(Français) MARCHE UNIQUE NUMERIQUE & AUDIOVISUEL : La directive « Services de médias audiovisuels » (SMA) enfin transposée en droit français (Ordonnance de transposition, prise sur le fondement de l’habilitation prévue par la loi dite « DDADUE » n° 2020-1508 du 3 décembre 2020, a été signée par le Président de la République le 21 décembre 2020)

Sorry, this entry is only available in French.

Le marché unique numérique continue à déployer ses effets. Ce chantier lancé au niveau européen a fait l’objet de plusieurs règlements et directives. Ces dernières sont en cours de transposition dans les différents États membres de l’Union européenne. Il en est ainsi de la directive (UE) 2018/1808 du Parlement européen et du Conseil du 14 novembre 2018 modifiant la directive 2010/13/UE visant à la coordination de certaines dispositions législatives, réglementaires et administratives des États membres relatives à la fourniture de services de médias audiovisuels (dite directive « Services de médias audiovisuels » ou « Directive SMA »). La Directive SMA apporte deux innovations importantes : elle permet à chaque État membre de l’UE :

  • D’appliquer son régime de contribution à la production d’œuvres cinématographiques et audiovisuelles aux services de télévision et de médias audiovisuels à la demande (SMAD) relevant de la compétence d’un autre État membre et qui visent son territoire ;

  • D’étendre la régulation audiovisuelle aux plateformes de partage de vidéos (notamment afin de protéger les mineurs et le public en général de certains contenus).

La transposition de la Directive SMA a pris du retard. Elle aurait dû être transposée avant le 19 septembre 2020 par le projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique. Mais son examen a été interrompu du fait de la crise sanitaire, lors de la première vague, alors que le projet avait été adopté par la commission des affaires culturelles et de l’éducation de l’Assemblée nationale le 5 mars 2020.

La Directive SMA a résisté à la deuxième vague du COVID-19. L’ordonnance de transposition, prise sur le fondement de l’habilitation prévue par la loi dite « DDADUE » n° 2020-1508 du 3 décembre 2020, a été signée par le Président de la République le 21 décembre 2020. Elle a été publiée au Journal officiel du 23 décembre 2020.

L’ordonnance modifie la loi du 30 septembre 1986 relative à la liberté de communication (nouveau régime applicable aux plateformes de partage de vidéos), le code du cinéma et de l’image animée, ainsi que les délais relatifs à l’exploitation des œuvres cinématographiques.

Parmi les innovations et modifications importantes apportées à l’ordonnancement juridique français, signalons en substance que l’ordonnance :

  • Étend le régime de contribution à la production d’œuvres aux services de télévision et aux services de médias audiovisuels à la demande (SMAD) étrangers visant la France. Cette disposition est présentée comme de nature à permettre d’assurer une équité dans l’application des règles entre les services étrangers et les services établis en France, déjà assujettis au régime de contribution à la création. Concrètement, les services américains de SVOD ont désormais l’obligation de contribuer à la production de programmes audiovisuels européens ;

  • Crée un titre IV au sein de la loi du 30 septembre 1986 fixant notamment le nouveau régime applicable aux plateformes de partage de vidéos, dont l’objet est d’étendre la régulation audiovisuelle à ces plateformes et ce sous l’égide du CSA ;
  • Encadre certains contenus par exemple en interdisant, outre les incitations à la haine et la violence, la provocation à la commission d’actes de terrorisme, en renforçant les règles de protection des mineurs (par l’interdiction faite aux éditeurs de services de traiter à des fins commerciales des données à caractère personnel des mineurs ou en prévoyant l’adoption, par les éditeurs de services, de codes de bonne conduite afin de prévenir l’exposition des enfants aux publicités relatives des aliments ou boissons dont la présence excessive dans le régime alimentaire n’est pas recommandée) ou encore en adaptant le régime du placement de produit ;
  • Permet au Gouvernement de fixer, par décret, un délai à la renégociation de l’accord professionnel du 6 septembre 2018relatif à la chronologie des médias et en cas d’échec des négociations, d’établir temporairement la durée et les modalités des fenêtres d’exploitation qui ne résultent pas de la loi.
Share this post: Facebook Twitter LinkedIn

(Français) CONDITIONS GENERALES D’UTILISATION (CGU) & INTERNET : Une clause attributive de compétence contenue dans des CGU est inopposable lorsque leur acceptation résulte de la simple utilisation du site internet (CA Paris, pôle 5, ch. 4, 6 janvier 2021, 20/08857, Tripadvisor / Viaticum).

