samedi 2 mars 2013

Internet et protection juridique des données personnelles : l’approche franco-européenne



Internet et protection juridique des données personnelles : l’approche franco-européenne
Pierre Roquefeuil, avocat Paris


Les données personnelles (dites aussi “données nominatives”), qui permettent d’identifier telle ou telle personne, telles que le nom ou le numéro de sécurité sociale, peuvent être mal utilisées par des tiers, mais peut-on réellement contrôler ce phénomène sur le web ?  Y compris si untel a choisi, à un moment ou à un autre, de rendre publiques ses données personnelles ?


Si certains droits permettent, tels les droits de propriété intellectuelle, de protéger ses créations contre un usage non autorisé, peut-on de la même façon interdire à des tiers d’utiliser les données personnelles d’autrui, comme si elles étaient une création, une expression de la personne, plutôt qu’un simple identifiant, instrument de police, cible publicitaire ou objet médiatique ?


Les droits français et européens, se reflétant l’un et l’autre, peuvent donner des éléments de réponse et d’action.


“Action” puisqu’un préjudice subi en France peut déclencher la compétence des tribunaux français civils (code de procédure civile, article 46) ou pénaux (code pénal, article L113-2), en particulier quand une infraction a un lien avec la France.



Le régime de protection des données personnelles instaure un principe d’exigence du consentement préalable de la personne avant toute exploitation de ses données personnelles


La loi française (loi informatique et libertés n°78-17 du 6 janvier 1978, article 7, modifié par la loi n°2004-801 du 6 août 2004) et la directive européenne (directive n°95/46 du 24 octobre 1995, article 7) subordonnent le traitement des données personnelles au consentement préalable des personnes concernées. Par traitement d’une donnée on entend usuellement l’intégration de cette donnée dans un processus de fichage collectif, plus ou moins automatisé,  qui se distingue du simple usage d’une donnée, nécessité par la fonction même de cette donnée, nous y reviendrons.


Ces dispositions permettent d’obtenir des dommages-intérêts, des injonctions, des pénalités. Ainsi le fait de collecter des données personnelles par des moyens déloyaux est puni par la loi pénale jusqu’à cinq ans d’emprisonnement et 300 000 euros d’amende (code pénal, articles 226-18, 226-18-1, 226-19, 226-28).


L’article 7 de la loi n°78-17 du 6 janvier 1978 “Informatique et libertés” dispose en particulier que :
Un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée ou satisfaire à l'une des conditions suivantes :
1° Le respect d'une obligation légale incombant au responsable du traitement ;
2° La sauvegarde de la vie de la personne concernée ;
3° L'exécution d'une mission de service public dont est investi le responsable ou le destinataire du traitement ;
4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;
5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée.




Ces dispositions s’appliquent quand les moyens de traitement des données sont situés en France (loi “informatique et libertés”, article 5).


La loi ne distingue pas selon que les données personnelles sont en accès public ou non. A ce titre les données personnelles qui seraient collectées par un tiers alors que le consentement de la personne intéressée était requis le seraient-elles illicitement ?


Le fait d’avoir publié ses propres données personnelles une fois sur tel ou tel site Web, permis implicitement ou explicitement leur accès public et leur indexation par les moteurs de recherche  n’implique pas, du point de vue subjectif en tout cas,  un consentement général à voir ses données personnelles circuler n’importe où et n’importe comment, en particulier à des fins d’exploitation publicitaire par tel ou tel média, ni à les voir indexées n’importe comment.


Il faut toutefois considérer la permission de principe accordée aux acteurs du web d’indexer les contenus publics, cette permission étant considérée comme constitutive de l’internet. Cette permission n’est toutefois pas illimitée et peut être confrontée avec par exemple les dispositions applicables en matière de profit illicite, d’atteinte à la tranquillité de la personne,  d’atteinte au droit d’auteur, ou encore avec les dispositions applicables aux annuaires publics, nous y reviendrons.


Outre les dispositions propres aux traitements de données, d’autres régimes ont pour effet de sanctionner les usages non autorisés de  données personnelles.


