.

B) Des risques accrus pour les entreprises en cas de non-conformité

Depuis l’entrée en vigueur du RGPD de nombreuses formalités auprès de la CNIL ont disparu. En contrepartie, la responsabilité des organismes a été renforcée. Ils doivent en effet assurer une protection optimale des données à chaque instant.

La tâche revient également aux entreprises, en marge des obligations précitées, de veiller à ce que les données soient à tout moment et en tous lieux sécurisés contre les risques de perte, de vol, de divulgation ou contre toute autre compromission.

C’est notamment le cas lors du choix des prestataires informatiques. Les organismes ont un devoir de vigilance et d’information envers les personnes concernées (autrement dit, les personnes dont les données font l’objet d’un traitement).

« Privacy by Design » signifie littéralement que la protection des données personnelles doit être prise en compte dès la conception du produit ou du service.

Pour toute violation de ces dispositions, le texte prévoit notamment des amendes administratives, pouvant s’élever jusqu’à 20 millions d’euros « ?ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent? ».

C’est également l’entreprise qui devra indemniser toute personne lésée matériellement ou moralement par un traitement non conforme de ses données, cette fois-ci sans plafonnement.

Si tel n’est pas le cas, une mise en conformité rapide de votre organisme s’impose donc.
Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu » : on sait que les grandes entreprises comme Google ou Facebook ont déjà été, à plusieurs reprises, rappelées à l’ordre par les CNIL européennes. Les dernières décisions rendues en la matière témoignent de la volonté de faire respecter ce règlement.

La CNIL est venue sanctionner de nombreuses entreprises depuis l’instauration du RGPD, en raison de leur manque de mise en conformité avec le règlement. La sanction la plus importante fut celle de Google, dans une décision du 21 janvier 2019 où la CNIL a prononcé une amende d’un montant total de 50 millions d’euros.

Cette décision fut confirmée par le Conseil d’État dans une décision du 19 juin 2020, qui considère que l’amende de 50 millions d’euros n’était pas disproportionnée.

Après avoir effectué le bilan de son action répressive, la CNIL affirme que l’année 2021 a été un record tant par le nombre de mesures adoptées que par le montant cumulé des amendes, qui atteignait 214 millions d’euros.

L’année 2022 a aussi été marquée par une importante réforme des mesures correctrices de la CNIL, ce qui lui permet d’envisager un traitement plus rapide des plaintes (toujours plus nombreuses) et donc des sanctions.

Cette réforme témoigne de la volonté de donner plus de moyens à la CNIL et de durcir la répression cinq ans après l’entrée en application du RGPD.

Cette décision fut suivie de nombreuses autres amendes pour manquement au RGPD, mais jamais avec un montant aussi élevé. Ainsi dans une décision du 28 mai 2019, l’absence de contrôle des accès aux données conservées par un site internet fut sanctionnée à hauteur de 400 000 euros d’amende.

Dans une décision du 13 juin 2019, l’amende n’a pas dépassé 20 000 euros. Encore récemment, un manquement aux articles 32 et 33 du RGPD fut sanctionné par la CNIL à une amende de 3 000 euros. L’article 32 du RGPD prévoyant l’obligation d’assurer un niveau de sécurité adapté aux risques, en ayant recours à des mesures techniques et organisationnelles appropriées.

Une mise en conformité rapide des entreprises s’impose donc. Le RGPD a en effet pour but d’unifier le cadre légal européen en la matière, et tend même à obliger les plus réticents à « jouer le jeu », dans la lignée de la décision de la CNIL espagnole du 11 septembre dernier, qui a infligé à l’entreprise Facebook une amende administrative d’un montant de 1,2 million d’euros la collecte et le traitement (notamment à des fins publicitaires) de données sensibles sans le consentement des utilisateurs.

Mais il s’avère que les entreprises n’ont pas forcément conscience de la façon dont elles traitent leurs données, ni même plus généralement de l’intégralité des donnés qu’elles traitent et qui peuvent se trouver sur leurs bases de données .

Le RGPD ne doit pas être perçu comme une « obligation » qui s’impose aux entreprises, mais bel et bien comme un élément pour se démarquer du reste des prestataires. Repousser sa mise en conformité revient à repousser un gage de qualité.

Cette transition se doit donc d’être organisée, structurée efficacement, et plusieurs étapes méthodiques apparaissent efficaces dans le suivi de cet objectif.

II. Les étapes de la mise en conformité des entreprises aux nouvelles dispositions

Depuis l’entrée en vigueur de cette réglementation, il convient pour les entreprises et, plus largement, tout responsable de traitement ou sous-traitant de données à caractère personnel, d’initier si tel n’est pas le cas, un processus de mise en conformité. À cet égard, le délégué à la protection des données (A) jouera le rôle de celui en charge d’accompagner l’entreprise dans les différentes étapes (B) de cette transition.

A) Le délégué à la protection des données, « chef d’orchestre » de cette mise en conformité par rapport à l’accountability et le « Privacy by Design »

Même si elle n’est pas obligatoire pour tous les organismes, la désignation d’un pilote paraît essentielle au regard des tâches à accomplir par les entreprises dans le cadre de leur mise en conformité avec le RGPD.

On distingue plusieurs cas dans lesquels la désignation d’un délégué à la protection des données est obligatoire (article 37 du RGPD).

Ainsi la désignation est obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle doit désigner un délégué à la protection des données. Il peut s’agir par exemple des ministères, des collectivités territoriales ou encore des établissements publics. En avril 2022, ce sont vingt-deux communes qui ont été mises en demeure par la CNIL afin qu’elles désignent un délégué à la protection des données.

En outre, la désignation s’impose aussi pour les organismes dont les activités de base les amènent à réaliser un suivi régulier et systématique des personnes à grande échelle. Cela peut correspondre aux compagnies d’assurance ou aux banques pour leurs fichiers clients ou les fournisseurs d’accès internet.

Enfin, les organismes dont les activités de base les amènent à traiter à grande échelle des données dites « sensibles » (données biométriques, génétiques, relatives à la santé, la vie sexuelle, l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale) ou relatives à des condamnations pénales et infractions devront également procéder à la désignation d’un délégué à la protection des données.