Sorry, this entry is only available in French.

La décision rendue le 6 janvier dernier est l’occasion pour la Cour d’appel de Paris de rappeler une jurisprudence, désormais constante, en vertu de laquelle une clause attributive de compétence est en principe licite lorsqu’elle est invoquée dans un litige à caractère international, mais elle n’est opposable à une partie qui si cette dernière en a eu connaissance et l’a acceptée au moment de la formation du contrat.

La vérification du respect de ces conditions suppose une appréciation précise du parcours de l’internaute sur le site internet ainsi que de la rédaction des CGU dans lesquelles la clause attributive de compétence est insérée. La Cour retient qu’en l’espèce, les conditions n’étaient pas remplies car les CGU stipulaient que leur acceptation était présumée du seul fait de l’utilisation du site, sans qu’il soit démontré que l’internaute en avait, par ailleurs, eu connaissance et les avaient acceptées.

Seule l’acceptation en connaissance de cause, par l’internaute, de CGU rédigées dans des termes lisibles et claires permet l’opposabilité de la clause attributive de compétence qui y est insérée.

Share this post: Facebook Twitter LinkedIn

(Français) ATTAQUES PAR « CREDENTIAL STUFFING » & MESURES DE SECURITE : Recommandations de la CNIL pour prévenir et se protéger face aux attaques par « credential stuffing » ou bourrage d’identifiants (Recommandations CNIL, La violation du trimestre, 12 janvier 2021).

Sorry, this entry is only available in French.

La CNIL a publié le 12 janvier dernier ses recommandations face aux attaques par bourrage d’identifiants. Ces attaques, qui reposent sur le principe que les internautes se servent souvent du même mot de passe et du même identifiant pour différents services, consistent à réaliser des tentatives d’authentification massives sur des sites et services web à partir de couples identifiants/mots de passe, obtenus à la suite d’une violation de données.

En cas d’attaque, la CNIL recommande d’organiser une cellule de crise, d’analyser les journaux d’accès (« logs ») pour déterminer la nature de l’attaque, d’informer les personnes concernées par une alerte leur proposant de modifier leur mot de passe, d’enregistrer la violation dans le registre adapté et de la notifier à la CNIL.

Plus intéressantes sont les mesures de sécurité proposées par la CNIL pour prévenir les futures attaques par « credential stuffing ». Il s’agit, d’une part, d’exclure le risque d’une attaque en subordonnant l’accès à un service, non seulement à l’utilisation d’un identifiant et d’un mot de passe, mais également d’une connexion multifacteur (comme l’envoi d’un SMS de confirmation). D’autre part, le risque d’une telle attaque peut être réduit, selon la CNIL, en ayant recours, au stade de la connexion de l’internaute, à un CAPTCHA ou en imposant que l’identifiant ne soit pas l’adresse courriel de l’utilisateur.

A défaut de mise en place de ces mesures par les entreprises exposées aux attaques par bourrage d’identifiants, la CNIL pourrait retenir, entre autres, cet élément pour caractériser la violation de l’obligation de sécurité du responsable de traitement ou du sous-traitant.

Share this post: Facebook Twitter LinkedIn

(Français) COOKIES, INFORMATION & CONSENTEMENT : La CNIL a sanctionné lourdement Google et Amazon pour non-respect des règles relatives aux cookies, et plus particulièrement celles relatives à l’information préalable et au consentement de l’utilisateur, d’où l’on peut tirer quelques leçons pratiques (CNIL, Délibérations SAN-2020-012 et SAN-2020-013 du 7 décembre 2020).

Sorry, this entry is only available in French.