Les droits sur son propre nom et sa propre image contre l’atteinte à la vie privée


L’usage non autorisé du nom ou de l’image d’une personne peut inférer une atteinte à la vie privée et être sanctionné à ce titre, en application des articles 9 et 1382 du code civil et 226-1 du code pénal (jusqu’à un an d’emprisonnement et 45 000 euros d’amende).


L’usage dans un cadre privé d’une donnée personnelle d’une autre personne ne requiert pas le consentement de cette autre personne. C’est le cas typique de la tenue d’un carnet d’adresses personnel, visé par l’article 2 de la loi “informatique et libertés”. Une divulgation non autorisée de ces données initialement détenues de façon privée peut attirer une sanction civile ou pénale au titre de l’atteinte à la vie privée, selon la sensibilité de l’information divulguée et l’étendue de sa diffusion, la volonté de nuisance en jeu.


Et aussi :


- Usurpation d’identité, confusion (articles 434-23 et 226-4-1 du code pénal) ;
- Scam (arnaque) (article 313-1 du code pénal) ;
- Montages audio et vidéo (article 226-8 du code pénal) ;
- Profit illégitime (article 1382 du code civil) ;
- Diffamation (loi du 29 juillet 1881 sur la presse) ;
- Abus de l’usage d’un nom comme nom de domaine (article R.20-44-46 du code des postes) ;
- Atteintes au secret professionnel (code pénal, art.226-13) ;
- Atteinte au secret des sources journalistiques (loi du 29 juillet 1881 sur la presse) ;
- Atteinte au droit d’auteur (code de la propriété intellectuelle) ;
- Atteinte à une obligation contractuelle de confidentialité ;
- Atteinte au secret des correspondances (code pénal).



Cela veut-il dire que tout usage de données personnelles sans consentement préalable de la personne concernée est prohibé ? Non, de larges exceptions existent au nom de la protection d’intérêts légitimes aussi vastes, principalement : l’ordre public, la transparence, la liberté d’expression.


Où est le principe, où est l’exception ? Rien ne paraît encore tranché si l’on considère d’une part qu’à l’ère informatique l’usage d’une donnée personnelle implique nécessairement une forme de “traitement” de cette donnée et donc l’application généralisée de la règle du consentement préalable, et d’autre part que la liberté d’expression, liberté fondamentale, ainsi que d’autres nécessités, exige une fluidité incompatible avec cette règle.



Certains impératifs permettent d’écarter la règle du consentement préalable


L’ordre public et les objectifs spécifiques


La tenue de registres est soit prohibée soit au minimum soumise à des contraintes, en particulier celles prévues par les réglementations sur la protection des données personnelles (notamment la loi “informatique et libertés” précitée), et sanctionnée par de lourdes sanctions pénales.


Néanmoins la règle du “consentement préalable” peut être écartée quand la collecte des données personnelles est requise pour l’exécution d’obligations légales ou contractuelles : l’opération des services publics,  la protection de la sécurité nationale, la lutte contre la criminalité, la préservation de la santé publique, la sécurisation de l’internet, la promotion des travaux scientifiques, ou plus simplement encore l’opération technique de tel ou tel service contractuel.


Dans ces cas les données personnelles sont sensées être gardées confidentielles et sont utilisées seulement par les autorités ou services opérateurs concernés, sur une base restrictive et à travers des procédures et régimes spécifiques. Si les données collectées dans ces conditions sont improprement divulguées, les règles sanctionnant la confidentialité peuvent s’appliquer et fonder des actions civiles, pénales ou disciplinaires (par exemple, violation du secret des correspondances réprimé par l’article 226-15 du code pénal jusqu’à 1 an de prison et 45 000 euros d’amende, et 432-9 du code pénal, jusqu’à 3 ans d’emprisonnement et 45 000 euros d’amende).