Publié le 13 décembre 2016 par le G29, les lignes directrices concernant le régime du délégué permettent de caractériser cette idée de « grande échelle » sur des critères tels que le nombre de personnes concernées, le volume des données traitées, la durée de conservation et de traitement des données ou encore l’étendue géographique du traitement.

La désignation d’un pilote paraît essentielle au regard de la mise en conformité des entreprises avec le RGPD. Le délégué à la protection des données ( » DPO « ), au sein de l’entreprise, sera en charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectif.

La désignation de celui-ci est rendue obligatoire pour les organismes publics et pour toute entreprise responsable du traitement de données sensibles ou de traitement à grande échelle.

Néanmoins, la CNIL rappelle que si cette obligation n’incombe pas à certaines entreprises, il est « ?fortement recommandé? » d’effectuer une telle désignation, « le délégué (constituant) un atout majeur pour comprendre et respecter les obligations du règlement  » .

Il n’est en effet, pas toujours évident pour une personne étrangère à ce domaine de ne pas cerner les attentes ou les obligations qui découlent de la réglementation. Afin d’être désigné, le délégué doit nécessairement avoir des connaissances juridiques qui lui permettront de rendre intelligible la réglementation auprès de ses collaborateurs.

L’incendie du Datacenter d’OVH illustre parfaitement cette méconnaissance du droit des contrats informatiques. Outre la catastrophe s’abattant sur OVH, un grand nombre de clients avaient souscrit un contrat d’hébergement simple, laissant ces derniers sans possibilité de récupérer leurs données et causant parfois, d’importants préjudices (article avec Me Eric Barbry). La perte de données peut s’avérer fatale pour les plus petites structures, d’où l’importance d’établir un plan de reprise des activités. C’est pourquoi le délégué à la protection des données est un indispensable.

Il ne joue pas qu’un simple rôle de mise en conformité, il joue également un rôle de management des données ce qui permet à la société de comprendre les enjeux de la protection des données. Ce dernier incarne un véritable rôle de conseil, on pourrait presque parler d’un devoir d’information.

Comme le souligne l’article 38 du Règlement, le délégué à la protection des données doit être « associé, d’une manière appropriée et en temps utile, à toutes les questions relatives à la protection des données à caractère personnel (5) ».

Précisé à l’article 39, ce « chef d’orchestre » aura la charge de l’organisation des différentes missions à mener dans l’accomplissement d’un tel objectifLe DPO n’a pas nécessairement à être membre de l’entreprise, puisqu’elle peut être liée avec lui sur la base d’un contrat de service. Il est soumis au secret professionnel ou à une obligation de confidentialité.

Le DPO devra jouer le rôle d’un coordinateur, à savoir comprendre et cerner les nouvelles obligations prévues par le texte, et guider le responsable du traitement en fonction.

Ceci étant, le délégué n’endosse pas la responsabilité d’une éventuelle non-conformité du traitant ou sous-traitant des données aux dispositions du Règlement?; il est fortement conseillé pour lui néanmoins de garder les traces de son travail par une documentation précise (notamment dans les cas où l’entreprise n’aurait pas suivi ses recommandations).

B) Les détails du processus de transition pour les entreprises

Une fois le DPO désigné, l’entreprise devra alors engager un processus de transition en trois étapes.

La première consiste à lister de manière précise et concise l’intégralité des données traitées, ainsi que les acteurs de ce traitement.

Pour ce faire, la tenue d’un registre des traitements peut être une solution : l’entreprise y consignera toutes les informations relatives aux traitements et aux traitants, à savoir la nature des données, leur provenance ou encore la manière dont elles sont traitées.

Cependant les registres de traitement sont allégés pour les entreprises de moins de 250 salariés.

Pour rappel, l’obligation de tenir un registre des traitements concerne tous les organismes, publics comme privés, et quelle que soit leur taille, dès lors qu’ils traitent des données personnelles.

Par la suite, il conviendra de prendre les mesures nécessaires pour garantir un traitement respectueux des nouvelles dispositions. Dans un premier temps, il conviendra de s’assurer que ces traitements s’appuient sur des bases légales toujours en vigueur et qu’ils respectent les droits des utilisateurs.

Dans un second temps, il s’agira de procéder à une vérification des mesures de sécurité déployées puis de s’assurer qu’ils respectent les principes liés à la transparence prévus par le texte.

À ce titre, une analyse d’impact sur la protection des données peut s’avérer pertinente : en effet ce type d’étude permet d’évaluer précisément les conséquences du traitement en vigueur dans l’entreprise sur la protection des données et le respect des droits des usagers.

Enfin, la dernière étape consistera pour l’entreprise en une consignation par écrit d’une documentation prouvant la conformité de l’entreprise à la nouvelle réglementation. Il s’agit du processus d’accountability qui se réalise au fur et à mesure de l’exécution des précédentes consignes. Ce processus permet de dresser l’état d’avancement de la mise en conformité en interne, de s’organiser plus facilement et d’assurer un respect en continu de la protection des données traitées.

L’accountability est une démarche permanente qui permet de prouver que le respect des règles fixées par le RGPD.

Pour lire une version plus complète sur la RGDP, cliquez

Sources :

(1) https://www.cnil.fr/fr/reglement-europeen-sur-la-protection-des-donnees-ce-qui-change-pour-les-professionnels
(2) http://www.ladn.eu/nouveaux-usages/etude-marketing/rgpd-entreprises-retard-lapplication-reglementation/
(3) Idem
(4)http://curia.europa.eu/juris/document/document.jsf;jsessionid=9ea7d0f130d531e9daf43fa64f7b82f3a43da182cc55.e34KaxiLc3eQc40LaxqMbN4PaNiMe0?text=&docid=152065&pageIndex=0&doclang=fr&mode=lst&dir=&occ=first&part=1&cid=500062
(5) https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre4#Article37
(6) https://www.cnil.fr/fr/designer-un-pilote
(7) https://www.cnil.fr/fr/principes-cles/reglement-europeen-se-preparer-en-6-etapes
Décision CNIL 21 janvier 2019
https://www.cnil.fr/sites/default/files/atoms/files/san-2019-001_21-01-2019.pdf
Décision Conseil d’Etat, 19 juin 2020, n° 430810
https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/430810
Décision CNIL, 28 mai 2019, SAN-2019-005
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038552658/
Décision CNIL, 13 juin 2019, SAN-2019-006
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000038629823/
Décision CNIL, 7 décembre 2020, SAN-2020-014
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000042675720

COMMENT IDENTIFIER L’AUTEUR D’UN COMPTE FACEBOOK DIFFAMANT ?