Ces deux délibérations de la CNIL traitent d’abord de la compétence matérielle de cette dernière, contestée par Google et Amazon au profit de celle de l’autorité « Chef de file » prévue par le RGPD, et de sa compétence territoriale, également contestée par les « GA ». Sans développer le raisonnement, complexe, indiquons seulement que la disposition légale en cause sur le fond, l’article 82 de la loi Informatique & Libertés, est la transposition en droit français de l’article 5 (3) de la Directive 2002/58/CE du 12 juillet 2002 dite « ePrivacy », en sorte que les règles pertinentes relatives à la compétence ne sont pas celles du RGPD mais celles, supplétives en quelque sorte, de la loi Informatique et Libertés. Et ces dispositions permettent à la CNIL de décider qu’elle est compétente aussi bien au plan matériel que territorial.

Sur le fond, on sait que l’article 82 précité subordonne l’implantation de cookies ou autres traceurs, qui permettent soit de stocker des informations sur le terminal d’un utilisateur soit d’y accéder (quel que soit ce terminal : ordinateur, tablette, téléphone, ordinateur de bord d’une voiture, etc.), au consentement préalable de ce dernier, qu’il doit donner après avoir reçu une information « claire et complète » notamment sur les finalités des traitements ainsi opérés et les moyens dont il dispose pour s’y opposer. Cela sous réserve des exceptions limitativement prévues par la loi en faveur des cookies (i) ayant pour finalité exclusive de faciliter la communication ou (ii) nécessaires à la fourniture du service, dont ne font pas partie les cookies publicitaires.

Or, les contrôles de la CNIL avaient établi que plusieurs cookies publicitaires étaient déposés sur le terminal de l’utilisateur dès sa première visite sur les sites du moteur de recherche de Google et de vente en ligne d’Amazon, avant tout action de sa part.

Cela suffisait à entrer en voie de condamnation puisqu’à l’évidence, l’exigence du consentement ne pouvait être respectée.

Mais la CNIL insiste également sur le défaut ou l’insuffisance d’information préalable. Dans le cas d’Amazon, le bandeau présent sur le site indiquait que des cookies étaient déposés afin « offrir et améliorer les services », suivie d’un lien « En savoir plus » : information trop vague et donc insuffisante aux yeux de la CNIL, car l’utilisateur n’est pas en mesure de comprendre, à la lecture du bandeau, « le type de contenus et d’annonces susceptibles d’être personnalisés en fonction de son comportement ».

Et elle décide que, lorsque l’utilisateur arrive sur le site d’Amazon via une publicité diffusée sur un site tiers, l’icône « Adchoices » présente sur la publicité, sur laquelle il faut cliquer pour accéder à des informations relatives aux cookies, équivaut à une absence d’information, car on ne peut « raisonnablement attendre » de l’utilisateur qu’il clique sur une telle icône.

Dans le cas de Google, la CNIL juge que le renvoi à la politique de confidentialité est insuffisant, d’autant que cette politique ne contenait elle-même aucune disposition relative aux cookies ; pour accéder à ces dernières, il fallait faire défiler toute la politique de confidentialité sans cliquer sur les divers liens proposés, pour découvrir en bas de page un lien « Autres options » qui menait enfin aux informations relatives aux cookies. Selon la CNIL, cette « architecture informationnelle » ne permettait aux utilisateurs d’être clairement et préalablement renseignés sur les opérations réalisées via les cookies.

Les interfaces de recueil du consentement en matière de cookies dont l’usage se généralise aujourd’hui, conformément aux lignes directrices de la CNIL du 4 juillet 2019 (qui existaient déjà lors des faits litigieux !) modifiées le 17 septembre 2020, permettent en principe de répondre aux exigences légales. Mais encore faut-il (i) y recourir, ce qui n’est pas toujours le cas notamment en matière de publicités sur mobile et (ii) que l’information fournie par leur intermédiaire, en particulier sur la finalité des cookies, soit suffisamment claire et précise.

Les sanctions sont lourdes : outre la publication des décisions et l’injonction de se conformer aux règles applicables sous astreinte de 100.000 euros par jour (quand même), les sociétés Google sont condamnées à 100 millions d’euros d’amende, et Amazon à 40 millions d’euros.

