Archives par mot-clé : Vie privée

Décisions de justice à l’heure du RGPD : délicat équilibre entre liberté de la presse et vie privée

Publié le par

Jusqu’à maintenant, la jurisprudence favorise habituellement – mais pas toujours –
le droit à l’information en cas de différends sur la publication de données issues de comptes-rendus de procès ou de décisions de justice. Depuis l’entrée en vigueur du RGPD, la recherche d’un juste équilibre s’impose.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Entré en vigueur en mai 2018, le Règlement général sur la protection des données (RGPD) s’applique aussi aux comptesrendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès. Le RGPD confie aux Etats membres de l’Union européenne le soin de concilier « […] par la loi, le droit à la protection des données à caractère personnel au titre du présent règlement et le droit à la liberté d’expression et d’information, y compris le traitement à des fins journalistiques et à des fins d’expression universitaire, artistique ou littéraire » (1).

Jurisprudence et droit à l’information
De même, le RGPD prévoit des règles similaires pour le « traitement et l’accès du public aux documents officiels » (2) afin de concilier les intérêts liés à la communication au public des documents administratifs et la protection des données à caractère personnel. Cela changera-t-il la jurisprudence qui jusqu’alors favorise habituellement – mais pas toujours – le droit à l’information ? Six mois après l’entrée en vigueur du RGPD, un arrêt de la cour d’appel de Paris daté du 28 novembre 2018 a confirmé une décision du président du tribunal de grande instance de Paris disant qu’il n’y avait pas lieu à référé concernant une demande de déréférencement à l’encontre de Google France de liens pointant vers un article publié sur le site Internet d’un journal – en l’occurrence Le Parisien (3). Les juges ont retenu que « l’information donnée au public sur la mise en cause pénale d’une personne et sa condamnation définitive participe du droit à l’information, particulièrement lorsqu’il s’agit d’infractions pénales sérieuses ». Elle a également relevé que « l’information communiquée quant à la mise en examen (…) ne constitu[ait] pas une atteinte à [la] vie privée s’agissant de la relation de faits publics et particip[ait] du droit du public à être informé ». Les juges, qui procèdent à une analyse de contexte pour apprécier l’intérêt de l’information sur un sujet d’actualité pour le public, en ont conclu que le demandeur « ne justifi[ait] pas de raisons prépondérantes et légitimes prévalant sur le droit d’expression et d’information ».
Toujours après la promulgation du RGPD, mais cette fois huit mois après, la Cour européenne des droits de l’homme (CEDH) s’est prononcée – dans un arrêt du 10 janvier 2019 – sur une décision par laquelle les juges allemands avaient interdit la publication dans la presse d’une photographie représentant une célébrité suisse alors incarcérée. La CEDH a précisé qu’il convenait d’apprécier « la notoriété de [l’intéressé], la contribution de la photo à un débat d’intérêt général, les circonstances dans lesquelles la photo litigieuse a été prise, le comportement antérieur de [l’intéressé] vis-à-vis des médias, la forme, le contenu et les répercussions pour [l’intéressé] de la publication de la photo litigieuse ainsi que la gravité de la sanction prononcée à l’encontre des requérantes ». Elle a notamment considéré en l’espèce que la photo litigieuse « n’avait pas de valeur informative supplémentaire par rapport à celle du texte de l’article », relatant « un fait connu du public depuis longtemps ». Il n’y avait « dès lors aucun motif d’en rendre compte de nouveau ». La CEDH a ainsi considéré qu’elle n’avait « aucune raison sérieuse de substituer son avis à celui des juridictions allemandes ».
Publier ou ne pas publier dans un contexte judiciaire : telle est la question au regard de la vie privée. La Cour de cassation, dans un arrêt du 12 mai 2016, a ainsi rejeté la demande de deux personnes ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et Libertés », la suppression d’informations identifiantes les concernant sur le moteur de recherche du site Internet d’un journal, en l’occurrence Lesechos.fr (4), qui donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre il y a plusieurs années. La Cour a considéré que « le fait d’imposer à un organe de presse […] de supprimer du site Internet dédié à l’archivage de ses articles […] l’information elle-même contenue dans l’un de ces articles […] privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».