En publiant des messages sur les réseaux sociaux, le titulaire d’un compte est par principe responsable du contenu publié, il est directeur de publication au sens de la loi de la presse. Cette qualification est déterminante : le titulaire d’un compte répondra comme auteur principal de tout ce qui est publié sur le compte.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Cependant, il est parfois difficile de déterminer qui est le titulaire du compte, qui est l’auteur des propos potentiellement répréhensibles.

Un de ses habitants est titulaire d’une page Facebook consacrée à cette ville. Il lui est reproché, en qualité de directeur de la publication, d’avoir diffusé des propos diffamatoires à l’encontre du maire. Or, il conteste avoir cette qualité.

Néanmoins, suite à une ordonnance sur requête, la société Facebook Ireland Limited a communiqué les données de création du compte, dont un numéro de téléphone vérifié qui correspond bien au titulaire du compte.

Pour valider la création d’un compte, il faut confirmer le numéro de mobile par un chiffre envoyé par SMS. Pour s’opposer à ces éléments, il prétend, sans le prouver, que quelqu’un lui aurait emprunté à son insu son portable pour effectuer cette opération.

Le tribunal a rejeté cet argument au motif suivant : « il résulte de ces éléments, qu’il est établi que M. Y. est à l’origine de la création de la page Facebook et à ce titre dispose de tous les éléments utiles à sa gestion et notamment les publications qui y figurent. Par conséquent, il y a lieu de le considérer comme directeur de publication ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez-nous au : 01 43 37 75 63

ou contactez-nous en cliquant sur le lien


La diffamation étant établie, il est condamné, en sa qualité de directeur de la publication, à payer une amende de 500 €. Il est par ailleurs tenu de retirer le post litigieux sous astreinte de 1 000 € et de publier le dispositif du jugement pendant trois mois.

Il doit de plus verser au maire de la ville 1 000 € de dommages-intérêts au titre du préjudice moral et 1 500 € au titre des frais engagés pour se défendre (TJ Fontainebleau, 6 déc. 2021, M. X. c./ M. Y., Legalis).

I. La création de la page Facebook

A. Directeur de publication

Rappelons la teneur de l’article 93-2 :

« Tout service de communication au public par voie électronique est tenu d’avoir un directeur de la publication.

Lorsque le directeur de la publication jouit de l’immunité parlementaire dans les conditions prévues par l’article 26 de la Constitution et par les articles 9 et 10 du protocole du 8 avril 1965 sur les privilèges et immunités des communautés européennes, il désigne un codirecteur de la publication choisi parmi les personnes ne bénéficiant pas de l’immunité parlementaire et, lorsque le service de communication est assuré par une personne morale, parmi les membres de l’association, du conseil d’administration, du directoire ou les gérants, suivant la forme de ladite personne morale.

Le codirecteur de la publication doit être nommé dans le délai d’un mois à compter de la date à partir de laquelle le directeur de la publication bénéficie de l’immunité mentionnée à l’alinéa précédent.

Le directeur et, éventuellement, le codirecteur de la publication doivent être majeurs, avoir la jouissance de leurs droits civils et n’être privés de leurs droits civiques par aucune condamnation judiciaire. Par dérogation, un mineur âgé de seize ans révolus peut être nommé directeur ou codirecteur de la publication réalisée bénévolement. La responsabilité des parents d’un mineur âgé de seize ans révolus nommé directeur ou codirecteur de publication ne peut être engagée, sur le fondement de l’article 1242 du Code civil, que si celui-ci a commis un fait de nature à engager sa propre responsabilité civile dans les conditions prévues par la loi du 29 juillet 1881 sur la liberté de la presse.

Toutes les obligations légales imposées au directeur de la publication sont applicables au codirecteur de la publication.

Lorsque le service est fourni par une personne morale, le directeur de la publication est le président du directoire ou du conseil d’administration, le gérant ou le représentant légal, suivant la forme de la personne morale.

Lorsque le service est fourni par une personne physique, le directeur de la publication est cette personne physique » (L. no 82-652, 29 juill. 1982, JO 30 juill., art. 93.2).

Quant à l’article 93-3 qui organise la « cascade », dans sa rédaction actuelle, il se présente ainsi :

« Au cas où l’une des infractions prévues par le chapitre IV de la loi du 29 juillet 1881 sur la liberté de la presse est commise par un moyen de communication au public par voie électronique, le directeur de la publication ou, dans le cas prévu au deuxième alinéa de l’article 93-2 de la présente loi, le codirecteur de la publication sera poursuivi comme auteur principal, lorsque le message incriminé a fait l’objet d’une fixation préalable à sa communication au public.

À défaut, l’auteur, et à défaut de l’auteur, le producteur sera poursuivi comme auteur principal. Lorsque le directeur ou le codirecteur de la publication sera mis en cause, l’auteur sera poursuivi comme complice.

Pourra également être poursuivi comme complice toute personne à laquelle l’article 121-7 du Code pénal sera applicable.

Lorsque l’infraction résulte du contenu d’un message adressé par un internaute à un service de communication au public en ligne et mis par ce service à la disposition du public dans un espace de contributions personnelles identifié comme tel, le directeur ou le codirecteur de publication ne peut pas voir sa responsabilité pénale engagée comme auteur principal s’il est établi qu’il n’avait pas effectivement connaissance du message avant sa mise en ligne ou si, dès le moment où il en a eu connaissance, il a agi promptement pour retirer ce message ».

B. Mise en œuvre

Plusieurs « acteurs » sont donc concernés par les textes cités.

1º) Le directeur de publication, comme en droit de la presse traditionnel, est le responsable de premier rang.