Alors que la CNIL a annoncé que le délai de mise en conformité à la dernière version de ses lignes directrices expirerait fin mars 2021, ces condamnations rappellent qu’il ne faut pas plaisanter avec les cookies.

Share this post: Facebook Twitter LinkedIn

(Français) DROIT DU PRODUCTEUR DE BASE DE DONNÉES : Dans un arrêt du 2 février 2021, la cour d’appel de Paris juge que la « sous base » de données relative aux annonces immobilières présentes sur le site leboncoin.fr est protégée par le droit du producteur de bases de données, et que leur reprise partielle au sein du site entreparticuliers.com porte atteinte à ce droit. L’arrêt apporte des précisions utiles quant à l’accès à la protection des bases de données d’annonces et quant aux effets de cette protection (Paris, Pôle 5 chambre 1, 2 février 2021, n°17/17688, LBC France c/ entreparticuliers.com).

Sorry, this entry is only available in French.

La cour d’appel juge d’abord que la sous base de données en ligne constituée des annonces immobilières disponibles sur le site leboncoin.fr est protégée par le droit du producteur de données, car elle est le fruit d’investissements substantiels relatifs à la collecte des données qui la composent, ainsi qu’à leur vérification et leur présentation (étant rappelé qu’un investissement substantiel dans un seul de ces champs suffit à admettre la protection).

La cour accueille, au titre de la collecte des données, les investissements de communication destinés à multiplier le nombre d’annonceurs utilisant le service du Bon Coin. On sait que dans ses arrêts du 9 novembre 2004 (aff. C-444/02, C-46/02 et C-388/02) proposant un véritable vademecum du droit du producteur de base de données, la Cour de Justice a notamment dit pour droit que seuls devaient être pris en compte, au titre des investissements relatifs à la constitution de la base de données, ceux relatifs à la collecte de données préexistantes, à l’exclusion de ceux relatifs à la création de données. Et l’on se souvient peut-être que la Cour de cassation (1ère Civ., 5 mars 2009, n°07-19.535), faisant selon nous une interprétation discutable de cette solution, a jugé qu’un site d’annonces en ligne ne pouvait bénéficier de la protection, car les annonces été créées par son opérateur. Dans l’affaire rapportée, la société entreparticuliers.com, défenderesse, ne manquait pas d’en tirer argument pour contester la protection revendiquée par Le Bon Coin. La cour d’appel écarte cette défense, car, selon elle comme les premiers juges, ce sont les utilisateurs du site leboncoin.fr qui créent les annonces, et non la société exploitante du site. Par suite, les investissements invoqués par cette dernière ont bien pour objet la collecte de données préexistantes, autrement dit la constitution de la base.

Au titre de la vérification des données, la cour relève que la société LBC France atteste d’investissements substantiels relatifs (i) à un outil logiciel visant à vérifier la conformité des annonces notamment à la réglementation applicable en matière de ventes immobilières et (ii) une équipe également dédiée à leur vérification.

Enfin, au titre de la présentation des données, sont retenus notamment les investissements relatifs à la définition, la maintenance et l’évolution des règles de catégorisation de la base, ainsi qu’au design et au fonctionnement par catégories du moteur de recherche. En effet, ces investissements permettent l’accès aux annonces individuellement selon de multiples critères de recherche et relèvent donc bien de la présentation de la base.

La cour d’appel juge ensuite qu’en reprenant sur son site les « éléments essentiels » des annonces issues du site leboncoin.fr, la défenderesse avait commis des actes d’extraction et de réutilisation d’une partie substantielle de la sous base de données d’annonces immobilières du Bon Coin.

En particulier, elle écarte l’argument en défense tiré du fait qu’un certain nombre d’annonces issues du Bon Coin et présentes sur entreparticuliers.com ne contenaient pas le numéro de téléphone du vendeur et renvoyaient l’internaute désireux de le consulter, via un lien hypertexte, vers l’annonce d’origine publiée sur leboncoin.fr. Selon la cour, ce renvoi n’est pas exclusif d’une extraction substantielle et donc d’une atteinte aux droits du producteur, dès lors que sont repris par ailleurs les critères essentiels des annonces (lieu, type de bien, prix et surface). Cette indexation, dit la cour, ne relève pas de la liberté de lier sur internet mais d’une extraction prohibée.