Article en ligne et intimité de la vie privée
La notion d’« actualité » s’apprécie au cas par cas, à l’exemple de cette ordonnance de référé du 8 janvier 2016 (5) : le tribunal de grande instance de Paris a également rejeté la demande de suppression des nom et prénom d’une personne condamnée pour violence aggravée, dans un article paru en 2004 dans le quotidien 20 Minutes et toujours en ligne dix ans après les faits incriminés. Après avoir procédé à une analyse du contexte, le juge a notamment considéré « qu’il n’est donc nullement illégitime, dans ce contexte, pour la société 20 Minutes France, de mentionner l’identité du demandeur ». Donc « que dans ces conditions, il n’apparaît pas, avec l’évidence requise en matière de référé, que (le requérant) puisse se prévaloir d’une quelconque atteinte à l’intimité de sa vie privée ».

Actualité, intérêt légitime et droit à l’oubli
De même, s’agissant d’une demande de déréférencement de plusieurs liens sur Google Images pointant sur des articles faisant état de la condamnation du requérant, le juge a constaté en 2017 que le refus du moteur de recherche était fondé dès lors qu’il s’agissait d’une information exacte sur un sujet d’actualité récent (6). Ce parti pris n’est pas nouveau puisque, dans une affaire concernant la publication dans un journal d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu. Ce dernier avait sollicité du directeur de la publication l’insertion d’un droit de réponse. Le journal s’était contenté de mettre à jour l’article. L’individu en cause l’a assigné aux fins de voir supprimer l’article. Les juges ont considéré en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime « tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants », et qu’aucun abus de la liberté de la presse n’était établi (7). C’est le même raisonnement qui conduit des juridictions étrangères à refuser le retrait de résultats affichés sur des moteurs de recherche.
Parfois, les juges considèrent que le droit au déréférencement doit obéir au principe de proportionnalité. Certaines décisions – surtout étrangères – visent à concilier les intérêts de la personne concernée par le traitement de données personnelles avec les intérêts des autres parties en présence, et donc le droit du public à avoir accès à l’information en cause. En quelque sorte, le juge recherche un équilibre entre le droit au respect de la vie privée et aux données à caractère personnel et le droit à la liberté d’expression et à l’information. Deux arrêts américains assez anciens sont également particulièrement éclairants sur ce point. Le premier arrêt rendu par la Cour suprême des Etats- Unis en 1989 concernait un journaliste qui demanda au FBI (9) l’accès aux documents concernant les arrestations, inculpations et condamnations visant quatre individus. Pour le seul survivant des quatre individus ciblés par le journaliste, le FBI refusa de transmettre l’information qu’il détenait sous forme compilée, estimant que la communication porterait atteinte à la vie privée des individus en question. La Cour suprême soutint à l’unanimité cette argumentation (10). Elle rejeta l’argument retenu par la cour d’appel, selon lequel il n’y a plus de Privacy Interest en présence d’informations déjà rendues publiques. Pour la Cour, il y a une importante différence entre une communication « éparpillée » de fragments d’information et la divulgation de l’information dans son ensemble (11). Le second arrêt est issu de la cour d’appel de l’Etat de Californie (12) qui a considéré en 1994 que « c’est la nature agrégée de l’information qui lui donne de la valeur aux yeux du défendeur ; c’est la même qualité qui rend sa diffusion constitutionnellement dangereuse ».
De même, un arrêt de la Cour de cassation belge du 29 avril 2016 retient l’attention. Dans cette affaire, le demandeur, médecin de profession, avait provoqué un grave accident de la circulation ayant entraîné la mort de deux personnes, alors qu’il se trouvait sous l’emprise d’alcool. Ce fait avait été relaté dans l’édition papier du quotidien Le Soir, en 1994. L’article avait été ensuite rendu accessible en ligne non anonymisé. La Cour de cassation a confirmé tout d’abord que la mise en ligne de cet article doit être assimilée à « une nouvelle divulgation du passé judiciaire du défendeur portant atteinte à son droit à l’oubli ». Par ailleurs, elle a relevé que si l’article 10 de la CEDH confère aux organes de presse écrite le droit de mettre en ligne des archives et au public celui d’accéder à ces archives, ces droits ne sont pas absolus et qu’ils doivent, le cas échéant et dans certaines circonstances, céder le pas à d’autres droits également respectables. Aussi, la Haute juridiction a-t-elle considéré que l’arrêt attaqué a justifié léga-lement sa décision en considérant que « le maintien en ligne de l’article litigieux non anonymisé, de très nombreuses années après les faits qu’il relate, est de nature à […] causer un préjudice disproportionné [au médecin] par rapport aux avantages liés au respect strict de la liberté d’expression [de l’éditeur] » (13).