La jurisprudence en donne de bien simples illustrations. C’est par exemple la Cour de Montpellier jugeant qu’un directeur de publication ou un administrateur de blog peut voir sa responsabilité pénale recherchée dès lors que, tenu à un devoir de vérification et de surveillance, il se doit de contrôler les articles publiés sur son site et qu’il peut les filtrer et les retirer du site s’il estime qu’ils sont susceptibles de tomber sous le coup de la loi pénale (CA Montpellier, 3e ch. corr., 23 nov. 2015, Juris-Data no 2015-031812).

Ou celle de Paris qui, rappelant que « les imputations diffamatoires sont réputées, de droit, faites avec intention de nuire, mais (qu’) elles peuvent être justifiées lorsque leur auteur établit sa bonne foi », condamne, comme tel, le directeur de publication d’un site internet (appartenant au demeurant à un organe de presse connu) pour des affirmations figurant sur ledit site (CA Paris, pôle 2, 7e ch., 26 mai 2021, no 20/01994, LexisNexis).

A même été considéré comme directeur de publication le propriétaire d’un téléphone portable utilisé pour créer un compte Facebook à partir duquel était diffusé des propos diffamatoires à l’encontre du maire d’une commune (TJ Fontainebleau, ch. corr., 3 janv. 2022, <legalis.net>).

On ajoutera que ce directeur ne doit pas être un directeur fantoche et qu’il faut chercher la réalité derrière l’apparence. L’article 6 VI 2 de la loi no 82-652 du 29 juillet 1982 prévoit d’ailleurs qu’« est puni d’un an d’emprisonnement et de 75 000 € d’amende le fait, pour une personne physique ou le dirigeant de droit ou de fait d’une personne morale exerçant l’activité définie au III. de ne pas avoir respecté les prescriptions de ce même article », les personnes morales pouvant également faire l’objet de sanctions pénales.

C’est donc sans surprise que, dans une affaire intéressant le site d’une association tournée vers des discours racistes et de haine, la Cour de cassation a rejeté le pourvoi contre l’arrêt qui avait condamné à une peine de trois mois de prison avec sursis et de 5 000 € d’amende le président de l’association en cause (Cass. crim., 22 janv. 2019, RLDI 2019/157 no 5363, Juris-Data no 2019-000642 ; et l’article Legris-Dupeux C., Soral directeur du site Egalité et Réconciliation : suite et fin de la saga judiciaire, RLDI 2019/159, no 5390).

Celui-ci n’avait rien trouvé de mieux que de désigner comme directeur et directeur adjoint de la publication du site, deux délinquants « non seulement incarcérés, mais [dont] l’enquête [avait] permis d’établir qu’ils n’étaient pas en contact avec l’extérieur de la maison centrale où ils purgent leur peine, n’ayant pas accès à internet et ne recevant pas ou plus de visites depuis longtemps » (pour reprendre les motifs de l’arrêt d’appel) !

Le fait est que, si à la qualité de directeur de publication répond à un statut propre, la détermination de qui est directeur est pour une large part factuelle.

2º) L’auteur vient ensuite.

A cet égard, un arrêt de la Cour de cassation de janvier 2020 insiste sur le pouvoir d’appréciation des juges du fond qui peuvent relaxer le directeur de publication et sanctionner « l’auteur » au sens du texte (Cass. crim., 7 janv.r 2020, Juris-Data no 2020-000154) :

« L’arrêt, après avoir rappelé que l’article 93-3 de la loi du 29 juillet 1982 sur la communication audiovisuelle dispose que le directeur de la publication sera poursuivi comme auteur principal lorsque le message incriminé a fait l’objet d’une fixation préalable à sa communication au public et, qu’à défaut, l’auteur des propos sera poursuivi comme auteur principal, énonce que le directeur de la publication a été relaxé, de sorte que le tribunal a pu condamner en qualité d’auteur principal de l’infraction de diffamation M. B., initialement poursuivi comme complice en qualité d’auteur dudit message ;

Attendu qu’en se déterminant ainsi, et dès lors que, d’une part, la juridiction correctionnelle a le pouvoir d’apprécier le mode de participation du prévenu aux faits spécifiés et qualifiés dans l’acte de poursuite, les restrictions que la loi sur la presse impose aux pouvoirs de cette juridiction étant relatives uniquement à la qualification du fait incriminé, d’autre part, l’auteur du propos poursuivi, non pas comme complice de droit commun au sens de l’alinéa 4 de l’article 93- 3 précité et des articles 121-6 et 121-7 du Code pénal, mais en qualité de complice au sens de l’alinéa 3 du premier de ces articles, aux côtés du directeur de la publication poursuivi en qualité d’auteur principal, est, en cas de relaxe de ce dernier, susceptible d’être condamné en qualité d’auteur principal de l’infraction, la cour d’appel a fait une exacte application des textes susvisés ».

II. Diffamation

A. Élément matériel

La diffamation exige la réunion de quatre éléments : une allégation ou une imputation ; un fait déterminé ; une atteinte à l’honneur ou à la considération ; une personne ou un corps identifié ; la publicité.

l’allégation consiste à reprendre, répéter ou reproduire des propos ou des écrits attribués à un tiers contenant des imputations diffamatoires ; l’imputation s’entend de l’affirmation personnelle d’un fait dont son auteur endosse la responsabilité ;

l’imputation ou l’allégation doit porter sur un fait déterminé, susceptible de preuve ;

l’atteinte à l’honneur consiste à toucher à l’intimité d’une personne, en lui imputant des manquements à la probité ou un comportement moralement inadmissible ; l’atteinte à la considération consiste à troubler sa position sociale ou professionnelle, attenter à l’idée que les autres ont pu s’en faire ;

la diffamation doit viser une personne ou un corps non expressément nommés, mais dont l’identification est rendue possible par les termes des discours ou écrits ;

la publicité résulte de l’utilisation de l’un des moyens énoncés par l’article 23 ; elle suppose une diffusion dans des lieux ou réunions publics.

B. Élément moral et sanction

Il consiste en l’intention de porter atteinte à l’honneur ou à la considération de la personne ou du corps diffamé et il est classiquement présumé.