La Cour de justice de l’Union Européenne en avait déjà jugé ainsi dans son arrêt Innoweb (19 décembre 2013, aff. C-202-12), mais c’est la première fois, à notre connaissance, qu’une juridiction française juge en ce sens, assurant ainsi l’effectivité du droit du producteur de base de données face à des pillards prompts à s’abriter derrière une « liberté d’indexation » sur internet, qu’ils dévoient à l’évidence.

Share this post: Facebook Twitter LinkedIn

(Français) LOGICIEL & CONSTITUTIONNALITE : Le délit pénal de contrefaçon de droits d’auteur d’un logiciel soumis à une question prioritaire de constitutionnalité (QPC) (Tribunal judiciaire de Bobigny, transmission à la Cour de cassation, 15 décembre 2020).

Sorry, this entry is only available in French.

Il est traditionnel de considérer que la contrefaçon de logiciel visée à l’article L. 335-3 alinéa 2 du Code de la propriété intellectuelle est pénalement sanctionnée des peines visées à l’article L. 335-2 du même code. Le premier texte prévoit l’incrimination (« Est également un délit de contrefaçon la violation de l’un des droits de l’auteur d’un logiciel définis à l’article L. 122-6 »), tandis que le second précise les sanctions encourues (« Toute édition d’écrits, de composition musicale, de dessin, de peinture ou de toute autre production, imprimée ou gravée en entier ou en partie, au mépris des lois et règlements relatifs à la propriété des auteurs, est une contrefaçon et toute contrefaçon est un délit. La contrefaçon en France d’ouvrages publiés en France ou à l’étranger est punie de trois ans d’emprisonnement et de 300 000 euros d’amende. Seront punis des mêmes peines le débit, l’exportation et l’importation des ouvrages contrefaisants. Lorsque les délits prévus par le présent article ont été commis en bande organisée, les peines sont portées à cinq ans d’emprisonnement et à 500 000 euros d’amende »).

Mais est-ce si sûr, dès lors que le logiciel n’est pas expressément visé dans le second texte ? Le texte d’incrimination a été édicté en 1994, date de transposition de la directive 91/250 CCE du 14 mai 1991 organisant la protection des logiciels par le droit d’auteur, alors que celui relatif aux sanctions est bien antérieur (il existe dans le code de la propriété intellectuelle depuis son édification le 1er juillet 1992 et même avant, avec l’ancien article 425 du code pénal).

Telle est la question de constitutionnalité posée dans un litige en contrefaçon opposant au pénal deux éditeurs de logiciels, l’un ayant déposé plainte contre l’autre.

La question prioritaire de constitutionnalité est libellée en ces termes : « Les dispositions de l’alinéa 2 de l’article L. 335-3 du code de la propriété intellectuelle disposant qu’est également un délit de contrefaçon la violation de l’un des droits de l’auteur d’un logiciel définis à l’article L. 122-6 portent-elles atteinte au principe de légalité des délits et des peines tel que garanti par les articles 8 de la Déclaration des droits de l’homme et du citoyen du 27 août 1789 et 34 de la Constitution du 04 octobre 1958 dans la mesure où ce texte spécifique d’incrimination n’est assorti d’aucune peine ? »

La question a été transmise par le Tribunal judiciaire de Bobigny à la Cour de cassation le 15 décembre 2020. Cette dernière doit se prononcer dans les trois mois « à compter de la réception de la transmission » afin de décider si elle transmet ou non la QPC au Conseil constitutionnel. En cas de transmission, le même délai de trois mois sera imparti au Conseil constitutionnel à compter de sa saisine pour apprécier si la disposition législative en cause porte ou non atteinte aux droits et libertés que la Constitution garantit. En cas de réponse positive, l’article L. 335-3 alinéa 2 du Code de la propriété intellectuelle en cause serait donc abrogé.