La transparence et les annuaires publics : une approche mitigée


Selon la CNIL (Commission Nationale Informatique et Libertés) :
Considérant que la publication de listes d'abonnés ou d'utilisateurs des réseaux ou services de télécommunications est libre, sous réserve de la protection des droits des personnes concernées ; que les traitements mis en oeuvre aux fins d'établissement de ces listes constituent des traitements automatisés d'informations nominatives au sens de la loi du 6 janvier 1978 ; qu'en conséquence, les dispositions protectrices de la liberté individuelle et de la vie privée prévues par cette loi sont applicables aux listes d'abonnés qui, quelque soit le support sur lequel elles sont éditées (support papier, ou support électronique), sont communément appelées annuaires ; (délibération n°97 - 060 du 8 juillet 1997).



Les articles L34 et L34-5 du code des postes et communications électroniques précisent que :
“La publication des listes d'abonnés ou d'utilisateurs des réseaux ou services de communications électroniques est libre, sous réserve de la protection des droits des personnes.
Parmi les droits garantis figurent ceux pour toute personne d'être mentionnée sur les listes d'abonnés ou d'utilisateurs publiées dans les annuaires ou consultables par l'intermédiaire d'un service de renseignements ou de ne pas l'être, de s'opposer à l'inscription de certaines données la concernant dans la mesure compatible avec les nécessités de la constitution des annuaires et des services de renseignements auxquels ces listes sont destinées, d'être informée préalablement des fins auxquelles sont établis, à partir de ces listes, des annuaires et services de renseignements et des possibilités d'utilisation reposant sur des fonctions de recherche intégrées à leur version électronique, d'interdire que les informations nominatives la concernant soient utilisées dans des opérations commerciales, ainsi que de pouvoir obtenir communication des dites informations nominatives et exiger qu'elles soient rectifiées, complétées, clarifiées, mises à jour ou effacées, dans les conditions prévues aux articles 39 et 40 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.” (art.L34 al.2).


Ce régime déclenche les sanctions prévues par la loi “informatique et libertés” soit jusqu’à cinq années d’emprisonnement et 300 000 euros d’amende, et plus dans le cas de personnes morales impliquées.


“Le consentement préalable des abonnés à un opérateur de téléphonie mobile est requis pour toute inscription dans les listes d'abonnés ou d'utilisateurs établies par leur opérateur mobile, destinées à être publiées dans les annuaires ou consultables par l'intermédiaire d'un service de renseignements, de données à caractère personnel les concernant.” (art.L34 al.3)


En bref, certaines mentions sont publiées par défaut, d’autres non, mais dans tous les cas l’abonné doit pouvoir intervenir, sans frais, pour modifier les options par défaut (voir aussi le décret n°2006-606 du 27 mai 2005, modifiant le code des postes, articles R10, R10-12).



Liens hypertexte et permission d’hyperlier constitutive d’internet


Les contenus préjudiciables disponibles en France peuvent être condamnés par des tribunaux français civils ou pénaux. Omettre de retirer les liens pointant vers de tels contenus peut être source de dommages-intérêts, voir par exemple un extrait de la saga LICRA v/ Yahoo sur http://caselaw.findlaw.com/us-9th-circuit/1144098.html.


Est-ce qu’un site web ou un moteur de recherche est autorisé à exposer une donnée personnelle dans ses hyperliens ou à utiliser une donnée personnelle comme mot-clé de recherche, à des fins publicitaires ? Non si la donnée personnelle est gardée secrète par la personne qu’elle concerne ou si elle est associée à des contenus illicites, non consentis par cette personne.


Il existe bien un principe général de non responsabilité pour le fait de relier par hyperlien, qui est considéré comme une activité constitutive de l’internet.  Cependant quand un contenu illicite, par exemple une donnée personnelle gardée secrète, est signalé à l’installateur du lien ce dernier devient responsable s’il omet de retirer le lien et les commentaires associés. Sa responsabilité est plus ou moins grande selon son rôle et son degré d’implication dans l’acte illicite. Nous verrons plus bas que la loi organise des modalités de notification, outre celles que mettent en place les différents acteurs.


