Archives par mot-clé : CJUE

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Publié le par

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème.

Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ?

Vérifier l’âge : pas de procédé fiable (PEReN)
Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs.
A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4).
Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE).
Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Vie privée : ne pas enfreindre le RGPD
Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021).

Double anonymat préconisé par la Cnil
Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique.
A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs.
Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) :
• Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ;
• L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ;
• Le déclaratif se basant uniquement sur les déclarations des internautes.
Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ».
Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier

L’article 17 de la directive « Copyright » validé, le filtrage des contenus sur Internet peut commencer

Publié le par

La Cour de justice européenne (CJUE) a validé le 26 avril 2022 l’article 17 de la directive « Droit d’auteur et droits voisins dans le marché unique numérique ». Le filtrage des contenus mis en ligne soulève des questions. La liberté d’expression et d’information risque d’être la victime collatérale.

En France, aussitôt après que la Cour de justice de l’Union européenne (CJUE) ait – dans un arrêt du 26 avril 2022 – validé le controversé article 17 sur le filtrage des contenus mis en ligne sur Internet, au nom de la lutte contre le piratage, l’Arcom a publié deux questionnaires pour l’ « évaluation du niveau d’efficacité des mesures de protection des œuvres et des objets protégés » par le droit d’auteur et les droits voisins. L’un s’adresse aux fournisseurs de services de partage de contenus (de YouTube à TikTok en passant par Facebook et Twitter). L’autre s’adresse aux titulaires de droits (de l’audiovisuel à la musique en passant par la radio, les podcasts, la presse écrite, les photos, les illustrations, les livres ou encore les jeux vidéo). Ils ont tous jusqu’au 20 juin 2022 pour y répondre (1).

Blocage de Russia Today et Sputnik en Europe et en France : rappel des fondements, avant débat au fond