Share this post: Facebook Twitter LinkedIn

(Français) DROIT D’AUTEUR & « COPYRIGHT TROLLS » : L’Avocat général de la CJUE a rendu des conclusions visant à refuser la qualité pour agir au licencié qui n’entend pas exploiter les droits concédés (Conclusions de l’Avocat général, M. Maciej Szpunar, 17 décembre 2020, aff. C-597/19, Mircom International Content Management & Consulting (M.I.C.M.) Limited c. Telenet BVBA, Proximus NV, Scarlet Belgium NV).

Sorry, this entry is only available in French.

L’Avocat général a rendu des conclusions en réponse aux questions préjudicielles posées par un tribunal belge à la Cour de justice de l’Union européenne dans une affaire où un titulaire de contrats de licence pour la communication au public de films sur des réseaux peer-to-peer demandait à des fournisseurs d’accès à internet les données d’identification de certains utilisateurs de ces réseaux qui auraient porté atteinte aux droits qui lui ont été concédés.

Outre les questions portant sur la qualification des actes commis par les utilisateurs sur ces plateformes de partage et la possibilité d’obtenir les données d’identification desdits utilisateurs, il est demandé à la CJUE si le titulaire des contrats de licence, qui n’exploite pas les droits sur les œuvres protégées qui lui ont été concédés, mais se borne à exiger des indemnités auprès des personnes qui portent atteinte à ces droits, a qualité pour bénéficier des mesures, des procédures et des réparations prévues au chapitre II de la directive 2004/48/CE (du 29 avril 2004 relative au respect des droits de propriété intellectuelle).

Sur ce point, l’Avocat général considère que si la juridiction nationale constate que l’acquisition des droits par l’organisme avait pour seul but d’obtenir la qualité pour agir, ce comportement doit être qualifié d’abus de droit et cette qualité doit lui être refusée. Il admet en revanche que l’organisme puisse être qualifié de cessionnaire de créances liées aux atteintes aux droits de propriété intellectuelle, dont il appartient à la juridiction nationale de vérifier que le droit national donne, à ce titre, qualité pour agir.

L’Avocat général cherche ainsi à limiter les actions pouvant être intentées par les organismes désignés, en pratique, de « copyright trolls », suivant un raisonnement qui doit encore être confirmé par la CJUE pour être applicable.

Share this post: Facebook Twitter LinkedIn

(Français) LIENS HYPERTEXTE & DROIT D’AUTEUR, SUITE : La Cour de Justice de l’Union Européenne est saisie d’une question préjudicielle mettant aux prises le droit d’auteur et les liens hypertexte de type « framing » et « inline linking », qui permettent d’insérer une image ou une autre ressource au sein d’une page Web. L’occasion pour elle de compléter et préciser le régime des liens hypertextes élaboré au fil de sa jurisprudence antérieure (Conclusions de l’Avocat général, 10 septembre 2020, aff. C-392/19, VG Bild-Kunst c/ Stiftung PreuBischer Kulturbestiz),

Sorry, this entry is only available in French.

Dans ses conclusions, l’Avocat général propose à la Cour de juger que l’insertion, au sein d’une page Web, d’une œuvre protégée par le droit d’auteur au moyen d’un lien hypertexte cliquable (technique dite du « framing »), et nécessitant donc une action de l’internaute visiteur du site, ne constitue pas un acte de communication au public soumis l’autorisation du titulaire de ce droit d’auteur. Et cela, même si ce lien contourne une mesure technique visant précisément à empêcher le framing.

Il propose à l’inverse de juger que cette insertion constitue un acte de communication au public soumis au droit d’auteur si elle est réalisée au moyen d’un lien d’insertion (« inline linking » ou « hotlinking »), lequel n’implique pas d’action additionnelle du visiteur du site.

Cette solution, qui repose sur une analyse subtile de la notion de « public nouveau », permet à l’Avocat général de réconcilier les deux interprétations de cette notion données par la Cour respectivement dans ses arrêts Svensson (13 février 2014, aff. C-466/12) et Renkhoff (7 août 2018, aff. C-161/17), qui pouvaient paraître contradictoires. On attend donc avec impatience la décision de la Cour.

Share this post: Facebook Twitter LinkedIn

(Français) RESPONSABILITÉ EN LIGNE : LE PROJET DE RÈGLEMENT EUROPÉEN SUR LES SERVICES NUMÉRIQUES, DIT « DIGITAL SERVICES ACT » ou « DSA »

Sorry, this entry is only available in French.