En revanche la question est plus délicate en ce qui concerne les données personnelles laissées en accès public à un moment ou à un autre par la personne intéressée. Ces données peuvent être récupérées par des sites divers et variés à des fins publicitaires, pour attirer des clics, du réseau et des contenus, vendre de l’espace publicitaire.


La jurisprudence française peu paraître peu encline à sanctionner ceux qui utiliseraient des noms de tiers à titre de mots-clés de référencement publicitaire, si on s’en tient par exemple à la jurisprudence applicable en matière de noms de marques utilisés à titre de mots-clés de référencement par des non-détenteurs de la marque, qui ne sanctionne pas ces “non-détenteurs”.


Le fait d’utiliser des données personnelles, notamment à des fins publicitaires sans le consentement préalable de la personne mais après qu’elle a laissé en accès public les dites données sur d’autres sites pourra être confronté aux dispositions applicables aux annuaires publics, vues plus haut, ainsi qu’aux règles sanctionnant le profit illicite, l’atteinte au droit d’auteur et à la tranquillité des personnes.


Les dispositions de la loi “informatique et libertés” et la règle du consentement préalable retrouvent en revanche application après un délai raisonnable après que la personne a fait retirer l’ accès public initial à ses données personnelles.


Les données publiques qui ne seraient pas retirées, qui resteraient accessibles par les moteurs de recherche usuels, pourraient-elles être réutilisées par des sites tiers, notamment ceux faisant office d’annuaire ?


Ces sites annuaires affichent le plus souvent ces données personnelles avec des contenus publicitaires, ou avec des contenus de personnes homonymes, entretenant ainsi un mélange des genres, une confusion sur la paternité des contenus ou sur l’identité des personnes visées par ces contenus. Plusieurs types de dispositions peuvent alors être sollicitées pour sanctionner ces abus :


- Le droit applicable aux annuaires, vu plus haut, pas forcément favorable à l’internaute, il faut donc veiller à vérifier la qualification d’”annuaire public” pour écarter cette réglementation ;


- Le droit d’auteur, sanctionné civilement et pénalement, qui sanctionne le droit moral de l’auteur à consentir à la divulgation de ses contenus, et des conditions de cette divulgation ; le droit de courte citation n’autorise pas un mélange des genres, ni l’affichage de données avec des contenus publicitaires non sollicités ;


- La sanction civile du profit illicite réalisé par un éditeur de site qui attirerait du trafic en affichant ou utilisant comme mot-clé les données personnelles d’un tiers sans son consentement ;


- Les dispositions pénales sanctionnant l’atteinte à la tranquillité des personnes ; on rappelle à cet égard l’article L226-4-1 du code pénal selon lequel :
“Le fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d'un an d'emprisonnement et de 15 000 € d'amende.
Cette infraction est punie des mêmes peines lorsqu'elle est commise sur un réseau de communication au public en ligne.”



Liberté d’expression


Cette liberté fondamentale est inscrite en particulier dans la Convention européenne des droits de l’homme (CEDH), à l’article 10. Le fait d’écrire à propos des autres dans le cadre de l’exercice de la liberté d’expression ou de la création artistique est permis par principe. Cette liberté est complétée par une série d’exceptions au droit d’auteur (par exemple l’article L122-5 du code de la propriété intellectuelle prévoit la possibilité de mentionner l’existence d’une création à condition d’en mentionner l’auteur) ou au droit des données personnelles (dérogations prévues en matière littéraire, artistique et journalistique par l’article 67 de la loi “informatique et libertés”).


Cette liberté est toutefois limitée par les dispositions classiques du droit de la presse prévues par la loi du 29 juillet 1881, notamment les dispositions pénales en matière d’insulte et de diffamation.


Si la publication de données personnelles est faite sans le consentement de l’intéressé, elle doit l’être à des fins d’information, de création, de formation, de discussion scientifique, politique ou syndicale, dans le respect des règles applicables à la liberté de la presse qui requièrent le respect d’une stricte déontologie. Cette déontologie peut fonder des sanctions civiles, pénales, disciplinaires , à posteriori, ou même des mesures préventives.