Publié le par
RT et Sputnik ne diffusent plus en Europe depuis la décision et le règlement « PESC » du 1er mars. Saisi par RT France d’un recours en annulation de ces actes mais aussi d’un référé pour en suspendre l’exécution, le Tribunal de l’UE a rejeté le 30 mars ce référé. Retour sur ce blocage inédit. Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats Le 8 mars 2022, soit une semaine après la décision (1) du Conseil de l’Union européenne (UE), RT France avait déposé un recours en annulation de cette décision relevant de la politique étrangère et de sécurité commune (PESC) de l’UE et du règlement afférent (2), auprès du Tribunal de l’UE. La filiale de Russia Today a également déposé une demande en référé pour obtenir le sursis à l’exécution de ces derniers. Cette dernière demande a été refusée le 30 mars par le président du Tribunal, en raison de l’absence de caractère urgent. La procédure au fond est accélérée Selon l’ordonnance de rejet, RT France n’a pas suffisamment démontré l’existence d’un« préjudice grave et irréparable » (3). Le média russe avait fait état d’un préjudice économique et financier, d’une grave atteinte à sa réputation, et plus largement « d’une entrave totale et durable à l’activité d’un service d’information et [le fait] que de tels actes seraient irrémédiables et particulièrement graves au sein de sociétés démocratiques » (4). Quant au recours en annulation des deux actes (non législatifs), il suit son cours. Mais le président du Tribunal a précisé que « compte tenu des circonstances exceptionnelles en cause, le juge du fond a décidé de statuer selon une procédure accélérée » et que « dans l’hypothèse où RT France obtiendrait gain de cause par l’annulation des actes attaqués dans la procédure au fond, le préjudice subi (…) pourra faire l’objet d’une réparation ou une compensation ultérieure » (5). RT France pourra faire appel devant la Cour de justice de l’Union européenne (CJUE) contre l’ordonnance rejetant sa demande en référé. D’après le recours publié le 4 avril au JOUE, les bases légales invoquées par RT France reposent exclusivement sur des articles de la Charte des droits fondamentaux de l’UE. La chaîne estime que les droits de la défense, le respect du contradictoire, la liberté d’expression et d’information, la liberté d’entreprise et le principe de non-discrimination ont été méconnus (6). Compte tenu de ces fondements, les débats porteront certainement sur l’indépendance et le rôle des médias dans une société démocratique. Comment en est-on arrivé là ? Dès le 27 février, la présidente de la Commission européenne, Ursula von der Leyen, a annoncé l’interdiction de diffuser les médias russes Russia Today et Sputnik, en raison de l’invasion de l’Ukraine par la Russie. Elle estime en effet que ces médias – contrôlés par le Kremlin – diffusent des messages de propagande continues ciblant les citoyens européens, et menacent ainsi l’ordre et la sécurité de l’UE. Le 1er mars, le Conseil des ministres de l’UE a par conséquent adopté des mesures inédites, ordonnant de suspendre la diffusion et la distribution par tout moyen et sur tous les canaux des contenus provenant de ces médias. Tous les opérateurs concernés ont immédiatement mis en œuvre le 2 mars 2022 ces mesures qui dérogent de manière inédite aux lois et procédures en la matière, notamment françaises. Quels sont les fondements juridiques européens ? Sur la procédure, la décision PESC du 1er mars 2022 se fonde sur l’article 29 du Traité sur l’UE et l’article 215 du Traité sur le fonctionnement de l’UE. Ces deux articles présentent des moyens légaux pour sanctionner financièrement des personnes physiques ou morales, des groupes ou entités non étatiques, dans le cadre de la PESC. Le Conseil de l’UE peut prendre seul des décisions, de manière unanime. Le Parlement, qui est habituellement le colégislateur, en est seulement informé. Par ailleurs, la CJUE est compétente que de manière très limitée lorsque des actes sont adoptés sur cette base. Elle peut notamment être saisie pour contrôler la légalité des décisions prévoyant des mesures restrictives à l’encontre de personnes physiques ou morales (7). Le Conseil de l’UE a recours habituellement à ces dispositions lorsqu’il souhaite stopper des échanges économiques visant à soutenir des groupes armés (8), imposer des restrictions à l’entrée de l’UE ou encore geler les avoirs dans l’UE de personnes étrangères. Bien que le champ de ces actions soit limité, les textes européens offrent par ce biais un pouvoir unilatéral important aux gouvernements – d’où le caractère inédit, l’ampleur et la rapidité des sanctions à l’égard de ces médias russes. Liberté d’expression et des médias Sur les droits fondamentaux protégés par l’UE, fondements de la décision PESC du 1er mars, l’UE justifie son action sur la base de l’article 11 de la Charte des droits fondamentaux de l’UE, relatif à « la liberté d’expression et d’information » (9). Ce texte ainsi que les décisions qui en découlent, à l’instar de la décision PESC contre RT et Sputnik, doivent être mis en œuvre et respectés par l’ensemble des Etats membres. En pratique, l’article 11 de la Charte renvoie à « la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières ». Et l’article 11 d’ajouter : « La liberté des médias et leur pluralisme sont respectés ». Pour autant, l’exercice de ces libertés peut être limité – par des lois – en raison d’objectifs d’intérêt général et s’il est nécessaire de protéger la sécurité nationale, l’intégrité du territoire ou la sûreté publique, entre autres (10). Comme ces limites doivent respecter le principe de proportionnalité, le