La commission européenne a présenté, le 15 décembre 2020, son projet de Règlement visant à harmoniser le cadre juridique des services en ligne en renforçant les obligations des opérateurs de ces services (Commission européenne, Proposition de Règlement du 15 déc. 2020, COM (2020) 825 final.

Le projet de Règlement « DSA », qui est soumis à la procédure législative ordinaire de l’Union européenne, ambitionne de mieux protéger les consommateurs en renforçant la transparence des opérateurs de services en ligne et en clarifiant les modalités de leur responsabilité.

A s’en tenir à l’essentiel, il créée trois grandes catégories d’opérateurs :

1/ Les prestataires de services intermédiaires, qui ne sont autres que, principalement, les fournisseurs d’accès et d’hébergement, dont le régime de responsabilité issu de la directive du 8 juin 2000 dite « commerce électronique » est maintenu, le critère de leur rôle « passif », édicté par la jurisprudence de la Cour de justice, étant même codifié, sous réserve de deux évolutions : en premier lieu, ces opérateurs devront désigner un point de contact unique à destination des autorités, et se voient imposer une obligation de transparence, notamment sur les moyens et les procédures de modération qu’ils mettent en œuvre ; en second lieu, les hébergeurs devront mettre en place un dispositif de notification des contenus illicites qui, si le texte était adopté en l’état, rendra caduc les exigences formelles de notification issues de l’article 6.I.5° de la LCEN et de son interprétation par la Cour de cassation.

2/ Les plateformes en ligne (qui incluent les hébergeurs et s’en distinguent difficilement) qui, outre l’obligation de mettre en place le dispositif de notification précité, doivent également instaurer un mécanisme gratuit de traitement interne des plaintes. Le projet impose également la création d’un « signaleur de confiance », à qui doivent être adressées les notifications, et qui est donc une sorte d’intermédiaire entre les plateformes et les victimes de contenus illicites. Il met encore à la charge des plateformes des obligations supplémentaires d’information ainsi qu’une obligation de transparence accrue en matière de publicité.

3/ Enfin, les « très grandes plateformes », c’est-à-dire dont le nombre moyen d’utilisateurs actifs mensuels est égal ou supérieur à 45 millions, outre les obligations qui s’imposent aux plateformes « simples », devront réaliser des analyses d’impact des risques systémiques résultant du fonctionnement et de l’utilisation de leurs services.

Leurs obligations d’information et de transparence sont également renforcées.

L’on suivra donc avec attention le devenir de ce projet, qui a déjà suscité les réactions d’un certain nombre de secteurs professionnels et qui va évidemment être soumis à un fort lobbying au cours du processus législatif.

Share this post: Facebook Twitter LinkedIn

(Français) DONNÉES D’IDENTIFICATION & SERVICES DE COMMUNICATION ÉLECTRONIQUES : Le conseil d’État « sauve » l’essentiel du dispositif légal français imposant aux opérateurs des services de communication électroniques de conserver les données dites de « connexion », notamment aux fins de recherche d’infractions (CE, 21 avril 2021, décision n°393099).

Sorry, this entry is only available in French.

Le Conseil d’État était saisi par plusieurs associations de défense des droits et libertés des personnes de la non-conformité au droit européen et donc de l’abrogation – pour faire simple, notamment des articles R.10-13 du code des postes et des communications électroniques et du décret du 25 février 2011, pris respectivement en application de l’article L.34-1 du même code et de l’article 6.II de la loi du 2 juin 2004 dite « LCEN », déterminant les données dites de « connexion », que les opérateurs de services de communication au public en ligne doivent conserver en application de deux textes légaux précités.

Ces données sont, en pratique, essentielles pour identifier notamment les auteurs d’infractions sur internet, et donc dans la lutte contre les contenus illicites, quel que soit le fondement de cette illicéité.

C’est dire l’importance de la décision du Conseil d’État, l’abrogation du dispositif légal français étant de nature à priver les victimes de ces contenus de la faculté d’identifier leurs auteurs (sur requête de l’autorité judiciaire), et ainsi d’agir à leur encontre.