Diffamation envers les corps ou personnes désignés par les articles 30 et 31 : amende de 45 000 €.

Diffamation envers les particuliers : amende de 12 000 € (un an d’emprisonnement et 45 000 € d’amende si la diffamation a un caractère racial, ethnique ou religieux, ou a été commise à raison du sexe, de l’orientation sexuelle, de l’identité de genre ou du handicap, le tribunal pouvant ordonner l’affichage ou la diffusion de la décision et la peine de stage de citoyenneté).

Diffamation non publique : amende de 38 € (750 € si elle est raciste ou discriminatoire).

Pour lire une version plus complète de cet article  sur comment trouver l’auteur d’un article diffamant sur Facebook , cliquez

Sources :

https://www.legifrance.gouv.fr/juri/id/JURITEXT000030381677
https://www.legifrance.gouv.fr/juri/id/JURITEXT000042372058?init=true&page=1&query=19-82.124&searchField=ALL&tab_selection=all
https://www.legifrance.gouv.fr/juri/id/JURITEXT000039307169?init=true&page=1&query=17-86.605&searchField=ALL&tab_selection=all
https://www.legifrance.gouv.fr/juri/id/JURITEXT000041701611?init=true&page=1&query=18-85.418&searchField=ALL&tab_selection=all
https://www.legifrance.gouv.fr/juri/id/JURITEXT000036930201?init=true&page=1&query=17-82.663+&searchField=ALL&tab_selection=all

Quelle responsabilité pour l’administrateur d’un page Facebook quant aux données personnelles ?

Comme le rappelait le journal Le Monde dans un article du 11 septembre 2017, « un utilisateur de Facebook avec une connaissance moyenne des nouvelles technologies ne sait pas que ses données sont collectées, stockées et exploitées » . Mais quid de la responsabilité des administrateurs de pages Facebook ?

NOUVEAU : Utilisez nos services pour un problèmed de données personelles ou de contrefaçon en passant par le formulaire !

Face à la production croissante des données, il convient donc de réguler le plus strictement possible la collecte, l’exploitation, la réutilisation de celles-ci, d’autant plus quand la pratique se fait à l’insu de l’usager, et notamment au profit de l’administrateur d’une page Facebook.

C’est sur ce dernier point que porte l’affaire Wirtschaftsakademie, du nom de la société au cœur du litige, disposant d’une page Facebook par le biais de laquelle elle propose ses services et démarche de la clientèle sur la base d’outils statistiques mis à disposition par le réseau social.

L’enjeu, ici, est de savoir si le statut de responsable de traitement s’applique dans un tel cas de figure, c’est à dire au regard des données personnelles des « fans » de la page.

La Cour de justice de l’Union européenne (« CJUE »), qui n’a pas encore arrêté sa décision, devra prochainement assumer son rôle de « juge européen de la protection des données ».


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


Il convient donc de se pencher sur la définition du responsable de traitement tel qu’il est débattu ici (I), pour comprendre toute l’importance d’une telle décision au regard de la responsabilité des administrateurs de pages en matière de traitement de données à caractère personnel (II).

I. La définition du responsable de traitement au cœur de l’arrêt Wirtschaftsakademie

Les conclusions dégagées par l’avocat général sont d’autant plus importantes qu’elles réagissent au déroulement de l’affaire (A) en dégageant un principe de coresponsabilité des acteurs en présence (B).

A) Le fond de l’affaire

En l’espèce, il fut reproché au réseau social de collecter certaines données personnelles de ses utilisateurs à l’aide d’un tracker installé sur leur disque dur, sans leur consentement, et de transmettre ces informations à l’administrateur de la page Facebook d’une entreprise professionnelle.

Facebook Insight constitue en effet l’un de ces outils mis à disposition des responsables de pages Facebook, leur permettant d’obtenir certaines statistiques liées aux « fans » consultant leur page.

Ce sont ces motifs qui, de fait, poussèrent les autorités allemandes à ordonner la fermeture de la page en question.

Par suite, la société Wirtschaftsakademie forme alors une première réclamation, contestant de cette fermeture et de son statut de « responsable » du traitement et de la réutilisation de ces données  ; mais l’ULD rejette celle-ci par décision du 16 décembre 2011.

Après plusieurs renvois, la Cour administrative fédérale décide alors de surseoir à statuer et de poser à la Cour de justice de l’Union européenne des questions quant au partage de responsabilité litigieux.

À l’heure actuelle, seul l’avocat général s’est prononcé sur la question, le 24 octobre dernier, soutenant effectivement que « L’administrateur d’une page fan d’un réseau social tel que Facebook doit être considéré comme étant responsable » .

B) La reconnaissance d’une coresponsabilité

Sans lier les juges pour autant, l’avocat général souligne que l’affaire fait état d’un régime de coresponsabilité.

À cet égard, il rappelle notamment que l’entreprise est libre du choix d’utiliser ou non les outils statistiques que constituent Facebook insights et autres cookies. Dès lors, en bénéficiant délibérément du tracker, l’entreprise aurait « pris part à la détermination des finalités et des modalités du traitement des données à caractère personnel des visiteurs de sa page ».

De plus, l’avocat général soutient que l’entreprise dispose d’une certaine autonomie dans la gestion du tracker, pouvant filtrer les données à collecter ainsi que les personnes visées par la collecte collecte.

Autrement dit, le régime de coresponsabilité soulevé ici découle de cette volonté d’exploiter le logiciel litigieux : quand « l’une veut aiguiser son audience et son modèle d’affaires, l’autre veut gonfler ses publicités ciblées » .

C’est précisément sur ce point que les conclusions insistent, en indiquant que la responsabilité quant au traitement des données et l’usage qui peut en être fait tiens les deux parties en cause, qui « poursuivent chacune des finalités étroitement liées » .

D’ailleurs, l’avocat général soutient expressément qu’un contrôle total des données par le responsable du traitement n’est pas un critère nécessairement pertinent, car « susceptible d’entraîner de sérieuses lacunes en matière de protection des données à caractère personnel ».