Cas particulier de déréférencement du lien
En France, on relève une ordonnance du tribunal de grande instance de Paris en date du 19 décembre 2014 qui a admis les « raisons prépondérantes et légitimes prévalant sur le droit à l’information » invoquées par la demanderesse (14). Le juge a considéré que la nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant – et l’absence de mention de la condamnation au casier judiciaire de l’intéressée justifiaient le déréférencement du lien renvoyant à un article de 2006. @

* Christiane Féral-Schuhl, présidente du Conseil national des
barreaux (CNB), est ancien bâtonnier du Barreau de Paris, et
auteure de « Cyberdroit », paru aux éditions Dalloz.

Facebook (15 ans d’âge et moult scandales) : Mark Zuckerberg est responsable mais… pas coupable

Publié le par

Mark Zuckerberg, qui détient la majorité des droits de vote de Facebook alors qu’il en est actionnaire minoritaire, concentre tous les pouvoirs en tant que président du conseil d’administration. A bientôt 35 ans, le philanthrope milliardaire est intouchable malgré les scandales à répétition impactant le premier réseau social du monde.

Bernard Arnault, quatrième plus riche du monde, pourrait se voir détrôner en 2019 par Mark Zuckerberg (photo), qui le talonne
à la cinquième place des plus grandes fortunes de la planète. Comment un jeune Américain, qui va tout juste sur ses 35 ans (le 14 mai) pourrait-il faire subir un tel affront à un vénérable Français, deux fois plus âgé que lui et à l’aube de ses 70 ans
(le 5 mars) ? La richesse du geek, PDG de Facebook, a grimpée plus vite en un an que celle du patriarche, PDG de LVMH, pour atteindre au 8 février respectivement 65,5 et 76,3 milliards de dollars, selon le « Billionaires Index » de l’agence Bloomberg.
La fortune de Mark Zuckerberg a augmenté sur un an plus vite (+ 13,5 milliards
de dollars) que celle de Bernard Arnault (+ 7,7 milliards à la même date). Pour un trentenaire qui perçoit seulement un salaire annuel de… 1 dollar, depuis 2013 et conformément à sa volonté, contre 500.000 dollars auparavant, et sans recevoir non plus depuis de primes ou d’actions, c’est une performance ! Ses revenus proviennent en fait de ses actions qu’il détient en tant qu’actionnaire minoritaire de Facebook.
Mais les 17 % que le fondateur détient encore la firme de Menlo Park (Californie),
cotée en Bourse depuis mai 2012, ne reflètent pas vraiment son pouvoir de contrôle puisqu’il possède 60 % des droits de vote.