Par décision avant dire droit du 26 juillet 2018, le Conseil d’État avait posé plusieurs questions préjudicielles à la CJUE en interprétation des textes européens en cause, principalement l’article 15 de la directive 2002/58/CE du 12 juillet 2002 dite « directive vie privée et communications électroniques », et l’article 23 du RGPD.

La Cour de Justice s’est prononcée par un arrêt du 6 octobre 2020 (Aff. Jointes C-511/18, C-512/18, C-520-18), dont la première lecture pouvait laisser penser que le dispositif français était condamné, puisqu’elle a jugé, pour l’essentiel, que le droit européen excluait la conservation générale et indifférenciée des données de connexion – ce que semblaient bien organiser les textes français précités.

Interprétant cet arrêt dans sa décision du 21 avril dernier, le Conseil d’État sauve cependant l’essentiel du dispositif, en ne déclarant non conformes au droit européen que certains aspects limités de ces textes.

Pour cela, il distingue, à l’instar des textes européens, selon les catégories de données en cause.

En premier lieu, il estime que les données relatives à l’identité civile des utilisateurs de moyens de communication électroniques peuvent faire l’objet, en droit européen, d’une obligation générale et indifférenciée de conservation sans limitation de durée, notamment pour les besoins de toute procédure pénale et de la prévention de toute menace contre la sécurité publique. Il en déduit que les textes légaux et règlementaires français contestés sont, pour ces données et pour ces finalités, conformes au droit de l’Union.

En second lieu, il juge également qu’une obligation de conservation générale et indifférenciée des adresses IP est légitimement imposée aux opérateurs, au regard du droit européen tel qu’interprété par Cour de justice, dès lors qu’elle est limitée aux besoins de la recherche, la constatation et la poursuite d’infractions d’une gravité suffisante pour justifier l’ingérence qui en résulte dans les droits et libertés des personnes protégés par la Charte des droits fondamentaux de l’Union. Autrement dit, cette obligation est proportionnée à sa finalité, qui est légitime.

En troisième lieu, le Conseil d’État juge que les textes français, en imposant une obligation générale et indifférenciée des données de localisation et de trafic autres que les adresses IP, sans prévoir un réexamen périodique du dispositif au regard des risques existants par ailleurs pour la sécurité nationale, sont, dans cette mesure, contraire au droit de l’Union. Il enjoint donc au Gouvernement de compléter ces textes dans un délai de six mois à compter de sa décision.

En quatrième et dernier lieu, il juge encore que les textes nationaux en cause, en ce qu’ils prévoient à la charge des opérateurs une obligation de conservation générale et indifférenciée des données de connexion autres que celles relevant des précédentes catégories, pour toute autre finalité que l’existence d’une menace grave pour sécurité nationale (i.e. le terrorisme), est contraire au droit de l’Union. Le Gouvernement dont donc les abroger, dans cette mesure, dans un délai de six mois à compter de la décision du Conseil d’État.

Mais, comme ce dernier décide par ailleurs que cette même obligation est justifiée pour lutter contre le terrorisme, les opérateurs devront continuer à conserver lesdites données, qui sont souvent essentielles à l’identification d’auteurs d’infractions.

Certes, ils ne pourront les communiquer que dans le cadre de la lutte contre le terrorisme.

Cependant, comme la Cour de justice, dont son arrêt du 6 octobre 2020, admet qu’il puisse être fait obligation aux opérateurs de conserver de manière ciblée ces données notamment à des fins de prévention des atteintes à la sécurité des personnes et des biens et de recherche des auteurs d’infractions, il suffira que le juge ordonne une telle obligation aux opérateurs (qui conservent lesdites données pour lutter contre le terrorisme), pour ensuite solliciter auprès d’eux leur communication, notamment pour identifier les auteurs d’infractions.

Le Conseil d’État relève expressément, dans l’arrêt rapporté, cette solution de contournement, bien qu’il ne la qualifie pas de telle.

Est ainsi préservé l’essentiel du dispositif légal permettant d’identifier les auteurs de contenus illicites en ligne.

Share this post: Facebook Twitter LinkedIn