Conseil de l’UE justifie sa décision PESC par le respect notamment de la liberté d’entreprise, et précise qu’elle ne modifie pas l’obligation de respecter les constitutions des Etats membres. La protection de l’ordre et de la sécurité de l’UE a donc été centrale dans la motivation des Etats membres à adopter ces mesures exceptionnelles. Suspensions et blocages exceptionnels Quelle mise en œuvre par les Etats membres ? L’Arcom (ex-CSA), qui est l’autorité publique française de régulation de la communication audiovisuelle et numérique, s’est immédiatement conformée à ces décisions d’urgence et a résilié le 2 mars sa convention avec RT France – Sputnik, lui, n’étant pas conventionné (11), étant diffusé sur Internet. De la même manière, les fournisseurs d’accès à Internet, les réseaux sociaux et les moteurs de recherche ont immédiatement ou très rapidement bloqué l’accès au site en ligne et aux contenus de ces deux médias. On peut aussi se demander si l’application de cette décision par l’Arcom pourrait faire l’objet d’un recours devant un tribunal administratif français. Le Berec, lui, en tant qu’organisation européenne des régulateurs des télécoms, a par ailleurs précisé par le biais de deux communiqués (12) que ces sanctions sont conformes à la régulation européenne sur l’« Internet ouvert ». La mise en œuvre de ces sanctions européennes est exceptionnelle car elle a été d’application directe et immédiate. En principe, lorsqu’il est question d’interdire la diffusion d’un média étranger sur le territoire français, la loi impose de respecter un certain nombre de conditions. Pour ce qui est de l’interdiction de diffusion et de distribution de RT et de Sputnik en Europe, comme en France, aucune des dispositions légales courantes en la matière n’a été appliquée. Cette décision PESC déroge par conséquent aux modes habituels d’interdiction de diffusion d’un média et de contenus illicites en ligne, et également en matière de blocage de sites Internet. En effet, selon la loi française de 1986 relative à la liberté de communication, la diffusion d’un média en France est en principe libre. Elle est dans certains cas soumise à l’autorisation préalable et à la conclusion d’une convention avec l’Arcom (13). Selon cette même loi et le droit européen (14), un média extra européen peut être rattaché à la compétence d’un Etat membre s’il est transmis principalement par un mode correspondant aux conditions de diffusion satellitaire (notamment par Eutelsat) décrites par les textes, et peut donc être soumis à des droits et obligations en France. Cependant, des raisons impérieuses doivent justifier une limite à l’exercice de cette liberté, notamment la sauvegarde l’ordre public ou la défense nationale (15). En cas de manquement, l’Arcom peut s’adresser – via un courrier de mise en garde – aux opérateurs de réseaux satellitaires et aux services de médias audiovisuels, afin de faire cesser ce manquement. La procédure peut aller ensuite de la mise en demeure de cesser la diffusion du médias audiovisuel (service de télévision notamment) à la saisine du Conseil d’Etat afin qu’il ordonne en référé la cessation de la diffusion de ce média par un opérateur (16). Depuis la loi de 2018 contre la manipulation de l’information, les pouvoirs de l’Arcom ont été étendus et elle peut prononcer la suspension provisoire de la diffusion d’un média et (17), dans certains cas, peut, après mise en demeure, prononcer la sanction de résiliation unilatérale de la convention avec un média extra européen, dès lors qu’il porte atteinte aux intérêts fondamentaux de la nation, notamment par la diffusion de fake news (18). Concernant le blocage des sites Internet en France, en l’occurrence ceux de RT France et de Sputnik, le code pénal et différentes lois, telles que la loi de 2004 pour la confiance dans l’économie numérique (LCEN), prévoient le retrait de contenus illicites, le blocage des sites et leur déférencement (19). Cette loi autorise par exemple l’autorité judiciaire à prescrire toutes mesures propres à prévenir ou à faire cesser un dommage causé par le contenu d’un site web ou un média en ligne (20). Dans des cas plus spécifiques, notamment la provocation à des actes terroristes et l’apologie publique de ces actes, ainsi que la pédopornographie, l’autorité administrative peut demander aux sites web ou autres intermédiaires en ligne de retirer les contenus en question. Concernant le blocage, il est mis en œuvre par les opérateurs télécoms sur la base d’une décision judiciaire ou administrative. Concernant le déréférencement, à savoir demander à un moteur de recherche de supprimer certains résultats de recherche associés à un mot, l’autorité administrative peut également notifier les adresses électroniques des sites en question afin de faire cesser le référencement (21). Faire face au reproche de censure ? La France, en donnant son accord à la décision et au règlement PESC, a certainement considéré l’évidence de son application directe et immédiate, par opposition à la législation française inopérante dans un tel cas d’immédiateté. Le secrétaire d’Etat chargé du numérique, Cédric O, a d’ailleurs énoncé le souhait de revoir les règles de régulation – « y compris en ce qui concerne les médias » – dans les situations de conflits (22). Plusieurs voix au sein de l’UE disent aussi vouloir travailler à un nouveau régime horizontal afin de lutter contre la désinformation, conscientes des difficultés en matière de transparence et de concertation que soulève une telle décision. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle, des marques, des nouvelles technologies