 

II. Une décision importante au regard des textes applicables

Les conclusions apportées ici font état d’un régime de responsabilité « élargie » (A), en attendant l’établissement d’un cadre précis et définitif (B)

A) L’établissement d’une responsabilité large

Tant le contexte de cette affaire, son déroulement, mais aussi les conclusions de l’avocat général questionnent la définition propre au responsable de traitement.

La directive de 95/46, texte sur lequel s’appuient les différentes instances, affirme en son article 2 qu’un responsable de traitement est la « personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données personnelles » .

De cet article découle également le régime de coresponsabilité, tel qu’évoqué un peu plus tôt.

Ceci étant, l’avocat général effectue un parallèle avec la mise en place de « modules sociaux » (comprendre les boutons like, share, tweet, etc.) sur un site qui, de fait, engagerait aussi l’administrateur de la page en tant que responsable de traitement.

Pour rappel, cette tendance fait écho à la sanction infligée à Facebook par le régulateur espagnol des données personnelles, le 11 septembre dernier, pour la collecte de données sensibles des internautes visitant les pages dotées d’un tel module, sans leur consentement et à des fins de ciblage publicitaire.

Dans notre cas, l’avocat ne fait pas expressément référence à cette affaire, mais plutôt à celle encore pendante devant la CJUE dite « Fashion ID » (C-40/17) , qui relate cependant des mêmes faits.

Au regard de ces conclusions, la question qui se pose demeure celle de savoir si, par le biais d’une telle interprétation, la définition du responsable de traitement s’en trouve élargie, voire dénaturée.

B) Un compromis en l’attente d’un cadre définitif

L’intérêt d’une telle interprétation, de l’aveu même de l’avocat général, est d’éviter que l’entreprise puisse s’octroyer les services d’un tiers « pour se soustraire à ses obligations en matière de protection des données à caractère personnel ».

Néanmoins, ce dernier soutient que de l’exigence d’une coresponsabilité ne découle pas un régime de responsabilité égal.

À l’aube de l’entrée en vigueur du Règlement général sur la protection des données (« RGPD »), le 25 mai prochain, ce débat est plus que jamais pertinent. Il impose en effet de redéfinir les contours du responsable de traitement.

Ici, l’avocat général compare la situation à des faits qu’il juge lui-même similaires, se plaçant ainsi en « garde-fou » d’éventuelles dérives, tout en prônant une certaine « lucidité » quand il s’agit de quantifier la responsabilité de chacun des acteurs.

D’aucuns diront qu’une telle manœuvre est bénéfique, somme toute, à l’établissement d’une protection plus efficace des données personnelles  de l’internaute. C’est d’ailleurs, in fine, la volonté du texte à paraître.

D’autres argumenteront, assez ironiquement, « [qu’à force] de repousser les limites, on risque peut-être de voir un jour un arrêt de la Cour déclarant que les utilisateurs d’un réseau social sont eux-mêmes responsables de traitement ».

Quoi qu’il en soi, l’importance d’un tel arrêt est capitale, et la CJUE devrait en ce sens peser ses mots et faire apparaître une tendance claire, afin de clarifier une situation au cœur des enjeux du prochain grand texte européen en la matière.
Cet arrêt va permettre le développement d’une jurisprudence, en effet, dans un arrêt de la CJUE du 29 juillet 2019, portant sur une collecte de données personnelles, la Cour va confirmer le principe de responsabilité conjointe entre le réseau social et le gestionnaire d’un site internet.

En l’espèce, le site du gestionnaire disposait d’un bouton « J’aime » de Facebook, qui transférait les données personnelles de l’utilisateur du site au réseau social, ce traitement des données personnelles n’ayant pas été consenti préalablement par les utilisateurs. Cette pratique assez fréquente permet au gestionnaire du site de percevoir un bénéfice, vu que son site sera valorisé sur le réseau social, créant de la publicité pour ses produits ou services.

Dans sa décision, la CJUE retient comme dans l’arrêt Wirtschaftsakademie, une responsabilité conjointe du gestionnaire du site internet, malgré l’absence d’influence de ce dernier dans le traitement des données transmises au réseau social. Pour la CJUE toute personne qui perçoit un bénéfice de ce traitement des données personnelles peut être qualifiée de responsable de traitement des données personnelles et donc engager sa responsabilité.

Or, le gestionnaire du site était bien un bénéficiaire de ce traitement des données personnelles, de par la publicité obtenue en retour du transfert des données personnelles, il y a un avantage économique. Ainsi, comme le prévoit l’article 26 du RGPD, le gestionnaire du site engage sa responsabilité in solidum avec le réseau social.

Pour lire un article plus complet, cliquez sur responsable des bases de données sur Facebook

SOURCES :

(1)    http://www.lemonde.fr/pixels/article/2017/09/11/donnees-personnelles-facebook-condamne-en-espagne_5184060_4408996.html
(2)    http://curia.europa.eu/juris/document/document.jsf?docid=195902&doclang=FR
(3)    https://www.gesetze-im-internet.de/bdsg_1990/__11.html
(4)    https://www.nextinpact.com/news/105475-donnees-personnelles-responsabilite-dune-societe-face-a-sa-page-fan-sur-facebook.htm
(5)    https://www.lexology.com/library/detail.aspx?g=81f153ba-073b-48b5-9ba7-63588c0d5497
(6)    http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A31995L0046
(7)    https://www.doctrine.fr/d/CJUE/2017/CJUE62017CN0040
(8)    https://francoischarlet.ch/2017/administrateur-page-facebook-coresponsable-traitement/

Protéger sa E.-réputation sur internet

 » Nul ne sera l’objet d’immixtion arbitraire dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d’atteinte à son honneur et à sa réputation. « 
(Art. 12 de la DUDH)
L’E.-réputation représente l’identité d’une personne ou d’une entreprise sur Internet. Toutes les informations disponibles sur Internet vous concernant forgent cette réputation. La responsabilisation des internautes est essentielle face à l’augmentation exponentielle des données personnelles ainsi exposées sur la toile.

NOUVEAU : Utilisez nos services pour faire retirer un contenu dénigrant ou de contrefaçon en passant par le formulaire !