Ces règles ont pour objectif d’interdire tout comportement qui pourrait nuire à la réputation à la dignité d’une personne, interférer avec sa vie ou sa correspondance privée (que l’on pense au “sensationnel”  qui fait vendre tel journal), inciter à la violence et à la discrimination.


Les exploitations commerciales restent soumises, elles, à la règle du consentement préalable, c’est par exemple le cas des réseaux sociaux qui se rémunèrent par la vente des contenus drainés.


Dans le cadre du droit de presse,  et pour la promotion de la liberté d’expression, le fait d’omettre de demander un consentement préalable n’est pas sanctionné mais la tentative d’obtention de ce consentement sera prise en considération dans le cadre d’actions civiles ou pénales contre, par exemple, des actes de diffamation.


Ce n’est le plus souvent qu’une fois l’acte incriminé commis que l’atteinte à la vie privée ou à la réputation pourra être sanctionnée dans le cadre d’une action civile ou pénale.


A titre d’illustration, le cas Mosley (ECHR, Mosley c/UK, 10 may 2011, n°48009/08 (commenté http://www.droits-libertes.org)) indique que le reproche fait à l’Etat de ne pas prévoir de sanction du non respect de la règle du consentement préalable n’aboutit pas. Cette affaire concernait la diffusion d’articles et de vidéos révélant la vie sexuelle d’un citoyen, sanctionnée par ailleurs sur d’autres fondements.


Des  dispositions spécifiques s’appliquent dans le contexte de la protection de la présomption d’innocence , et de la dignité de la personne (article 35 ter, 35 quater de la loi du 29 juillet 1881) :


35 ter


I. - Lorsqu'elle est réalisée sans l'accord de l'intéressé, la diffusion, par quelque moyen que ce soit et quel qu'en soit le support, de l'image d'une personne identifiée ou identifiable mise en cause à l'occasion d'une procédure pénale mais n'ayant pas fait l'objet d'un jugement de condamnation et faisant apparaître, soit que cette personne porte des menottes ou entraves, soit qu'elle est placée en détention provisoire, est punie de 15 000 euros d'amende.
II. - Est puni de la même peine le fait :
- soit de réaliser, de publier ou de commenter un sondage d'opinion, ou toute autre consultation, portant sur la culpabilité d'une personne mise en cause à l'occasion d'une procédure pénale ou sur la peine susceptible d'être prononcée à son encontre ;
- soit de publier des indications permettant d'avoir accès à des sondages ou consultations visés à l'alinéa précédent.


35 quater


La diffusion, par quelque moyen que ce soit et quel qu'en soit le support, de la reproduction des circonstances d'un crime ou d'un délit, lorsque cette reproduction porte gravement atteinte à la dignité d'une victime et qu'elle est réalisée sans l'accord de cette dernière, est punie de 15 000 euros d'amende.



Actions


Les procédures prévues par la loi de confiance dans l’économie numérique (LCEN)


Certaines procédures sont spécifiques aux utilisateurs d’internet et sont prévues par la LCEN. Le fait que des données soient divulguées sur internet entraîne l’application de réglementations spécifiques prévoyant des procédures permettant aux victimes d’obtenir un retrait rapide du contenu incriminé par ceux qui en ont la maîtrise. Les victimes peuvent notifier les irrégularités, dans un ordre séquentiel, à l’auteur, à l’hébergeur, au fournisseur d’accès, dans le but de déclencher leur différentes responsabilités (par exemple les intermédiaires techniques tels que les hébergeurs n’ont pas d’obligation de surveillance générale sur les contenus qu’ils hébergent mais doivent intervenir quand ils sont notifiés), et demander la correction ou le retrait des contenus, dans des formes précises. Ces intermédiaires ont l’obligation d’alerter les autorités à propose des contenus les plus sensibles (par exemple : apologie des crimes contre l’humanité).