« Zuck » vend des actions Facebook jusqu’en mars 2019
Zuck – comme le surnomment ses proches collaborateurs – contrôle en effet Facebook grâce à une structure capitalistique très particulière composée de deux types d’actions : celles de « classe A » cotées en Bourse, mais surtout les « classe B » non cotées et à droits de votes préférentiels, ces dernières lui permettant de détenir plus de la majorité des droits de vote – bien que détenteur minoritaire du capital. Autant dire que le jeune multimilliardaire est, en tant qu’actionnaire de référence de Facebook, le seul maître à bord et ne peut être évincé sans son accord par le conseil d’administration qu’il préside!
« [Mark Zuckerberg] est en mesure d’exercer son droit de vote à la majorité du pouvoir de vote de notre capital et, par conséquent, a la capacité de contrôler l’issue des questions soumises à l’approbation de nos actionnaires, y compris l’élection des administrateurs et toute fusion, consolidation ou vente de la totalité ou de presque la totalité de nos actifs », souligne le groupe Facebook qui justifie cette concentration des pouvoirs sur un seul homme. A savoir : empêcher toute manœuvre capitalistique ou stratégique qui n’ait pas l’aval du PDG fondateur.

Entre potentat et philanthrope !
En septembre 2017, ce dernier avait bien tenté de créer une nouvelle catégorie d’actions – cette fois des « classe C », destinées à être cotées en Bourse – qui lui auraient permis de « prolonger » son contrôle sur son groupe par la majorité des droits de vote. Mark Zuckerberg avait défendu ce projet d’évolution de structure du capital pour pouvoir financer ses initiatives philanthropiques tout en gardant le contrôle des droits de vote et en ayant le dernier mot. Mais face à la levée de bouclier de certains actionnaires, il avait renoncé aux « classe C », tout en affirmant pourvoir quand même financer ses projets altruistes « pour encore au moins 20 ans ». Avec son épouse Priscilla Chan, le jeune PDG a alors prévu de « vendre 35 millions à 75 millions d’actions de Facebook dans les dix-huit mois [à partir de l’annonce faite en septembre 2017 et donc jusqu’à mars 2019, ndlr] dans le but de financer des initiatives philantropiques de [luimême] et de sa femme, Priscilla Chan, dans l’éducation, la science et la défense [de causes] ». Le couple a indiqué en décembre 2015 vouloir donner de leur vivant jusqu’à 99 % de leurs actions Facebook (2) à leur fondation,
la Chan Zuckerberg Initiative. « Mr. Zuckerberg nous a informé que durant cette période il avait l’intention de continuer à vendre de temps en temps des actions Facebook, principalement pour continuer à financer ses projets philantropiques », indique encore le rapport annuel 2018 publié le 31 janvier dernier.
Le philanthrope-milliardaire, hypermédiatisé, reste intouchable et concentre ainsi d’immenses pouvoirs entre ses mains. Et ce, malgré l’annus horribilis que fut pour
lui 2018 égrenée par des scandales à répétition provoqués successivement par : l’ingérence russe via le premier réseau social mondial dans l’élection présidentielle américaine de 2016 ; les fake news d’activistes ou de gouvernements propagées sur la plateforme ; l’exploitation illégale des données personnelles de 100 millions utilisateurs à des fins politiques par la société Cambridge Analytica (re-née de ses cendres en Emerdata) ; le piratage en ligne de millions de comptes permis par une faille de sécurité ; le recours de Facebook à une entreprise de relations publiques, Definers Public Affairs, pour discréditer ses adversaires, concurrents et critiques. Tout récemment encore, le 30 janvier, Facebook a été accusé d’avoir collecté les données personnelles sur smartphone auprès de « volontaires », notamment d’adolescents qui étaient rétribués 20 dollars par mois (3). L’intouchable dirigeant, accusé de légèreté face
à toutes ces affaires compromettantes (4), n’a pas jugé bon de démissionner, alors
que sa responsabilité est largement engagée et malgré les appels à son départ lancés par des investisseurs américains dès le printemps 2018. Au magazine The Atlantic,
le 9 avril (5), il déclarait ne pas avoir l’intention de démissionner. Plus récemment, sur
CNN Business le 20 novembre (6), il affirmait droit dans les yeux de son intervieweuse : « C’est pas prévu », tout en défendant au passage son bras droit et directrice des opérations du réseau social, Sheryl Sandberg, elle aussi mise en cause dans la mauvaise gestion des graves crises et controverses aux répercutions mondiales. Sous la pression, la firme de Menlo Park a dû quand même procéder en mai 2018 au plus vaste remaniement de son top-management depuis sa création (7). Même comme
« panier percé », Facebook affiche fièrement sur le seul réseau social historique ses 2,3 milliards d’utilisateurs mensuels (1,5 milliard quotidiens), dont 381 millions en Europe.
Cette audience captive lui a permis de dégager sur l’année 2018 un bénéfice net de 22,1 milliards de dollars, en hausse insolente de 39 %, pour un chiffre d’affaire de
55,8 milliards de dollars, faisant également un bond de 37 %. Quant au trésor de guerre, à savoir le cash disponible, il culmine à 41,1 milliards de dollars.
Si l’on additionne Facebook, Instagram, WhatsApp et Messenger, « il y a maintenant 2,7 milliards de personnes chaque mois, dont plus de 2 milliards chaque jour, qui utilisent au moins l’un de nos services », s’est félicité Mark Zuckerberg lors de la conference téléphonique du 30 janvier dédiée à la presentation des résultats annuels. Une vraie « success story » malgré le départ de jeunes attirés par SnapChat ou TikTok (8). Depuis l’action grimpe (de 144 à 166 dollars) et la valorisation boursière de Facebook Inc atteint près de 500 milliards de dollars.