Dès les années 1990, l’E.-réputation est définie (digital social life) comme la vie parallèle créée grâce aux nouvelles technologies.
Très rapidement l’importance de la vie online et des ses conséquences aussi bien pour les individus que pour les entreprises ou encore partis politiques, devient une préoccupation majeure.

En effet, de nombreux problèmes peuvent apparaître lorsque des informations personnelles online sont utilisées à des fins négatives, pour porter atteinte à la réputation.

Malgré ces éventuelles dérives, il n’existe toujours pas de  » droit de l’e-réputation  » à proprement parler.
Un ensemble de règles préexistantes et générales encadrent la vie virtuelle des internautes.

Face à une multiplication des plaintes en matière d’E.-réputation, les autorités publiques souhaitent aujourd’hui pallier aux écueils existants et faire de l’univers du numérique un espace de droits et de libertés.


Besoin de l’aide d’un avocat pour un problème de contrefaçon ?

Téléphonez nous au : 01 43 37 75 63

ou contactez nous en cliquant sur le lien


I. L’e-réputation et le droit

Tout un panel de droit a vocation à s’appliquer pour protéger l’E.-réputation.
Mais ces transpositions du droit général à Internet ne sont pas pleinement efficaces face aux innovations permanentes des acteurs d’internet.

Le principe général est que  » toute personne a le droit d’exiger des autres le respect de sa propre dignité, de sa réputation « .

Les atteintes à l’E.-réputation sont nombreuses, les plus courantes sont l’usurpation d’identité, le dénigrement, l’injure et la diffamation.

A) E-réputation et vie privée

Certaines personnes malintentionnées attaquent la réputation des internautes en divulguant des informations concernant leur vie privée.
Il est possible de faire cesser ces atteintes sur le fondement de l’article 9 du code civil qui consacre le droit au respect de sa vie privée.
Toute publication sans consentement préalable concernant la vie sentimentale, la santé ou encore l’image d’une personne est une violation de la vie privée de la personne concernée.
La  » revenge porn  » est l’exemple type et très actuel des atteintes à la vie privée sur Internet. Si cette pratique est bien connue des États-Unis, la première affaire française n’a été jugée qu’en 2014. L’individu en question a été condamné à 12 mois de prison avec sursis.

La ” revenge porn ” est l’exemple type et très actuel des atteintes à la vie privée sur Internet. Depuis la loi du 7 octobre 2016, le revenge porn est sanctionné à l’article 226-2-1 du Code pénal « Est puni des mêmes peines le fait, en l’absence d’accord de la personne pour la diffusion, de porter à la connaissance du public ou d’un tiers tout enregistrement ou tout document portant sur des paroles ou des images présentant un caractère sexuel, obtenu, avec le consentement exprès ou présumé de la personne ou par elle-même, à l’aide de l’un des actes prévus à l’article 226-1. ».

Cette loi est venue mettre fin à la jurisprudence du 16 mars 2016 qui avait conclu que le revenge porn n’était pas un délit. Ainsi, cette pratique est aujourd’hui sanctionnée par une peine d’emprisonnement de 2 ans et une amende de 60 000 euros.Une décision du TGI de Bobigny du 20 novembre 2018 avait également retenu que le revenge porn était une atteinte à la vie privée.

Dans un arrêt du 27 janvier 2016, la Cour d’appel de Paris est venue sanctionner le dénigrement du concurrent sur internet.
Récemment, le 23 septembre 2020, le tribunal judiciaire de Marseille a condamné pour diffamation une patiente d’une dentiste qui avait laissé un avis remettant en cause les compétences de la professionnelle, clairement identifiée. Le tribunal a caractérisé une atteinte à l’honneur de par cette diffamation.

Une limite est cependant admise au respect de la vie privée, il s’agit de l’information d’actualité.
En effet, le droit à l’information du public, pendant de la liberté d’expression, prévaut communément sur la protection de la vie privée.
Pour le CEDH, la société démocratique est le critère ultime de référence que toute juridiction doit utiliser lors de conflits relatifs à la liberté d’expression.
 » La presse joue un rôle indispensable de chien de garde  »

Ainsi, dès lors qu’une image illustre un fait d’actualité de façon pertinente, aucune autorisation n’est requise pour diffuser une telle image.
Toutefois,  » la liberté consiste à pouvoir faire tout ce qui ne nuit pas à autrui  » et il est donc possible que le droit à l’information soit limité.
La triste célèbre affaire Erignac illustre les frontières à ne pas franchir au nom de la liberté. La photo de son corps décédé avait été publiée comme illustration au slogan  » La République assassinée « . Les juges avaient considéré que l’atteinte à la vie privée de la famille du préfet l’emportait sur la liberté d’expression.

Cette affaire démontre bien toute la difficulté d’une protection de la réputation virtuelle qui doit satisfaire l’équilibre entre deux droits fondamentaux le droit au respect de la vie privée et le droit à la liberté d’expression.

B) E-réputation, injures et diffamation

Toute expression outrageante, termes de mépris ou invective, qui ne renferme l’imputation d’aucuns faits (injure) ou toute allégation ou imputation d’un fait qui porte atteinte à l’honneur ou à la considération de la personne (diffamation) peut faire l’objet d’un recours.

La personne physique victime de tels faits a 3 mois à compter de la publication pour demander la cessation du trouble.

Ces actions en justice sont sanctionnées comme des abus de liberté d’expression.

De plus, la loi du 6 janvier 1978, loi Informatique et libertés, permet à toute personne dont les données personnelles font l’objet d’un traitement d’exiger du responsable qu’elles soient mises à jour ou effacées lorsque ces dernières sont  » périmées « .
Dès lors, cette notion d’obsolescence des données peut permettre de justifier un droit à l’oubli et au déréférencement.
Certaines personnes, habilitées par la loi de 1978, échappent à cette obligation. Il s’agit des personnes traitant des données relatives aux infractions, condamnations et mesures de sûretés.
La CNIL a néanmoins limité ce droit pour les décisions juridiques puisque les personnes les publiant doivent anonymiser les personnes physiques citées dans les décisions.

C) E-réputation, droit à l’oubli et émergence d’une personnalité numérique

Les atteintes à la réputation et à l’image des personnes sur Internet se multiplient de manière considérable sans qu’aucune amélioration ne soit faite quant à leur traitement juridique, pourtant très contesté aujourd’hui.