Les personnes notifiées doivent réagir rapidement. Un refus peut être contesté en justice mais il faut préciser que la charge de la preuve pèse sur la victime. C’est elle qui doit démontrer le caractère impropre du contenu, preuve qui peut s’avérer difficile si ce caractère impropre n’est pas évident en soi. La personne notifiée n’a pas quant à elle à fournir un conseil juridique à la prétendue victime, et peut poursuivre cette “victime” pour abus de notification, puni par l’article 226-10 du code pénal jusqu’à cinq années d’emprisonnement et 45 000 euros d’amende.


Le “référé internet” est une procédure accélérée permettant aux victimes d’obtenir devant les tribunaux civils des mesures préventives ou curatives (article 6.I.8 LCEN).



Le droit de la presse


Des dispositions pénales s’appliquent (notamment le droit de réponse prévu par l’article 13 de la loi du 29 juillet 1881), y compris aux non professionnels de la presse, même si ceux-ci ne bénéficient pas du privilège du secret des sources ou d’autres privilèges statutaires dont seuls bénéficient les professionnels de la presse.


L’article 6 V de la LCEN étend aux services de communication en ligne les dispositions du droit de la presse, en particulier celles qui posent une présomption de responsabilité du directeur de publication. Ce régime est détaillé dans l’article 93-3 de la loi n°82-652 du 29 juillet 1982 sur la communication audiovisuelle, récemment modifiée par la loi HADOPI n°2009-669 du 12 juin 2009, article 27.II, et décrit un régime adapté du régime classique de l’article 42 de la loi de 1881.


La liberté de la presse est tempérée par un droit de réponse par toute personne citée, et ce droit s’exerce aussi dans le cadre de services de communication en ligne, comme le prévoit l’article 6 IV de la LCEN et le décret n°2007-1527.


Prescription usuelle en matière de délit de presse : 3 mois à compter de la publication.


Les procédures CNIL


La Commission Nationale Informatique et Libertés (“CNIL”) est l’institution qui intervient pour superviser l’implémentation des réglementations sur la protection des données personnelles. Elle a son homologue dans chacun des Etats membres de l’Union Euopéenne. La CNIL peut émettre des avertissements, des règlements, des injonctions, des sanctions pécuniaires, et peut initier des actions auprès des tribunaux compétents pour obtenir des mesures d’urgence. Elle peut décider de publier les sanctions. Elle peut émettre des recommandations qui tiendront lieu de standard ou de critère d’interprétation  de la législation sur la protection des données personnelles et sur la notion de vie privée, par exemple à l’égard de l’usage des données personnelles dans les archives publiques et les décisions judiciaires.


Une procédure CNIL peut être déclenchée par tout citoyen au moyen d’une simple lettre.



Les tribunaux pénaux


Le code pénal rassemble dans un chapitre dédié aux atteintes à la personnalité les dispositions sanctionnant les atteintes à la vie privée, à la tranquillité des personnes, au secret, à la protection des données personnelles et au respect du droit de réponse. Le droit d’auteur est aussi sanctionné pénalement, dans le code de la propriété intellectuelle.


Prescription usuelle en matière d’atteintes à la personnalité : 3 ans / 1 an



Les tribunaux civils :


Le code civil permet d’obtenir des dommages-intérêts en réparation d’un préjudice s’il peut être démontré un lien entre ce préjudice et un usage inapproprié de données personnelles. Ce sera particulièrement le cas en matière de droit d’auteur, d’atteinte à la vie privée, de profit illicite.


Il peut être aussi possible d’obtenir des mesures préventives à travers des procédures d’urgence (référé ou requête) prévues explicitement dans le cadre d’une activité sur internet par l’article 6.I.8 de la LCEN.


Toutefois le droit civil ne peut avoir pour effet d’ajouter des restrictions à la liberté d’expression autres que celles déjà prévues par la loi sur la presse, dénommées “délits de presse”, tels que l’injure et la diffamation, et soumis à des régimes procéduraux spécifiques.


Prescription civile usuelle : 3 ans, 5 ans


****
Données nominatives, Informatique et libertés

#cloudDays 2017

#cloudDays 2017, aujourd'hui, avec les acteurs du cloud et l'évocation du thème de la mise en conformité #RGPD, cf. l'ensemble d...