Intégration Facebook, WhatsApp et Instagram ?
Mais Zuck n’en a pas fini avec les enquêtes. Sept Etats américains (9) soupçonnent Facebook de violation sur la protection des données. La Federal Trade Commission (FTC) aussi. Le Congrès américain, devant lequel le PDG en cause s’est excusé au printemps dernier pour l’affaire « Cambridge Analytica », pourrait légiférer. En Europe, l’Irlande – via sa « Cnil », la DPC (10) – mène l’enquête sur son respect du RGPD (lire p. 6) et s’inquiète surtout du projet d’intégration de Facebook, WhatsApp et Instagram (11). L’Allemagne, elle, a décidé le 7 février d’empêcher Facebook d’exploiter les données entre ses services. @

Charles de Laubier

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Publié le par

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

Publié le par

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier

Communication des décisions de justice : favoriser la liberté d’expression ou le droit à la vie privée ?

Publié le par

Il est traditionnellement acquis, en jurisprudence française, que le droit à la vie privé ne peut être interprété comme un droit susceptible de faire disparaître le droit à la liberté d’expression. Cependant, une inflexion est perceptible, Internet facilitant les risques d’atteinte à la vie privée.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Signe de l’évolution numérique, ce combat de l’équilibre entre
ces deux dro i t s fondamentaux – la liberté d’expression et le droit au respect de la vie privée – se déplace actuellement sur le terrain du droit à la protection des données à caractère personnel (facette du droit à la vie privée), contre le droit à la protection des contenus médiatiques publiés sur Internet (facette du droit à la liberté d’expression).

Arrêt « Lesechos.fr » de 2016
Tandis qu’explosent actuellement – suite à l’arrêt « Costeja » impliquant Google en Espagne (1) – les demandes de référencement qui atteignent désormais les organes
de presse en ligne, la Cour de cassation a eu l’occasion de trancher en faveur de la protection des archives de presse. Elle a ainsi rejeté, par un arrêt en date du 12 mai 2016, la demande de deux individus ayant sollicité – sur le fondement de l’article 38 de la loi « Informatique et libertés » relatif au droit d’opposition au traitement de données
à caractère personnel – la suppression d’informations identifiantes sur le moteur de recherche du site web d’un journal. Celui-ci, en l’occurrence Lesechos.fr (2), donnait accès à un article de presse faisant état d’une condamnation prononcée à leur encontre plusieurs années auparavant. La Cour s’est fondée sur l’absence d’inexactitude des faits et a considéré que « le fait d’imposer à un organe de presse (…) de supprimer du site Internet dédié à l’archivage de ses articles (…) l’information elle-même contenue dans l’un de ces articles (…) privant celui-ci de tout intérêt [ou] d’en restreindre l’accès en modifiant le référencement habituel, excède les restrictions qui peuvent être apportées à la liberté de la presse ».
Ce parti pris n’est pas nouveau en droit français. Ainsi, dans une affaire concernant la publication d’un article relatif au placement en garde à vue d’un individu qui avait bénéficié d’un non-lieu, le tribunal de grande instance (TGI) de Paris avait déjà jugé en 2015 que le traitement des données litigieuses – l’âge, la profession du requérant et le fait qu’il ait été impliqué dans une procédure pénale – répondait à un intérêt légitime
« tant en ce que l’information portait sur le fonctionnement de la justice et le traitement des affaires d’atteintes graves aux personnes qu’en ce qu’elle visait une personne exerçant une profession faisant appel au public et encadrant une activité proposée notamment à des enfants » et qu’aucun abus de la liberté de la presse n’était établi (3). Cependant, une inflexion est perceptible, l’Internet étant devenu un moyen de rechercher et de se renseigner, facilitant les risques d’atteinte à la vie privée. Cette atteinte est réprimée par l’article 226-1 du Code pénal qui sanctionne d’une peine
d’un an d’emprisonnement et de 45.000 euros d’amende le fait de porter atteinte volontairement à l’intimité de la vie privée d’autrui en « fixant, enregistrant ou transmettant, sans le consentement de celle-ci, l’image d’une personne se trouvant dans un lieu privé ».
S’agissant des comptes rendus de procès ou de décisions de justice citant des personnes physiques parties ou témoins aux procès, la Commission nationale de l’informatique et des liberté (Cnil) avait déjà eu l’occasion de tirer la sonnette d’alarme concernant les risques d’atteintes à la vie privée des personnes concernées. Elle avait en effet considéré en 1995 qu’il n’est pas indispensable de diffuser les décisions en ligne, sur des sites web en accès libre, en précisant que « les aménagements aux règles de la protection des données que commande le respect de la liberté d’expression ne doivent pas avoir pour effet de dispenser les organismes de la presse écrite ou audiovisuelle, lorsqu’ils recourent à des traitements automatisés, de l’observation de certaines règles » (4).

Open data et « République numérique »
Une ordonnance du 19 décembre 2014, dans la suite de l’affaire « Google Spain »
de la même année, vient illustrer cette inflexion. Le juge avait retenu les « raisons prépondérantes et légitimes prévalant sur l e d r o i t à l ’ i n f o r m a t i o n » i n v o q u é e p a r l a demanderesse. La nature des données personnelles, le temps écoulé depuis la condamnation – prononcée huit années auparavant –, et l’absence de mention de la condamnation au casier judiciaire de l’intéressée, justifiaient le déréférencement du lien renvoyant à un article de 2006 (5).
Or, le droit à l’information est en grande partie garanti par la publicité des audiences
et des décisions de justice ainsi que la libre communication des jugements. Aussi, en prévoyant que la quasi-totalité des décisions produites par les juridictions françaises devront être accessible en open data (autrement dit en accès libre), la loi « République numérique » marque l’aboutissement du processus d’ouverture des données. Cette mesure (6) s’inscrit dans la logique de la politique volontariste du gouvernement d’ouverture des données publiques (mission Etalab). Elle répond de surcroît à la préconisation de la mission d’information du Sénat (7) d’inscrire dans la loi une obligation de mise en ligne progressive de l’ensemble des bases de données détenues par l’administration.

Conciliation par anonymisation ?
La numérisation des décisions de justice et leur mise à disposition sur Internet favorise le risque de voir des bases de données se créer et vendre des données sensibles susceptibles d’intéresser certains acteurs. Par exemple, une banque pourrait très certainement ê t re i n t é ress é e p a r l a condamnation pour surendettement d’un de ses clients. Pour reprendre les mots de Claude Bourgeos, docteur en droit, « l ’ e x p l o i t a t i o n d e s b a n q u e s d e d o n n é e s jurisprudentielles [pouvait] aboutir à la constitution d’un gigantesque casier “juridique” des personnes sans qu’aucun contrôle ne puisse être exercé dessus » (8).
Aussi, consciente des risques amplifiés par les facilités de recherche sur l’Internet – rien de plus facile que de retrouver une jurisprudence donnée au moyen de critères croisés (date de la décision, articles visés, motc l é d u tex t e i n t é g r a l ) – , l a C n i l a é m i s u n e recommandation du 29 novembre 2001 (9) portant sur « la diffusion de données personnelles sur Internet par les banques de données de jurisprudence ». Les éditeurs de bases de données de décisions de justice librement accessibles sur des sites Internet doivent s’abstenir de faire faire figurer le nom et l’adresse des parties ou des témoins au procès. Cette mesure doit être prise à l’initiative du diffuseur et sans que les personnes concernées aient à accomplir de démarche particulière. Cette anonymisation ne souffre en principe aucune exception et la Cnil dispose d’un pouvoir de sanctions à l’encontre des responsables de traitement de données à caractère personnel qui ne respecteraient pas leurs obligations. On observe que l’anonymisation générale des décisions de justice publiées sur Internet est également effective dans de nombreux autres pays, notamment en Allemagne, aux Pays-Bas et au Portugal.
En faisant le bilan de cette recommandation cinq ans près (19 janvier 2006 (10)), la Cnil a pu constater que l’anonymisation était effective chez la plupart des éditeurs de bases de données, notamment sur le principal site français de bases de données de jurisprudence en accès libre, Légifrance. Cependant, la puissance des moteurs de recherche permettant d’accéder très aisément à ces décisions – il suffirait, pour un employeur, à la recherche d’un nouvel employé, de se rendre sur une base de données juridique et de taper le nom de l’intéressé –, elle a conclu à la nécessité d’adopter une disposition législative spécifique (11). Celle-ci prévoit l’anonymisation des données lorsqu’elles sont diffusées par des moyens électroniques en raison de « l’impact réel, parfois dramatique, de la diffusion de décisions nominatives sur [un site] sur les vies personnelles et professionnelles des personnes concernées ».
Depuis l’anonymisation s’est imposée très rapidement comme la règle. D’ailleurs, une décision du Conseil d’Etat du 11 mars 2015 (12) a précisé que l’anonymisation était
une règle générale qui s’applique également à la Cnil, en lui enjoignant de procéder
à l’anonymisation des mentions d’une délibération concernant un tiers à la procédure objet de cette délibération. Avec l’open data qui généralise le libre accès aux décisions de justice, le risque de la ré-identification – c’est-à-dire le risque, après anonymisation, de retrouver les noms retirés en s’intéressant aux autres éléments du texte – devient important. En effet, on peut imaginer que si une décision comporte la mention du titre de la personne concernée, par exemple « Mme X, président de la société Y », il ne sera pas très difficile de retrouver le nom de la personne concernée.

Limiter le risque de ré-identification
Aussi, le Conseil d’Etat préconise – afin de limiter le risque de réidentification – de
« faire définir par la Cnil […] des standards d’anonymisation ; constituer au sein de chaque ministère un pôle d’expertise en matière d’anonymisation, a priori au sein du service statistique ministériel ; […] lorsque le risque de réidentification ne peut être écarté, définir une procédure d’accès sur autorisation plutôt que de mettre en ligne,
en particulier lorsque sont en cause des données sensibles » (13). @

* Ancien bâtonnier du Barreau de Paris.