L’association du droit de l’informatique et de la télécommunication revendique depuis quelques années une amélioration de la protection de la personne sur Internet.
De nombreux spécialistes (universitaires, avocats, membres de la CNIL) partagent leurs points de vue sur les problématiques liées à l’e-réputation.
Tous s’accordent sur le fait que l’état du droit actuel est inadapté aux nouveaux enjeux d’Internet.
Certains évoquent la nécessité de créer une réelle personnalité numérique avec une protection et des recours particuliers.

Pour l’heure, depuis l’arrêt Costeja du 13 mai 2014 les données personnelles au regard des traitements opérés par les moteurs de recherche en Europe font l’objet d’un droit de déréférencement. Le droit au déréférencement, soumis à des conditions, est enfin consacré.

Accompagné aujourd’hui par le RGPD qui consacre en son article 17 une obligation de traitement d’effacer certaines données à caractère personnel, fixant les limites du droit à l’oubli.
Cette jurisprudence a obligé les moteurs de recherche français à gérer les questions d’atteinte à la réputation et à faire primer le respect de la vie privée sur le libre référencement et la liberté d’expression.
Un formulaire de déréférencement doit être mis en ligne pour permettre les réclamations.

Un droit à l’oubli est également envisageable lorsque les résultats concernant des particuliers sont ” obsolètes, inexacts ou excessifs “.
Cette appréciation est laissée aux moteurs de recherche.
Ce pouvoir d’arbitrage laissé aux entreprises privées, comme Google, pose un problème de sécurité juridique même si des recours sont prévus en cas de refus.
En effet, ces entreprises auront le rôle de juger et de trancher entre les droits privés d’une personne et la liberté d’expression.

Or, la réponse de Google à la CNIL, après avoir été mis en demeure d’appliquer le droit à l’oubli à l’ensemble des versions de son moteur de recherche, révèle une volonté très forte de faire primer la liberté de référencement sur la vie privée.

” Il existe d’innombrables cas dans lesquels ce qui est illégal dans un pays ne l’est pas dans un autre. Cette approche représente un nivellement par le bas : au final, Internet serait seulement aussi libre que l’endroit le moins libre du monde. ” (réponse Google du 30 juillet 2015). Toutefois lors de la délibération du 10 mars 2016, la CNIL a sanctionné Google à une amende de 100 000 euros.

De plus, dans 13 décisions du 6 décembre 2019, le Conseil d’État est venu fixer les conditions du déréférencement sur internet, que Google se devait de respecter, afin d’être conforme à l’obligation du RGPD.

II. La gestion individuelle de l’e-réputation

Malgré de récentes avancées en matière de protection sur Internet, il est primordial que les internautes ne se déresponsabilisent pas.
Le déréférencement permet bien de supprimer certaines pages indexées, mais les images ou les textes restent sur Internet. L’effacement pur et simple est illusoire.

Dès lors, chaque individu doit rester vigilant et responsable de ce qu’il choisit de publier sur Internet.

Savoir gérer sa E.-réputation en amont permettrait d’éviter des procédures juridiques longues et coûteuses.
Il est irréaliste de penser possible le contrôle absolu de sa réputation virtuelle, néanmoins certains outils permettent de limiter une exposition trop importante de sa vie privée.

La première chose à faire est de réfléchir à tout ce que l’on publie sur le net (commentaires, photos, vidéos).
Ensuite, penser à utiliser un pseudonyme peut être intéressant étant donné que rien n’est réellement secret et privé sur Internet.
Enfin, vérifier régulièrement les résultats liés à votre nom sur les moteurs de recherche.

Certaines assurances se lancent dans la protection de l’E.-réputation et proposent d’accompagner les particuliers dans la gestion de leur vie virtuelle.
SwissLife e-réputation a été le premier contrat d’assurance e-réputation et propose la défense des droits des internautes en cas d’atteinte à votre vie privée, mais, met également à disposition des spécialistes du nettoyage d’information sur le WEB.

Aujourd’hui de nombreux contrats d’assurance e-réputation existent.

SOURCES
http://ereputation.paris.fr/
http://www.cnil.fr/fileadmin/documents/Vos_libertes/Droit_au_dereferencement-Interpretation-Arret.pdf
http://www.lefigaro.fr/secteur/high-tech/2014/09/25/32001-20140925ARTFIG00004-j-ai-teste-mon-droit-a-l-oubli-sur-google.php
https://www.cnil.fr/fr/reglement-europeen-protection-donnees
LOI n° 2016-1321 du 7 octobre 2016 pour une République numérique
https://www.legifrance.gouv.fr/loda/id/JORFTEXT000033202746/
Article 226-2-1 du code pénal
https://www.legifrance.gouv.fr/codes/id/LEGIARTI000042193566/2020-08-01#:~:text=Article%20226%2D2%2D1,-Cr%C3%A9ation%20LOI%20n&text=Lorsque%20les%20d%C3%A9lits%20pr%C3%A9vus%20aux,60%20000%20%E2%82%AC%20d’amende.
Crim. 16 mars 2016, 15-82.676
https://www.legifrance.gouv.fr/juri/id/JURITEXT000032263441/
TGI de Bobigny, ch.5/sec.3, jugement contentieux du 20 novembre 2018
https://www.legalis.net/jurisprudences/tgi-de-bobigny-ch-5sec-3-jugement-contentieux-du-20-novembre-2018/
Cour d’appel de Paris, Pôle 5, 27 janvier 2016, n° 2013/10 846
Tribunal judiciaire de Marseille, ordonnance de référé du 23 septembre 2020
https://www.legalis.net/jurisprudences/tribunal-judiciaire-de-marseille-ordonnance-de-refere-du-23-septembre-2020/
Délibération CNIL 2016-054 du 10 mars 2016
https://www.legifrance.gouv.fr/cnil/id/CNILTEXT000032291946/
Les 13 décisions du 9 décembre 2019
https://www.conseil-etat.fr/actualites/actualites/droit-a-l-oubli-le-conseil-d-etat-donne-le-mode-d-emploi