Guerre de l’info : Russia Today et Sputnik contestent la décision de l’Union européenne de les censurer

Publié le par
Par un règlement et une décision, datés du 1er mars et signés par Jean-Yves Le Drian, l’Union européenne a interdit à tout opérateur télécoms, audiovisuel et plateforme numérique de diffuser ou référencer Russia Today (RT) et Sputnik. « Censure » et « atteinte grave à la liberté d’expression » dénoncent ces derniers. « RT France a déposé un recours auprès du Tribunal de l’UE ; nous nous battrons jusqu’au bout pour ce que nous estimons être incontestablement une atteinte grave à la liberté d’expression », a écrit Xenia Fedorova, PDG de la filiale française de Russia Today, dans un tweet daté du 9 mars, soit le lendemain de l’annonce faite par le service de presse de la Cour de justice de l’Union européenne (CJUE) sur ses comptes Twitter concernant cette saisine : « #RussiaToday (France) demande au #TribunalUE d’annuler la décision et le règlement du @EU_Council du 1er mars 2022 concernant les mesures restrictives liées aux actions de la #Russie déstabilisant la situation en #Ukraine (T-125/22) ». L’Europe des Vingt-sept n’y est pas allée de main morte pour interdire deux groupes de médias, Russia Today (RT) et Sputnik. Dans la décision de politique étrangère et de sécurité commune (PESC) du Conseil de l’UE, assortie de son règlement, tous les deux datés du 1er mars 2022 et signés par le Jean-Yves Le Drian (photo), la sentence tombe : « Il est interdit aux opérateurs de diffuser ou de permettre, de faciliter ou de contribuer d’une autre manière à la diffusion de contenus provenant [de RT et Sputnik], y compris par la transmission ou la distribution par tout moyen tel que le câble, le satellite, la télévision sur IP, les fournisseurs de services Internet, les plateformes ou applications, nouvelles ou préexistantes, de partage de vidéos sur l’Internet ». « Actes non législatifs » européens sans précédent Pour justifier sa décision radicale et sans précédent, le Conseil de l’UE affirme qu’« en faussant et en manipulant gravement les faits (…) ces actions de propagande ont été menées par l’intermédiaire d’un certain nombre de médias placés sous le contrôle permanent, direct ou indirect, des dirigeants de la Fédération de Russie » (3) pour laquelle « ces médias sont essentiels et indispensables pour faire progresser et soutenir l’agression contre l’Ukraine et pour la déstabilisation des pays voisins » (4). Les deux « actes non législatifs », que sont cette décision PESC (5) et ce règlement de l’UE (6) quasi identiques, ont été adoptés à l’encontre de RT et de Sputnik sans débat ni vote du Parlement européen. Ils sont contraignants et sont entrés en vigueur dès le 2 mars, jour de leur publication au Journal officiel de l’Union européenne (JOUE). Imposées sur toute l’Europe des Vingt-sept, ces mesures restrictives obligent GAFAM (dont certains ont devancé l’appel), opérateurs télécoms et diffuseurs audiovisuels à suspendre, à déréférencer et à bloquer les médias et sites web édités par, d’une part, les entreprises Russia Today English, Russia Today UK, Russia Today Germany, Russia Today France, Russia Today Spanish, ainsi que, d’autre part, Sputnik (ex-RIA Novosti), issue de la réorganisation de l’agence de presse russe Rossia Segodnia (Rossiya Segodnya). Xenia Fedorova (RT France) s’insurge Le ministre français de l’Europe et des Affaires étrangères en est le signataire car – la France présidant durant tout le premier semestre de cette année le Conseil de l’UE – ces deux « actes non législatifs » relèvent des affaires étrangères et de la politique de sécurité des Vingtsept. La réunion des ministres des Affaires étrangères de l’UE était donc présidée ce jour-là par Jean-Yves Le Drian. Mais c’est l’Espagnol Josep Borrell – vice-président de la Commission européenne et Haut représentant de l’UE pour les affaires étrangères et la politique de sécurité (7) – qui a proposé cette sanction. A l’appui de l’interdiction faite à l’ensemble de l’écosystème numérique, télécoms et audiovisuel européen de diffuser les deux médias accusés de « désinformation » et de « propagande », les deux textes décrètent en outre que « toute licence ou autorisation de diffusion, tout accord de transmission et de distribution conclu avec [RT et Sputnik] sont suspendus ». Cette censure européenne devrait être maintenue « jusqu’à ce que l’agression contre l’Ukraine prenne fin et jusqu’à ce que la Fédération de Russie et ses médias associés cessent de mener des actions de propagande » (8). Contactée par Edition Multimédi@, la direction de la filiale française de Russia Today n’a pas mâché ses mots : « La décision de bannir RT France est arbitraire et ne repose sur aucune faute précise. RT France n’a jamais été sanctionnée par l’Arcom [Autorité de régulation de la communication audiovisuelle et numérique, ex-CSA, ndlr] en plus de quatre ans à l’antenne et sa convention de diffusion avait été renouvelée pour quatre ans fin 2020 [et] sans qu’aucun manquement ne soit constaté ou même notifié ». Et d’ajouter : « Nous considérons que cette décision n’est pas fondée juridiquement et contrevient au principe de la liberté d’expression. Nous travaillons avec nos avocats sur les possibles recours ». Le média russe saisira-t-il aussi le Conseil d’Etat contre l’« application directe et immédiate » par l’Arcom en France – sans mise en demeure – de cette décision européenne ? Le régulateur français a en effet tiré sur le champ les conséquences des sanctions européennes, « qui ont notamment pour effet de suspendre la convention et la distribution de RT France », dit-il dans un bref communiqué (9). Depuis fin 2021, la France était le seul Etat membre de l’UE où Russia Today dispose d’une filiale employant 150 personnes, RT France, dont Xenia Fedorova (photo ci-dessous) est la PDG depuis plus de cinq ans. Elle vit désormais sous protection et une plainte a été déposée pour menace de mort. Outre le site web francais.rt.com (alias rtfrance.tv), la chaîne sur YouTube et le compte sur Facebook, la chaîne française de RT était diffusée jusqu’au 2mars sur les box d’Orange (canal 841), de Free (canal 362, ex-359) et sur le décodeur de Canal+ (canal 176 ou 180). RT France était également accessible sur le bouquet par satellite Fransat d’Eutelsat (canal 55) et d’autres opérateurs de satellite (SES, Astra), ainsi que sur les plateformes de chaînes Molotov et Watch-it, ou encore en streaming sur MyCanal de Canal+. Le média Sputnik News, lui, ne disposait pas d’une convention avec l’ex- CSA et n’était diffusé que sur Internet (fr.sputniknews.com) et les réseaux sociaux, dont ceux du groupe Meta (Facebook et Instagram). Sputnik a été lancé en France en 2014 en remplacement de la chaîne ProRussia, soit avant RT France qui fut créé en 2017. En réaction à l’annonce faite le 27 février par la présidente de la Commission européenne, Ursula von der Leyen (UVDL), sur l’interdiction en Europe de « la machine médiatique du Kremlin » accusée de « mensonges pour justifier la guerre de Poutine » et de « désinformation toxiques et nuisibles » (10), Sputnik (Rossia Segodnia) lui avait répondu : « Nous suggérons à l’Union européenne de ne pas s’arrêter à des demi-mesures mais d’interdire purement et simplement Internet » (11). Des internautes contournent le blocage de RT et Sputnik en recourant à des VPN (12) pour se connecter via une adresse IP située en dehors de l’UE. L’Allemagne, elle, a suspendu dès le début de février toute distribution de RT en plus d’avoir obtenu en décembre dernier d’Eutelsat d’interrompre le signal de la chaîne russe diffusée à partir de la Serbie en profitant d’une convention européenne transfrontalière. Prenant acte de ces sanctions le jour de leur promulgation, l’Erga – le groupe des régulateurs européens des services de médias audiovisuels, dont fait partie l’Arcom pour la France – s’est dit « unie » et s’est engagée à « contribuer à la mise en œuvre rapide et efficace des mesures » (13). Avant même le 27 février, jour de l’annonce des sanctions par UVDL, les régulateurs des médias de Lettonie, de Lituanie, de Pologne, de l’Estonie et de Bulgarie avaient déjà pris les devants en retreignant la transmission de « certains services de médias russes » sur leurs territoires respectifs. FIJ et FEJ dénoncent « la spirale de la censure » La Fédération internationale des journalistes (FIJ), basée à Bruxelles, et son pendant la Fédération européenne des journalistes (FEJ) ont le 4 mars dernier « déplor[é] la spirale de la censure dans le paysage médiatique européen ». D’autant que, en représailles, « les autorités russes ferment les médias indépendants en Russie » (14). Et le secrétaire général de la FIJ, de déclarer : « L’Union européenne, qui a contribué à cette nouvelle vague de répression en interdisant RT et Sputnik, a la responsabilité d’aider les médias et les journalistes russes indépendants ». En France, le SNJ – membre de la FIJ – avait lancé le 28 février : « On ne défend jamais la liberté en attaquant les journalistes » (15). @

Charles de Laubier

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le par
Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques. Par Arnaud Touati, avocat associé, Hashtag Avocats La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur. Europe : 25 % des revenus de Meta Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel. De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte. Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives. Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique. Dérogations pour cas particuliers A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8). Marge de manœuvre des « Cnil » A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains. A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous). Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données. Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ? La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés. Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires. La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @