E-réputation : l’importance de recourir à l’arsenal juridique

e-réputation

Virginie Bensoussan Brulé évoque pour Net Wash l’arsenal juridique protégeant l’e-réputation et l’importance d’y recourir à bon escient.

Comme l’explique Stéphane Alaux (1), précurseur dans le monde du référencement et fondateur de Net Wash en exergue de la publication, sur son site, de l’entretien que lui a accordé Virginie Bensoussan Brulé, « le juridique est devenu dans ce domaine un levier d’action puissant », d’autant que « l’utilisation des voies juridiques connaît de grandes avancées dans ce domaine ».

La e-réputation est l’image que les internautes peuvent se faire d’une personne physique ou morale à partir des informations trouvées sur internet et sur les réseaux sociaux.

Il s’agit, en d’autres termes, de l’image en ligne de chacun, comme l’a défini la Commission nationale de l’informatique et des libertés (Cnil) qui ajoute que celle-ci est entretenue par « tout ce qui concerne et qui est mis en ligne sur les réseaux sociaux, les blogs ou les plateformes de partage de vidéos, directement par les personnes concernées mais aussi par des tiers » (2).

Une chose est certaine : l’e-réputation est devenue un véritable enjeu, chacun devant toujours avoir présent à l’esprit que tout ce qui est posté sur les réseaux sociaux et internet reste sur le Web, dans la mesure où sa mémoire et les capacités d’y poster des données accessibles à tous sont virtuellement infinies.

Virginie Bensoussan-Brulé VIBAu départ, comme l’explique Virginie Bensoussan Brulé, directrice du Pôle Contentieux numérique du cabinet Lexing Alain Bensoussan Avocats, « internet étant appréhendé comme un nouveau média, ce sont essentiellement les principes de respect de la vie privée et de la liberté d’expression qui ont présidé à l’encadrement juridique du web ». Mais avec l’apparition de l’internet 2.0, celui des réseaux sociaux et des atteintes à la réputation qui s’en sont suivis, « plusieurs dispositions législatives sont venues permettre de répondre aux atteintes à l’e-réputation » qui relèvent principalement « d’une part des dispositions applicables aux infractions de presse, d’autre part du droit du numérique ».

Quant aux principales avancées juridiques en la matière, elles concernent à ses yeux l’émergence et/ou la consécration de principes encadrant les règles de droit applicables au réseau Internet : « Pour l’essentiel le principe de neutralité face aux contenus des pages web ; le principe d’irresponsabilité des prestataires techniques du réseau Internet ; l’absence d’obligation générale de surveillance des contenus de tiers hébergés par les prestataires techniques ».

E-réputation : la voie judiciaire doit être exercée avec tact

Et l’avocate de préciser : « La protection par la voie judiciaire de l’atteinte à la e réputation doit par conséquent être exercée avec tact ». C’est la raison pour laquelle, bien qu’il soit toujours possible de faire cesser ou de réprimer les atteintes à son e-réputation, la solution la plus efficace est encore de renforcer sa vigilance en amont notamment par les actions suivantes : « Faire un état des lieux des informations publiées sur les réseaux sociaux et sur Internet et déterminer si l’empreinte numérique laissée par un individu ou une l’entreprise et ses dirigeants reflète bien leur image de manière fidèle ; actualiser régulièrement les profils personnels et professionnels ; et pour les entreprises, mettre en place un guide des bonnes pratiques au sein de l’entreprise ».

Pour autant, il est essentiel de savoir que les individus ou entités concernés disposent, en cas d’atteinte à leur e-réputation, d’un large arsenal juridique pour faire cesser ou réprimer celle-ci : « Ainsi, lorsque l’atteinte peut être qualifiée d’injure ou de diffamation, un individu ou une entreprise peuvent agir sur le fondement des articles 29 et suivants de la loi du 29 juillet 1881 sur la liberté de la presse. D’autres actions sont encore possibles au pénal, sur les fondements de l’atteinte à la vie privée ou de l’usurpation d’identité en ligne, et au civil, ou encore sur le fondement de la violation du droit à l’image, ou encore, lorsque les propos ne peuvent être qualifiés d’injure ou de diffamation, sur le fondement du dénigrement ».

e-réputation livre Stephane Alaux

Éric Bonnet
Avocat, Lexing Alain Bensoussan Avocats
Directeur de la Communication juridique

(1) Stéphane Alaux est également l’auteur de « Carnet de voyage d’un nettoyeur du net » préfacé par Virginie Bensoussan Brulé (janvier 2020)
(2) Cnil, Nos conseils pour mieux maîtriser votre réputation en ligne. 




Le réseau Lexing vous informe sur la sécurité de l’internet des objets

Ce numéro spécial international du réseau Lexing ® se penche sur la sécurité de l’internet des objets.

Aucun produit ou service TIC, et a fortiori aucun objet connecté, n’est totalement sécurisé sur le plan de la cybersécurité. En outre, la cybersécurité n’est pas qu’une question liée à la technologie. Il s’agit d’une question pour laquelle le comportement humain est tout aussi important.

Deux textes majeurs encadrent la sécurité des systèmes : le Règlement général sur la protection des données et le Règlement sur la cybersécurité.

Les citoyens, les organisations et les entreprises sont vivement encouragés par le législateur à adopter une « hygiène informatique ». Cette dernière consiste à prendre des mesures simples et de routine ;  lorsqu’elles sont mises en œuvre et effectuées régulièrement, elles renforcent la sécurité des objets connectés et atténuent les risques.

Dans ce numéro de « Lexing Insights », les membres du réseau Lexing ® dressent un tableau de la situation actuelle à travers le monde :

  • Quelles menaces font peser les objets connectés ?
  • Que peuvent, ou doivent, faire les fabricants pour prévenir, gérer et corriger les failles de sécurité ?
  • Quelles mesures sont prises par les pays dans le monde pour sécuriser l’IoT ?
  • Comment établir un cadre de confiance et développer des bonnes pratiques ?

Les membres du réseau Lexing dressent un tableau de la situation actuelle en Afrique du SudAllemagneBelgiqueFranceGrèce.

Lettre Juristendances Internationales « Lexing Insights » n°22 Juillet 2019




DataXDay : vers la propriété et la monétisation des données personnelles

DataXDayAlain Bensoussan est intervenu le 17 mai 2018 lors de la conférence DataXDay sur le thème de la propriété et de la monétisation des données personnelles.

Dans un monde hyperconnecté, la question de la propriété et de la monétisation des données personnelles est à l’ordre du jour.

Il s’agit d’une question majeure pour les data scientist et le monde de l’IA qui suscite aujourd’hui un débat international.

Selon Alain Bensoussan, le droit de chacun de fixer un prix sur ses propres informations semble inévitable à long terme. A cet effet, il donne des pistes de réflexion notamment grâce au droit des contrats.

DataXDay est une conférence technique autour du monde de la data, destinée aux passionnés et professionnels.

Big Data, Smart Data, machine learning, etc. autant de sujets abordés lors de cette conférence par des experts de renommée internationale qui travaillent sur l’exploitation des données et les technologies associées.

DataXDay Paris, 17 mai 2018.




Le point de vue de l’avocat sur les youtubeurs-influenceurs

influenceursAlain Bensoussan a répondu aux questions de France 3 sur les youtubeurs-influenceurs dans l’émission qui leur était consacrée le 29 janvier 2018.

« Les vidéos de mode et beauté attirent des dizaines de milliards de vues dans le monde. Plus de 100 millions de chaînes beauté existent sur YouTube. Leur public est essentiellement composé de jeunes femmes entre 15 et 35 ans (#viewer ou #follower). Très puissantes, on les appelle aujourd’hui, les influenceuses. »

Les Youtubeurs-influenceurs et le sponsoring

Les youtubeurs dont il est question dans cette émission, sont des jeunes femmes qui présentent des produits de beauté, expliquent comment s’en servir et ce qu’elles en pensent. Le plus souvent, il s’agit d’une opinion toute personnelle et c’est ce qui fait le succès de ces clips auprès d’un public de plus en plus jeune et influençable.

Mais l’argent modifie l’approche de ces influenceurs. En effet, beaucoup de leurs vidéos contiennent un placement produit, c’est-à-dire une publicité rémunérée, les youtubeurs étant contactés par des marques pour faire leur promotion.

Il ne s’agit plus alors simplement d’une expérience personnelle partagée avec des followers car la marque qui est citée, l’est à l’initiative de cette marque. Ce n’est plus un simple échange de vues sur des réseaux sociaux mais une annonce à caractère commerciale, une collaboration commerciale.

Les Youtubeurs-influenceurs et la transparence

On est à la limite de la tromperie du consommateur et en l’absence de réglementation spécifique, la règlementation actuelle est applicable. Des sanctions existent pour ce type d’infraction : entre 300 000 euros d’amende et 2 ans d’emprisonnement.

L’ARPP, autorité de régulation professionnelle de la publicité, a décidé de proposer aux youtubeurs-influenceurs et aux marques des bonnes pratiques de transparence et de loyauté à l’égard du public.

L’obligation, a minima, serait de prévenir, lorsque la vidéo est sponsorisée par une marque, cette transparence est un gage de confiance et de crédibilité.

Les Youtubeurs-influenceurs mineurs

Un autre point pose réellement problème, il s’agit des vidéos faites par des enfants que ce soit à l’attention d’autres enfants ou d’adultes. Il n’est pas du tout certain que laisser des mineurs tester des produits cosmétiques pour adultes soit vraiment éthique ou légal, si les produits en question ne sont pas normalement destinés à des enfants et d’autant plus si ce sont les marques en question qui fournissent directement ces jeunes.

Bien que les réseaux sociaux et plateformes sur internet soient interdits aux mineurs de moins de treize ans, nombre d’entre eux y apparaissent, semble-t-il, sans aucun encadrement alors que le consentement d’un adulte titulaire de l’autorité parentale est indispensable dans ce type de relation à caractère contractuel.

Il est toujours possible de dénoncer les vidéos présentant des situations anormales.

Les Youtubeurs-influenceurs et le cyberharcèlement

Cette activité n’est pas sans risque et les réactions du public ne sont pas toujours positives. Les commentaires peuvent être très violents et l’agressivité des #haters virer au harcèlement. Ces menaces, cette haine, cette violence, très destructeurs, sont punis par la loi. Avant d’en arriver là, il faut s’en prémunir en utilisant des listes noires de mots refusés dans les commentaires et surtout ne pas inciter à la surenchère.

Lexing Alain Bensoussan Avocats

Pour lire l’article ou voir l’émission :
« Le monde merveilleux des Youtubeuses, ces nouvelles héroïnes », Marie-France Guiseppin, France 3 Occitanie, publié le 25-1-2018.
« Le monde merveilleux des Youtubeuses », film de 53 minutes réalisé par Sylvie Deleule, une coproduction Caméra One Télévision et France Télévisions pour France 3 Occitanie, avec la participation de Public-Sénat, diffusé sur France 3 Occitanie le lundi 29-1-2018 vers 23h40.

Pour approfondir le sujet, consultez le site de l’ARPP :
12-10-2017 – Intervention de l’ARPP à l’ESD Paris : « Relations marques et influenceurs : les bonnes pratiques »
28-06-2017 – Marketing d’influence et marques : quelles règles de transparence ?
30-06-2017 – Relations entre influenceurs et marques : une animation graphique sur les bonnes pratiques de transparence et de loyauté
03-04-2017 – Communication d’influenceurs et marques, nouvelles dispositions adoptées dans la Recommandation ARPP Communication publicitaire digitale
01-10-2015 – Recommandation Communication publicitaire digitale v4




Voiture autonome et vie privée : la dépendance aux données

Voiture autonome et vie privéeDans le numéro 48 de la revue PLANETE ROBOTS, Alain Bensoussan et Didier Gazagne abordent le thème « voiture autonome et vie privée ».

Il n’y a pas de voiture autonome sans voiture connectée. C’est un paradoxe, plus un véhicule est autonome, plus celui-ci est en réalité dépendant des données.

La voiture autonome est une véritable centrale de traitement de données. La conception d’un véhicule autonome implique en effet une interaction entre de nombreuses technologies qui permettent au véhicule autonome de fonctionner sur la voie publique sans l’intervention d’un conducteur humain.

Elle intègre également de l’intelligence artificielle (IA) qui permet de traiter les flux de données propres au véhicule et à l’environnement externe et d’activer les commandes du véhicule. A terme, le véhicule autonome aura besoin de capter, analyser, comprendre son environnement en permanence, devenant pour cela une véritable centrale de traitement de données.

Une large part des données utilisées sont en fait des données personnelles, dès lors qu’elles permettent l’identification directe ou indirecte des utilisateurs et occupants du véhicule. La voiture autonome (ou connectée) est donc soumise au respect de la loi Informatique et Libertés et bientôt, du règlement européen 2016/679 sur la protection des données personnelles applicable dès mai 2018.

Capteurs, actionneurs, systèmes embarqués, ordinateurs de bord, intelligence artificielle et applications diverses, chacune de ces technologies produit un gisement de données. (…)

La Cnil, anticipant la future entrée en vigueur du règlement européen, recommande d’adopter une approche de protection des données dès la conception et notamment, de prévoir les fonctionnalités nécessaires pour assurer la conformité d’un projet.

Pour Alain Bensoussan, la voiture autonome doit être « ethic by design ». Les constructeurs de voitures et les fournisseurs de plateformes IA doivent s’y engager s’ils veulent gagner la confiance des utilisateurs.

Alain Bensoussan, Didier Gazagne, pour Planète Robots, « Voiture autonome et vie privée », n°48, Novembre-Décembre 2017.




Le cadre légal de la domotique et les perspectives d’évolutions

cadre légal de la domotique

Le cadre légal de la domotique doit s’adapter afin d’appréhender les nouvelles technologies de la domotique. La notion de domotique fait référence à l’ensemble des techniques de l’électronique, de la physique, de l’automatisme, de l’informatique et des télécommunications visant à intégrer les nouvelles technologies au sein de l’habitat.

En substance, la domotique est l’application des objets connectés dans un habitat de consommateurs.

Le cadre légal de la domotique est fondamental à plusieurs égards
  • collecte de données à caractère personnel ;
  • protection de la vie privée ;
  • vente d’un produit ;
  • responsabilité des fabricants et vendeurs de domotique en cas de de détérioration ou accident ;
  • protection de l’œuvre du créateur.

Actuellement, le cadre légal français et européen ne fait pas expressément référence à la notion de domotique mais fournit des référentiels légaux, applicables en la matière, en fonction de chacun des éléments précités.

En tant que matière vivante, les perspectives d’avenir sont nombreuses, comme en témoigne l’activité législative européenne constante en ce domaine.

Le cadre légal de la domotique : les enjeux actuels

Données personnelles et domotique

Relativement au traitement de données à caractère personnel, que la domotique est susceptible d’entraîner, la loi Informatique et libertés (L. 78-18 du 6-1-1978), complétée par la directive du 24 octobre 1995 (Dir. 95/46/CE du 24-10-1995) exigent une légalité et une légitimité du traitement, afin de protéger les droits des personnes physiques.

Appliquée spécifiquement à la domotique, la loi Informatique et libertés vise à encadrer, notamment, la collecte de données sensibles ou encore les problématiques de collecte excessive, à raison des traitements permanents de données.

Le principal enjeu de la loi réside dans l’obtention, par le créateur de domotique, du consentement de la personne concernée par le traitement de données.

Vie privée et domotique

La domotique peut également constituer une menace pour les personnes qui souhaitent bénéficier d’un habitat intelligent. En effet, les risques d’espionnage ou de piratage sont nombreux et soulèvent des problématiques de protection de la vie privée.

Le Groupe de travail « article 29 » a publié un avis sur les objets connectés et le cadre légal applicable. Ces considérations sont directement applicables à la domotique.

Droit des contrats et domotique

Assez classiquement, la domotique soulève également des considérations de droit des contrats.

Tout d’abord, en tant que vente d’un produit, les règles du Code civil, notamment des articles 1582 et suivants, s’appliqueront afin de gouverner le contrat de vente conclu entre un professionnel et un consommateur.

Ensuite, des questions de responsabilité sont soulevées par l’éventuelle défaillance des objets connectés (ampoule ou cafetière défectueuses). Les fabricants pourront ainsi limiter leur responsabilité dans le cadre du contrat conclu. Toutefois, la responsabilité civile délictuelle applicable du fait des choses (C. civil art. 1242) reste une véritable question, dont les tribunaux auront vocation à traiter massivement dans les prochaines années.

Propriété intellectuelle et domotique

L’éditeur de solutions de domotique bénéficie, par ailleurs, d’une protection de ses actifs immatériels par le droit de la propriété intellectuelle.

Le droit d’auteur aura vocation à protéger des programmes informatiques ou encore les créations graphiques implémentées sur les interfaces utilisateurs (CPI art. L. 112-2).

Les bases de données générées par l’application domotique pourront bénéficier du régime sui generis de protection accordé au producteur de base de données (CPI art. L. 341-1 et s., sauf protection par le droit des brevets, sous certaines conditions).

Sur le terrain de la propriété industrielle, il conviendra à l’éditeur d’organiser les dépôts propres à faire bénéficier à ses signes distinctifs d’une protection au titre du droit des marques (CPI art. L.711-1 et s.).

Il pourra encore déposer ses dessins et modèles propres (CPI art. L.511-1 et s.) ou breveter des inventions (CPI art. L.611-1 et s.).

Le cadre légal de la domotique : les perspectives d’avenir

Le principal impact législatif en matière de domotique sera l’application du RGPD (Règl. (UE) 2016/679 du 27-04-2016) à partir du 25 mai 2018. En effet, relativement aux traitements de données, les responsables de traitement auront de nouvelles obligations à leur charge, à l’instar de l’accountability, qui renforcera les exigences d’informations envers le consommateur.

Egalement, dans le cadre des « contraintes » de demain, issues notamment du RGPD, le responsable d’un traitement de données à caractère personnel sera tenu de réaliser une analyse d’impact, mettre en œuvre une balance des intérêts, offrir aux consommateurs un niveau de « granularité » de la collecte et une fonction « do not collect ».

Toutefois, des incertitudes existent toujours, notamment quant à l’interconnexion permanente des domotiques entre elles. En effet, notre droit actuel ne prévoit pas l’hypothèse d’un éventuel droit à la déconnexion, afin de désactiver le système de collecte des informations créé par la domotique.

A ce titre la Commission européenne a préconisé l’existence d’un « droit au silence des puces » (Rec. 2009/387/CE du 12-5-2009), afin de permettre aux consommateurs d’avoir une réelle maîtrise active sur les objets connectés présents dans leur habitats.

Dans la continuité des évolutions législatives en la matière, il est possible de mentionner une directive (Dir. 2016/1148 du 6-7-2016) concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union. Aux termes de cette directive, les Etats membres seront tenus de mettre en place un cadre légal assurant un niveau de sécurité élevé des réseaux et systèmes d’information. A nouveau, le législateur européen anticipe les nouvelles problématiques de sécurisation des données, afin de protéger davantage le consommateur.

Malgré l’évolution de la réglementation, certaines questions demeurent entières.

Par exemple, la répartition des responsabilités, en cas de dommage causé à un consommateur, reste floue.

Un éclaircissement du régime de responsabilité, en raison de la multitude d’acteurs intervenant, aurait pour bénéfice de clarifier le cadre légal de la domotique et permettre au consommateur de se retourner aisément vers un acteur déterminé pour rechercher sa responsabilité.

En définitive, les perspectives d’avenir sont nombreuses et le législateur devra appréhender ces évolutions, afin de mettre en place un cadre légal de la domotique respectueux des droits des consommateurs.

Eric Le Quellenec
Arthur Benchetrit
Lexing Droit Informatique conseil

1) Loi n° 78-17 du 6-1-1978 relative à l’informatique, aux fichiers et aux libertés, modifiée.
2) Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, modifiée.
3) Avis 8/2014 du Groupe article 29 du 16-9-2014, sur les récentes évolutions relatives à l’internet des objets (WP 223).
4) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JOUE L 119 du 4-5-2016, p. 1-88).
5) Recommandation 2009/387/CE de la Commission du 12 mai 2009 sur la mise en œuvre des principes de respect de la vie privée et de protection des données dans les applications reposant sur l’identification par radiofréquence (JOUE L 122 du 16-5-2009 p. 47).
6) Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JOUE L 194 du 19-7-2016, p. 1-30).




Les données, l’élément central et malmené du TensorFlow

Les données, l’élément central et malmené du TensorFlow

Plus d’un an après le reversement du système TensorFlow en open source, la stratégie de Google interroge.

Le reversement en open source du TensorFlow

Google vient de publier la version finale de l’élément phare de son programme d’intelligence artificielle, le TensorFlow, que l’entreprise avait déjà mis gratuitement à disposition en novembre 2015 (1) . Cette technologie cruciale pour le géant de Palo Alto, est utilisée pour analyser et classer les images, pour assurer la reconnaissance vocale sur Android, ou encore pour trier les spams et envoyer des réponses automatiques via « Smart reply » sur Gmail.

En agissant de la sorte, Google a souhaité donner la possibilité à tout développeur d’enrichir librement son système et a ainsi ajouté TensorFlow à la liste des technologies machine et deep learning en open source et comprenant déjà Torch, Caffe ou Theano (2). Cette stratégie de partage à des fins d’amélioration collective n’est pas si singulière et a été partiellement suivie par Microsoft et son programme CNTK (3), ainsi que par Facebook qui a diffusé certains modules de deep learning pour Torch (4).

Aussi salutaire et bienvenue que puisse être qualifiée cette politique, elle ne doit toutefois pas être perçue comme l’avènement tant attendu du logiciel libre et du partage universel des connaissances. L’intérêt de ces entreprises est le perfectionnement gratuit et inconditionné de son système deep learning. Jouissant d’une très grande renommée auprès de l’ensemble des développeurs, le TensorFlow attire indéniablement la curiosité des plus aguerris. En prêtant attention à toutes les pistes et travaux de la communauté open source, Google peut ainsi faire profiter ses propres services et produits des différentes avancées constatées.

Google, bénéficiaire principal des progrès du TensorFlow

La raison pour laquelle Google sera le premier bénéficiaire des progrès du TensorFlow est que la valeur d’un système machine learning est avant tout fonction de la quantité de données collectées (5). En effet, puisqu’un programme de machine learning fonctionne en dotant un exemple du résultat attendu, à partir de la connaissance préalable des résultats associés aux exemples similaires, ce programme nécessite impérativement de disposer, en amont, d’une large base de données. Plus cette base de données sera importante, plus justes et étendues seront les prédictions du système learning.

Ainsi et concernant cette branche de l’intelligence artificielle, tout l’enjeu réside dans la collecte d’informations. Une entreprise aura beau avoir apporté à un algorithme machine learning toute une série d’améliorations remarquables, sans détention de données, le machine learning ne lui sera strictement d’aucune utilité. A l’opposé, Google, via notamment Google Maps, Gmail, Android et Youtube, collecte une quantité gigantesque de données, capables d’alimenter en des proportions infinies ses programmes machine et deep learning, et peut aisément se positionner comme leader sur le marché.

Le risque d’entorses à la réglementation Informatique et libertés par les machine learning

Le traitement de données constitue le cœur de la problématique machine learning et son développement tous azimuts soulève ainsi de nombreuses questions Informatique et libertés intéressant tant les principes du consentement (6) (7), celui du respect de la finalité du traitement, de la collecte loyale et licite des données (8) que celui relatif à l’interconnexion (9).

En machine learning, le programme traite les données de façon autonome et ce dernier ne se préoccupe naturellement pas de savoir si les données disponibles et utilisées sont issues d’une personne qui a préalablement donné son accord à un traitement par un programme d’intelligence artificielle. Les notions d’autonomie et d’apprentissage, inhérentes au fonctionnement du machine learning, apparaissent de facto contradictoires avec l’exigence pourtant essentielle du consentement de la personne concernée au traitement de ses données.

Par ailleurs, une difficulté supplémentaire découle du principe selon lequel le machine learning a pour essence d’établir des prédictions, et plus spécifiquement d’obtenir une information inconnue à partir de données connues (10). Selon les déductions opérées par le machine learning, un organisme privé comme public peut se procurer des informations sur un individu dans un domaine complètement étranger au domaine des données initialement collectées et acquerra une donnée dont la collecte n’a a fortiori pas été consentie ou en contradiction avec la finalité ayant justifié le traitement originaire.

De surcroît, les informations que le machine learning finira par détenir au travers de ses algorithmes prédictifs, pourront être des données dites sensibles dont le traitement est interdit (11). Un machine learning serait en effet aisément capable de recueillir des données relatives à la santé ou encore aux opinions politiques à partir de données plus anodines et déjà à disposition de l’entreprise. Par conséquent et outre les problèmes ci-dessus évoqués, les machine learning mettent très fréquemment en œuvre des interconnexions de fichiers aux finalités différentes et les traitements qu’ils opèrent sont donc à ce titre soumis à l’autorisation préalable de la Cnil (10).

Il convient donc, pour toute entreprise souhaitant développer un système machine learning, de veiller à respecter la protection des données personnelles.

Lexing Alain Bensoussan Selas
Lexing Informatique et libertés

(1) www.nextinpact.com, Article de Vincent Hermann du 19-2-2017
(2) www.lemonde.fr, Article de Morgane Tual du 10-11-2015
(3) www.numerama.com, Article de Julien Lausson du 27-1-2016
(4) www.clubic.com, Article de Guillaume Belfiore du 19-1-2015
(5) www.wired.com, Article de Cade Metz du 16-11-15
(6) Loi 78-17 du 6-1-1978, art. 7
(7) Règl. UE 2016/679 du 27-4- 2016, art. 6 § 1
(8) Loi 78-17 du 6-1-1978, art. 6
(9) Loi 78-17 du 6-1-1978, art. 25
(10) Post du 6-2-2017
(11) Loi 78-17 du 6-1-1978, art. 8




Quelles dispositions dans la loi sur le renseignement Suisse ?

Quelles dispositions dans la loi sur le renseignement Suisse ?La Suisse a adopté une loi sur le renseignement qui est plus large que la loi française existante. Le 25 septembre  2016, le peuple suisse a accepté la nouvelle loi fédérale sur le renseignement (LRens) lors d’un référendum à 65.5% des votants (1).

Historique sur la loi sur le renseignement

Le 25 septembre 2015, le Conseil national avait adopté la loi renseignement (LRens) (2).

Un premier référendum avait été lancé par une alliance de représentants de la Jeunesse socialiste, des Verts et du PS, ainsi que des organisations comme droitsfondamentaux.ch ou encore « Digitale Gesellschaft ».

Objectif de la LRens

La LRens a pour objectif de renforcer la protection contre des menaces actuelles, telles que :

  • le terrorisme ;
  • l’espionnage ;
  • la prolifération ou les attaques contre les infrastructures critiques.

Elle vise aussi à préserver les intérêts essentiels du pays en donnant des pouvoirs plus étendus aux services de renseignement. Ces nouveaux pouvoirs permettent de surveiller des moyens de communication utilisés également par des particuliers.

La loi sur le renseignement permet désormais d’étayer ou d’écarter des soupçons de menace contre la Suisse. Auparavant, la surveillance de la sphère privé était interdite. Le droit de collecter des informations était donné sur le seul domaine public.

Entrée en vigueur de la loi

La loi entrera en vigueur le 1 er septembre 2017.

Trois ordonnances seront soumises à la consultation. Ces consultation portent sur :

  • le service de renseignement ;
  • les systèmes d’information et de stockage électronique du Service de renseignement de la Confédération (SRC) ;
  • l’autorité de surveillance indépendante.
Nouveaux moyens de surveillance

La nouvelle loi sur le renseignement met à disposition du Service de renseignement de la Confédération de nouveaux moyens de surveillance.

Les nouvelles mesures du SRC portent sur :

  • la surveillance de la correspondance par poste et par télécommunication ;
  • l’utilisation des appareils de localisation et de surveillance également hors de la sphère publique ;
  • l’introduction dans des systèmes et réseaux informatiques ;
  • la fouille de véhicules ou de conteneurs ;
  • l’exploration du réseau câblé.

Un zoom est accordé sur l’une des mesures les plus discutées : l’exploration du réseau câblé.

Cette mesure consiste à surveiller les signaux transfrontaliers transmis par le biais de réseaux câblés.

Les télécommunications à l’échelle internationale sont majoritairement transmises via des câbles de fibre optique et de moins en moins via des liaisons satellite.

Les exploitants suisses de réseaux câblés, ainsi que les fournisseurs suisses de prestations de télécommunications, seront impliqués dans l’exécution de cette mesure de surveillance.

Ils devront fournir des renseignements sur les itinéraires des flux de données et pourront sur ordre détourner les flux de données en question.

L’exploration du réseau câblé sera exécutée par le Centre des opérations électroniques, déjà compétent pour l’exploration radio.

Les résultats sont exclusivement transmis au SRC.

Les informations présentant potentiellement un intérêt du point de vue du renseignement sont séparées des informations non pertinentes grâce à l’utilisation de mots-clés.

Le moins d’interventions possible dans la sphère privée des personnes est privilégié.

Les indications sur des personnes physiques et juridiques suisses ne peuvent pas être utilisées comme mots-clés.

Seules les informations pertinentes sont examinées manuellement par des analystes du Centre pour les opérations électroniques.

Ceux-ci ne transmettent au SRC que les informations se rapportant à des opérations à l’étranger significatives sur le plan de la politique de sécurité.

Conditions de recours aux mesures de surveillance

Des conditions pour recourir aux nouvelles mesures de surveillance et de recherche d’informations sont posées par la loi sur le renseignement.

Tout d’abord ces mesures ne pourront être utilisées par le SRC que lors de :

  • menaces concrètes pour la sécurité intérieure ou extérieure ;
  • menaces en rapport avec des activités terroristes ;
  • propagation des armes de destruction massive ;
  • attaque visant les infrastructures critiques ;
  • sauvegarde des intérêts essentiels du pays.

Un processus de graduation de la mesure est également appliqué. La menace doit s’avérer suffisamment grave pour employer l’une de ces mesures.

D’autres moyens de renseignement auront dû être auparavant utilisés et être restés sans résultat ou sans chance d’aboutir.

Obligation d’autorisation préalable

Chaque mesure de recherche doit être approuvée par le Tribunal administratif fédéral (TAF) et avalisée par le chef du Département fédéral de la défense, de la protection de la population et des sports (DDPS) après consultation de ses homologues du Département des affaires étrangères (DFAE) et du Département fédéral de justice et police (DFJP).

Le Conseil fédéral estime à une dizaine par an le nombre de cas susceptibles de faire l’objet de mesures de recherche d’informations soumises à autorisation.

Plus précisément, lors de l’introduction dans les ordinateurs, cette ingérence doit être autorisée par le TAF et avalisée par le chef du DDPS après consultation du DFAE et du DFJP.

Pour s’introduire dans des ordinateurs à l’étranger, le SRC a également besoin de l’aval du chef du DDPS, qui doit avoir consulté au préalable le DFAE et le DFJP.

Concernant l’exploration du réseau câblé, cette mesure nécessite l’autorisation du TAF, ainsi que l’aval du chef du DDPS, lequel aura préalablement consulté le DFAE et le DFJP.

La réalisation des missions d’exploration du réseau câblé qui ont été avalisées est en outre vérifiée par l’Autorité de contrôle indépendante (ACI). L’ACI est un organe de contrôle indépendant pour l’exploration radio et l’exploration du réseau câblé.

Autorité indépendante chargée de la surveillance du SRC

La loi sur le renseignement prévoit une nouvelle autorité indépendante chargée de la surveillance du SRC.

Cette autorité aura le pouvoir de contrôler la légalité, l’adéquation et l’efficacité des activités de renseignement du SRC et des organes cantonaux d’exécution.

Elle pourra émettre des recommandations et publier un rapport annuel de ses activités.

Risque d’une surveillance de masse disproportionnée

Les nouvelles mesures de surveillance mises à disposition du SRC pourraient donner naissance à un risque de surveillance de masse.

Il est nécessaire de rappeler que la Suisse avait déjà adopté la révision de la loi sur la surveillance de la correspondance par poste et télécommunication (LSCPT) (3).

Cette loi permet à la police et aux autorités de poursuite d’accéder aux métadonnées stockées pendant six mois par les opérateurs téléphoniques en cas de soupçon d’infraction.

Le SRC, aurait, lui aussi, accès à ces données, même si aucun soupçon fondé d’infraction ne pèse sur l’individu.

Il faut ajouter que l’exploration du réseau câblé permettrait également au SRC d’enregistrer tous les flux de données et de les analyser au moyen de mots-clés.

Ces services auraient ainsi accès à une quantité importante de données et au contenu de communications électroniques telles que les mels, la téléphonie ou les recherches via internet.

Toutes les personnes se trouvant sur le territoire Suisse seraient alors touchées par ces mesures de surveillance.

Vision française du renseignement

L’acceptation de la loi sur le renseignement en Suisse est à mettre en parallèle de la décision du Conseil constitutionnel du 21 octobre 2016 (4).

Le Conseil constitutionnel avait retenu que l’article L811-5 du Code de la sécurité intérieure donnait l’autorisation aux pouvoirs publics de prendre des mesures de surveillance et de contrôle de toute transmission en empruntant la voie hertzienne.

Le Conseil Constitutionnel avait alors reconnu que, faute de garanties, l’article L811-5 du Code de la sécurité intérieure portait une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances.

L’article L811-5 du Code de la sécurité intérieure avait donc été déclaré contraire à la Constitution par le Conseil constitutionnel.

Il est également intéressant de rappeler l’entrée en vigueur, au 1er octobre 2016, de l’arrêté du 11 août 2016 modifiant l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du Code pénal (5).

En effet, un projet d’arrêté avait été notifié auprès de la Commission européenne le 26 février 2016. (6). Ce projet d’arrêté a été repris entièrement dans l’arrêté du 11 août 2016. Il concerne les opérateurs du secteur des communications électroniques et leurs équipementiers.

Dans un premier temps, l’arrêté modifie en conséquence les termes de l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal.

L’article 1, 1° de l’arrêté remplace les mots « conçus pour réaliser » par « de nature à permettre ».

Seront donc soumis à une autorisation du Premier ministre, après avis de la Commission, non plus les appareils « conçus pour réaliser » des atteintes à la vie privée ou au secret des correspondances, mais désormais tous ceux « de nature à permettre » de telles atteintes.

Dans un second temps, l’arrêté complète l’arrêté du 4 juillet 2012 en soumettant désormais à contrôle certains appareils d’accès aux réseaux mobiles.

L’article 2, 2° de l’arrêté précise que :

« Les appareils qui permettent aux opérateurs de communications électroniques de connecter les équipements de leurs clients au cœur de leur réseau radioélectriques mobile ouvert au public, dès lors que ces appareils disposent de fonctionnalités, pouvant être configurées et activées à distance, permettant de dupliquer les correspondances des clients, à l’exclusions des appareils installés chez ceux-ci. »

Les produits concernés sont certains appareils d’accès aux réseaux de radiocommunications mobiles de 3e et 4e générations mis en œuvre par les opérateurs de communications électroniques. Il s’agit de stations de base, appelées aussi « antennes relais », dont les versions récentes ou à venir sont susceptibles d’intégrer des fonctionnalités de duplication des communications à des fins d’interception légale.

L’arrêté vise à soumettre à contrôle certains appareils d’accès aux réseaux de radiocommunications mobiles, dès lors qu’ils intègrent des fonctionnalités de duplication des flux configurables à distance, afin de protéger le secret des correspondances, la vie privée et la sécurité nationale.

Sur ce dernier point, l’arrêté prévoit une entrée en vigueur différée de cinq ans, pour tenir compte des investissements déjà réalisés par les opérateurs de communications électroniques et leur permettre de se mettre progressivement en conformité avec les nouvelles dispositions.

Des mesures de surveillance plus intrusives mais encadrées ont été acceptées en Suisse. En effet, la France tant à encadrer les mesures de surveillance qui portent atteinte à la vie privée. Cet encadrement n’est cependant pas un frein au panel large que les mesures de surveillance peuvent prendre.

Didier Gazagne
Audrey Jouhanet
Lexing Droit Sécurité & Défense

(1) Résultats du référendum du 25 septembre 2016 sur la loi sur le renseignement en Suisse
(2) Loi fédérale sur le renseignement (LRens)
(3) Loi fédérale sur la surveillance de la correspondance par poste et télécommunication (LSCPT)
(4) Décision 2016-590 QPC du Conseil constitutionnel du 21 octobre 2016
(5) Arrêté du 11 août 2016 modifiant l’arrêté du 4 juillet 2012 fixant la liste d’appareils et de dispositifs techniques prévue par l’article 226-3 du code pénal




Renseignement et transmissions hertziennes : censure

Renseignement et transmissions hertziennes : censure

Plusieurs questions prioritaires de constitutionnalité (QPC) ont été déposées contre la loi renseignement.

La loi renseignement (n° 2015-912) promulguée le 24 juillet 2015 (1) a autorisé les services de renseignement à mettre en œuvre des techniques de renseignement sur autorisation du Premier ministre.

Ce ne sont pas moins de sept recours qui ont été déposés devant le Conseil d’Etat et le Conseil Constitutionnel contre les décrets d’application de la loi renseignement. Ces sept recours sont toujours pendants.

Les requêtes (2) ont été déposées devant le Conseil d’Etat par La Quadrature du Net(LQDN), la French Data Netwok (FDN) et la Fédération des fournisseurs d’accès à Internet associatifs (FFDN) ainsi que par le Conseil National du Numérique (CNN), Génération Libre (GL), le French American Bar Association et le Conseil des barreaux européens, le Bâtonnier de Paris, le Conseil National des Barreaux et l’Association de la Presse Judiciaire.

Quelle est la situation des recours et les décrets d’application concernés de la loi renseignement ?

Les recours sont dirigés contre :

  • le décret du 28 septembre 2015 (3) portant désignation des services spécialisés de renseignement ;
  • le décret du 1er octobre 2015 (4) relatif aux contentieux de la mise en œuvre des techniques de renseignement soumises à autorisation et des fichiers intéressant la sûreté de l’Etat ;
  • le décret du 11 décembre 2015 (5) relatif à la désignation de services autres que les services spécialisés de renseignent ;
  • le décret du 29 janvier 2016 (6) relatif aux techniques de recueil de renseignement.

Ces recours ont pour objectif de :

  • démontrer que les décrets d’application de la loi renseignement sont contraires aux libertés et droits fondamentales ;
  • soulever une question préjudicielle de constitutionnalité relative à une disposition de la loi renseignement permettant de ne pas encadrer par des procédures de contrôle instituées par les techniques de renseignement empruntant les transmissions de communications par voie hertzienne.

Ces recours sont toujours pendants.

Quelles sont les dispositions du Code de la sécurité intérieure visées par les questions prioritaires de constitutionnalité ?

Des questions prioritaires de constitutionnalités ont également été déposées devant le Conseil d’Etat (7). Ces QPC ont toutes pour objet les dispositions de l’article L811-5 du Code de la sécurité intérieure (8).

Cet article dans sa rédaction issu de la loi relative au renseignement dispose que « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions » du livre du Code de la sécurité intérieure.

Quels étaient les arguments de droit soulevés ?

Les recours engagés sont fondés sur la Charte des droits fondamentaux de l’Union  européenne et la Convention européenne de sauvegarde des droits de l’homme.

Les arguments de droit soulevés devant le Conseil d’Etat pour les quatre décrets d’application sont relatifs aux atteintes aux droits et libertés fondamentales, par la mise en œuvre d’un dispositif légal de surveillance qui implique notamment des accès administratifs aux données de connexion.

La méconnaissance du droit au respect de la vie privée et du droit à un recours effectif en raison de l’absence de possibilité effective de contestation des mesures de surveillance est soulevée dans les quatre mémoires complémentaires.

Ainsi que l’atteinte au droit au respect de la vie privée et à un droit au recours effectif garantis par les articles 8 et 13 de la Convention européenne de sauvegarde des droits de l’homme (9).

En effet, les demandeurs précisent que les quatre décrets contiennent des dispositions qui ne garantissent pas une possibilité effective de contester rétrospectivement les techniques de renseignement mises en œuvre.

Les dispositions en cause issues de la loi relative au renseignement ne prévoient aucun mécanisme destiné à compenser effectivement et suffisamment l’absence de toute notification a posteriori.

Le décret n° 2015-1639 du 11 décembre 2015 soulève également un autre moyen relatif à la méconnaissance de la Constitution par l’article L811-5 du Code de la sécurité intérieure tel qu’issu de la loi relative au renseignement

L’article L. 811-4 de la loi renseignement prévoit que la surveillance des transmissions empruntant la voie hertzienne ne peuvent être utilisées que par les services spécifiquement désignés.

Le décret contesté exclut implicitement mais nécessairement la surveillance des transmissions empruntant la voie hertzienne des mesures susceptibles d’être utilisées par les services ainsi désignés.

Il s’abstient totalement de déterminer les autorités compétentes pour recourir aux dix techniques de surveillance des transmissions empruntant la voie hertzienne.

Les QPC visent à déterminer les conditions d’application de l’article L811-5 du Code de la sécurité intérieure. Cet article est la reprise d’un ancien article abrogé en 2012.

« En édictant les dispositions de l’article L811-5 du code de la sécurité intérieure – lesquelles excluent « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne » de tout encadrement légal –, le législateur a-t-il, d’abord, méconnu sa propre compétence en affectant des droits et libertés que la Constitution garantit, en l’occurrence le droit au respect de la vie privée et le droit au recours effectif, en ce qu’il s’est abstenu, d’une part, de définir dans la loi les conditions de collecte, d’exploitation, de conservation et de destruction des « transmissions empruntant la voie hertzienne » et, d’autre part, de prévoir un quelconque contrôle de ces opérations ; et ensuite porté une atteinte disproportionnée à ces mêmes droits et libertés ? ».

Persistance des dispositions de l’ancien article 20 de la loi de 1991

La loi n°91-646 du 10 juillet 1991 relative au secret des correspondances émises par voie des communications électroniques encadrait les activités de surveillance en France.

L’article 20 de cette loi (10) disposait que « les mesures prises par les pouvoirs publics pour assurer, aux seules fins de défense des intérêts nationaux, la surveillance et le contrôle des transmissions empruntant la voie hertzienne ne sont pas soumises aux dispositions » d’encadrement des services de renseignement.

La transmission d’information par voie hertzienne permet une absence de support matériel et la possibilité de transmission à longue portée, elle comprend les communications par la téléphonie mobile sur les réseaux GSM, 3G/4G, par satellite, ainsi que le Wi-Fi, le Bluetooth, une balise GPS, une puce NFC (Near Filed Communcation), une clé 3G/4G, un badge de télépéage.

Ces types de communication n’étaient déjà pas pris en compte dans l’encadrement des services de renseignement issu de la loi de 1991.

Au surplus, l’article 20 de la loi de 1991 a été abrogé par une ordonnance n°2012-351 du 12 mars 2012.

Cependant, l’article L811-5 du Code de la sécurité intérieure (7) reprend in extenso l’article 20 abrogé dans sa rédaction issue de la loi 1991.

Les conséquences de la reprise de cet article 20 de la loi de 1991 dans le Code de la sécurité intérieure sont multiples :

  • les pouvoirs publics non définis dans l’article peuvent comprendre des ministres, des préfets, des directions relatives aux services de renseignement, DGSI, DGSE ;
  • toutes les dispositions encadrant la surveillance n’ont aucun impact sur les techniques employées pour la « défense des intérêts nationaux », sur les transmissions empruntant la voie hertzienne ;
  • toutes les communications hertziennes sont de droit exclues du champ des procédures de contrôle instituées par les techniques de renseignement.

La loi renseignement n’encadre que les techniques de communication intégralement filaires.

Or, les communications hertziennes représentent de vastes moyens de transmission de l’information qui ne sont pas encadrées par la loi renseignement et sont donc hors de tous contrôles.

Les dispositions de l’article L811-5 du Code de la sécurité intérieure semble contraire à la volonté première de la loi renseignement qui était d’encadrer les techniques de surveillance utilisées par les agents de renseignement dans des situations illégales.

Risque de détournement possible de l’article L811-5 du Code de la sécurité intérieure

La surveillance permise par l’article L811-5 du Code de la sécurité intérieure permet la surveillance de masse allant au-delà de la collecte de métadonnées. Cette collecte peut être effectuée sur les communications empruntant la voie hertzienne.

La décision du Conseil d’Etat du 22 juillet 2016

Dans sa décision du 22 juillet 2016, le Conseil d’Etat a décidé que la question de la conformité à la Constitution de l’article L811-5 du Code de la sécurité intérieure est renvoyée au Conseil Constitutionnel.

La motivation de la décision du Conseil d’Etat du 22 juillet 2016

Le Conseil d’Etat a pour renvoyer la question de la conformité à la Constitution des dispositions de l’article L811-5 du Code de la sécurité intérieure motivé sa décision en trois axes.

Il a d’abord rappelé que les dispositions de l’article L811-5 du Code de la sécurité intérieure n’ont pas été déclarées conformes à la Constitution par le Conseil constitutionnel.

Il a en outre précisé que le législateur n’avait pas exercé pleinement la compétence qui lui est confiée par l’article 34 de la Constitution. Et que la soustraction de la surveillance et du contrôle des transmission par voie hertzienne à tout dispositif d’encadrement et de contrôle, méconnaissait le droit au respect de la vie privée et familiale. Ce droit étant garanti par les articles 2 et 4 de la Déclaration des droits de l’homme et du citoyen de 1789.

Le droit à un recours effectif garanti par l’article 16 de la Déclaration soulevait une question présentant un caractère sérieux.

Le projet d’arrêté notifié par la France devant la Commission européenne

Un parallèle peut être fait entre les recours, les QPC devant le Conseil d’Etat, la décision du Conseil d’Etat et le projet d’arrêté notifié par la France devant la Commission européenne. Ce projet d’arrêté a pour objet la modification de l’arrêté du 4 juillet 2012. Cet arrêté fixe en effet la liste d’appareils et de dispositifs techniques prévue par l’article R226-3 du Code pénal.

Ce projet d’arrêté notifié auprès de la Commission européenne sous le numéro 2016/96/F (France) le 26 février 2016 concerne certains appareils d’accès aux réseaux de communications mobiles de 3e et 4e générations. Ces appareils sont mis en œuvre par les opérateurs de communications électroniques. Ils sont susceptibles d’intégrer des fonctionnalités de duplication des communications à des fins d’interception légale.

Les investissements à réaliser par les opérateurs de communications électroniques sur ce type d’appareils sont importants. L’article 2 du projet d’arrêté prévoit une entrée en vigueur différée de cinq ans pour permettre aux opérateurs une mise en conformité.

La décision attendue du Conseil Constitutionnel

Le Conseil Constitutionnel a trois mois pour se prononcer sur la constitutionnalité des dispositions de l’article L811-5 du Code de la sécurité intérieure.

Le Conseil Constitutionnel pourra, soit le déclarer conforme à la Constitution, soit apporter une règle d’interprétation, soit annuler purement et simplement cet article s’il n’est pas considéré conforme à la Constitution.

Pour en savoir plus sur le contenu des décrets d’application contestés

Le décret n°2015-1185 du 28 septembre 2015 désigne les services spécialisés de renseignement et notamment les services dont les agents peuvent être autorisés à recourir aux techniques de sonorisation de certains lieux et véhicules ainsi que de captation d’images et de données informatiques.

C’est l’article L811-2 du Code de la sécurité intérieure issu de cette loi qui prévoit le recours aux techniques de renseignement.

Parmi les techniques de renseignement visées aux articles L853-1 et L853-3 du Code de la sécurité intérieure figure la sonorisation de certains lieux et véhicules et la captation d’images et de données informatiques.

Le décret n°2015-1186 du 29 septembre 2015 prévoit que la Commission nationale de contrôle des techniques de renseignement (CNCTR) peut employer des fonctionnaires civils et militaires, des fonctionnaires des assemblées parlementaires et des magistrats placés auprès d’elle dans une position conforme à leurs statuts respectifs.

Les articles L. 243-1 à L. 243-11 du Code de la sécurité intérieure sont relatifs à l’organisation administrative et financière de la Commission nationale de contrôle des techniques de renseignement.

Le décret n° 2015-1211 du 1er octobre 2015 fixe la procédure contentieuse concernant la mise en œuvre des techniques de renseignement et l’accès aux fichiers intéressant la sûreté de l’Etat.

Le décret n° 2015-1639 du 11 décembre 2015 détermine les services relevant des ministres de la Défense et de l’Intérieur qui peuvent être autorisés à recourir aux techniques mentionnées au titre V du livre VIII de la partie législative du Code de la sécurité intérieure, dans les conditions prévues au même livre, à l’exclusion des techniques prévues aux articles L. 851-2 et L. 851-3.

La censure de l’article L811-5 par le Conseil constitutionnel

La décision du Conseil constitutionnel vient d’être rendue ce 21 octobre 2016 (11).

Le Conseil constitutionnel retient que l’article L811-5 du Code de la sécurité intérieure donne l’autorisation aux pouvoirs publics de prendre des mesures de surveillance et de contrôle de toute transmission en empruntant la voie hertzienne.

Ces mesures de surveillance ne permettent pas d’exclure que puissent être interceptées des communications ou recueillies des données individualisables.

C’est pourquoi le Conseil affirme que ces dispositions portent atteinte au droit au respect de la vie privée et au secret des correspondances.

En outre, le Conseil précise également que bien que ces mesures de surveillance et de contrôle ne peuvent être prises qu’aux seules fins de la défense des intérêts nationaux, l’article L811-5 du Code de la sécurité intérieure n’interdit pas que ces mesures puissent être utilisées à des fins plus larges.

Enfin, le Conseil constitutionnel estime que l’article L811-5 du Code de la sécurité intérieure ne définit pas la nature des mesures de surveillance et de contrôle que peuvent prendre les pouvoirs publics. Le recours à ces mesures n’est d’ailleurs soumis à aucune condition de fond ni de procédure. La mise en œuvre de ces mesures n’est également encadrée par aucune garantie.

Le Conseil Constitutionnel reconnait alors que faute de garanties, l’article L811-5 du Code de la sécurité intérieure porte une atteinte manifestement disproportionnée au droit au respect de la vie privée et au secret des correspondances.

L’article L811-5 du Code de la sécurité intérieure est donc déclaré contraire à la Constitution par le Conseil constitutionnel.

Afin de permettre au législateur de remédier à l’inconstitutionnalité constatée, il y a donc lieu de reporter au 31 décembre 2017 la date de cette abrogation.

Le Conseil a cependant reporté au 31 décembre 2017 la date d’effet de cette déclaration d’inconstitutionnalité étant donné que l’abrogation immédiate de l’article L811-5 du Code de la sécurité intérieure entraînerait des conséquences manifestement excessives.

Elle aurait pour effet selon le Conseil constitutionnel de priver les pouvoirs publics de toute possibilité de surveillance des transmissions empruntant la voie hertzienne.

Il est alors précisé par le Conseil que jusqu’à l’entrée en vigueur d’une nouvelle loi ou, au plus tard, jusqu’au 30 décembre 2017, les dispositions de l’article L811-5 du Code de la sécurité intérieure ne pourront servir de fondement à des mesures d’interception de correspondances, de recueil de données de connexion ou de captation de données informatiques.

Les dispositions de l’article L811-5 du Code de la sécurité intérieure ne pourront être mises en œuvre sans que la Commission nationale de contrôle des techniques de renseignement (CNCTR) soit régulièrement informée sur le champ et la nature des mesures prises en application de cet article.

Didier Gazagne
Audrey Jouhanet
Lexing, Sécurité & Défense

(1) Loi renseignement 2015-912 du 24-7-2015
(2) Mémoire sur la requête n° 394.922, n° 394.924, n°394.925, n°397.844
(3) Décret 2015-1185 du 28-9-2015
(4) Décret 2015-1211 du 1-10-2015
(5) Décret 2015-1639 du 11-12-2015
(6) Décret 2016-67 du 29-1-2016
(7) QPC posée à l’appui des requêtes n°397.844, n°394.922, n°394.925, n°397.851
(8) Code de la sécurité intérieure, art. L811-5
(9) Convention européenne des droits de l’homme, art. 8 et 13
(10) Loi 91-646 du 10-7-1991, art. 20
(11) Décision 2016-590 QPC du Conseil constitutionnel du 21-10-2016




Les enjeux juridiques de l’éclairage public intelligent

Les enjeux juridiques de l’éclairage public intelligentL’éclairage public intelligent se développe afin de diminuer l’empreinte énergétique et fluidifier la circulation.

La ville intelligente ou smart city tente de répondre et de s’adapter aux nouvelles réalités. Elle se connecte et se relie à ses habitants, visiteurs et entreprises pour leur fournir de nouveaux services ou améliorer les anciens. L’enjeu de l’éclairage public pour la ville intelligente est d’une part d’améliorer ce service et d’autre part d’exploiter au mieux ce service.

L’empreinte énergétique de la ville intelligente

D’un point de vue pratique, la ville intelligente c’est aussi la recherche d’économie et de baisse d’empreinte énergétique.

Ainsi des solutions ont été recherchées pour l’éclairage public qui est un poste important de dépense pour les municipalités : 9,3 euros en moyenne par habitant pour une commune de plus de 500 habitants (1).

Des entreprises comme Kawantech et Carré Products proposent un éclairage LED de basse consommation dont l’intensité peut être modulée. Des capteurs posés sur le lampadaire permettent de contrôler l’éclairage en fonction de la présence ou non de piétons ou véhicules. Les capteurs détectent l’arrivée d’un piéton ou d’un véhicule et transmettent l’information afin que l’éclairage suive la personne ou le véhicule.

Les avantages de l’éclairage public intelligent

La ville intelligente modère le coût de l’éclairage public tout en répondant à la demande de ses usagers de maintenir un éclairage la nuit pour des raisons de sécurité.

Cette solution parait n’avoir que des bénéfices néanmoins elle soulève des questions d’un point de vue juridique. En effet les données ainsi captées peuvent relever de la catégorie des données personnelles si elles permettent d’identifier les personnes. C’est le cas par exemple des plaques d’immatriculation que les caméras implantés sur ces éclairages publics intelligents peuvent capter et partager. L’enjeu pour la ville est alors d’avoir la garantie que la réglementation informatique et libertés est respectée par ses prestataires et pour ses habitants.

L’utilisation première de l’éclairage public est en soi un enjeu juridique mais c’est également le cas de son utilisation secondaire.

Fluidité de la circulation de la ville intelligente

L’éclairage public intelligent peut également permettre d’améliorer la fluidité de la circulation dans la ville.

L’entreprise Libelium qui travaille sur les objets connectés propose de connecter les lampadaires afin de mesurer la vitesse du trafic. L’analyse de ces données devrait lui permettre de localiser les embouteillages afin d’informer les conducteurs.

Pour aller encore plus loin, des start-up prévoient pour la ville intelligente des véhicules autonomes et un équipement routier communiquant afin d’optimiser les déplacements des automobilistes. La ville de Lyon a d’ailleurs déjà mis en place dans le quartier Confluence un service de navette autonome avec des véhicules sans conducteur. De plus, selon une étude de Machina Research, il y aura 1,8 milliard de connexions IoT automobiles d’ici 2022 et plus de 700 millions de voitures connectées.

Ces innovations posent l’éternelle question de la responsabilité. Si un accident est causé par le défaut ou la mauvaise communication entre l’éclairage public, l’équipement routier et le véhicule autonome à qui imputer la faute ?

De multiples intervenants pourraient voir leur responsabilité engagée, la municipalité, le constructeur automobile, le propriétaire du véhicule…

Se pose également la question des limites de l’utilisation de ces données par la municipalité et la collecte de l’accord des habitants.

On voit dès lors que tant du point de vue de la responsabilité (2) que du point de vue du respect de de la réglementation informatique et libertés (3) le développement de la ville intelligente et de son éclairage public ne cessera de soulever des questions.

Nathalie Plouviet
Claire Van Mol
Lexing Droit de l’Internet des objets

(1) Association française de l’éclairage (AFE), Dossier « Eclairage public : les chiffres clés ».
(2) C. civ., art. 1240 et s.
(3) Loi 78-17 du 6-1-1978.




Rumeurs, atteinte à la vie privée et absence de base légale

Rumeurs, atteinte à la vie privée et absence de base légaleL’intensité de l’atteinte à la vie privée justifie que soit rendue publique la mise en demeure prononcée par la Cnil.

Une mise en demeure rendue publique

Par délibération du 26 septembre 2016 (1), la  Cnil a mis en demeure une société exploitant une application de potins et rumeurs anonymes dans un délai d’un mois de :

  • ne pas mettre en œuvre de traitement de données à caractère personnel portant atteinte à la vie privée et aux libertés individuelles des personnes concernées dans le cadre du fonctionnement de l’application ;
  • ne pas procéder sans base légale au traitement de données à caractère personnel dans le cadre du fonctionnement de l’application ;
  • justifier auprès de la Cnil que l’ensemble des demandes a  été respecté, et ce dans le délai imparti.

La Cnil retient deux manquements qui sont peu fréquemment retenus mais d’une particulière gravité, à savoir :

  • un manquement à l’obligation de respecter la vie privée et les libertés individuelles des personnes concernées sur le fondement de l’article 1er de la loi Informatique et libertés (2) ;
  • l’absence de base légale du traitement mis en œuvre.

Par ailleurs, la Cnil a dénoncé les constats opérés auprès du procureur de la République sur le fondement de l’article 40 du Code de procédure pénale compte tenu de la nature des manquements constatés mais également des risques pour les personnes concernées, notamment les mineurs.

Le manquement à l’article 1er de la loi Informatique et libertés

L’article 1er de la loi Informatique et libertés dispose :

  • « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques (…) » (2).

La loi pour une République numérique du 7 octobre 2016 (3) a modifié cet article 1 en y ajoutant l’alinéa suivant : « Toute personne dispose du droit de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la présente loi ».

Cet article est l’un des plus importants de la loi Informatique et libertés et se lit à la lumière de la Charte des droits fondamentaux de l’Union européenne.

La Cnil estime que la diffusion de rumeurs anonymes, sans information et sans limite dans l’espace ou dans le temps, constitue une atteinte à la vie privée et aux libertés individuelles. À cet égard, elle retient que la diffusion d’un potin s’effectue à l’insu de la personne directement concernée si elle-même n’est pas utilisatrice de l’application.

Le fait qu’une personne n’ayant pas installé l’application puisse faire l’objet de calomnies sans en être informée et sans réel moyen d’action vis-à-vis de l’émetteur comme des récepteurs de la rumeur a été l’élément essentiel pour caractériser le manquement au respect de la vie privée.

Le fait que le fonctionnement même de l’application heurte le droit des personnes de contrôler et de décider des usages qui sont faits de leurs données personnelles sonne comme une mise en garde et la consécration de la notion « d’empowerment » lorsque comme en l’espèce la dignité et l’intimité numériques sont sévèrement atteintes.

La liberté de papauter sur les réseaux sociaux doit s’exprimer qualitativement. Si les rumeurs ont toujours existé, il faut néanmoins être particulièrement attentif à l’effet quantitatif des rumeurs sur les réseaux sociaux. En l’espèce, la simple rumeur prend une ampleur démesurée en raison du fonctionnement de l’application. L’intensité de l’atteinte portée à la personne concernée est d’autant plus forte que cette dernière peut :

  • ne pas avoir connaissance de la rumeur ;
  • ne pas en connaître l’ampleur.

Ce double angle mort pour la personne concernée ne lui permet pas de mettre en œuvre les actions tant civiles que pénales propres à faire cesser les éventuelles atteintes à sa réputation.

L’absence de base légale du traitement

Sur l’absence de base légale du traitement, la Cnil retient que l’éditeur de l’application ne recueille pas le consentement préalable des personnes concernées en particulier celui des personnes visées par une rumeur mais n’ayant pas téléchargé l’application.

Par ailleurs, la Cnil considère que l’éditeur de l’application ne peut pas non plus se prévaloir des autres critères définis à l’article 7 de la loi Informatique et libertés (sauvegarde de la vie de la personne concernée, le respect d’une obligation légale incombant au responsable du traitement, par exemple).

Si la Cnil admet que la société poursuit un intérêt économique et commercial, elle refuse de considérer, en raison de la nature même de l’application, que celle-ci puisse bénéficier de la base légale de l’intérêt légitime visé à l’article 7 5° la loi Informatique et libertés.

À cet égard, l’analyse effectuée par la Commission ne reprend pas l’intégralité des critères précédemment dégagés en particulier dans sa décision Facebook (4) (5). La nature du service proposé aux utilisateurs en ce qu’il est susceptible de méconnaître l’intérêt des personnes, ainsi que leur droit fondamental au respect de leur vie privée est suffisant pour caractériser une atteinte trop importante. Cette atteinte exclut une balance d’intérêt équilibrée pouvant servir de base légale au traitement mis en œuvre.

Céline Avignon
Lexing Publicité et Marketing électronique

(1) Cnil, décision 2016-079 du 26-9-2016 mettant en demeure la société W.M.G.
(2) Loi 78-17 relative à l’informatique, aux fichiers et aux libertés, art. 1er.
(3) Loi 2016-1321 du 7-10-2016 pour une République numérique.
(4) Cnil, Décision 2016-007 du 26-1-2016 mettant en demeure les sociétés Facebook INC. et Facebook Ireland.
(5) Lire notre Post du 9-2-2016.




Loi du 3 juin 2016 : utilisation des IMSI-catchers autorisée

Loi du 3 juin 2016 : utilisation des IMSI-catchers autoriséeLa Loi n°2016-731 du 3 juin 2016 élargit les pouvoirs d’enquête et d’instruction en recourant aux IMSI-catchers.

La loi du 3 juin 2016 renforçant la lutte contre le crime organisé, le terrorisme et leur financement, et améliorant l’efficacité et les garanties de la procédure pénale a inséré une nouvelle section dans le Code de procédure pénale intitulée « Des interceptions de correspondances émises par la voie des communications électroniques et du recueil des données techniques de connexion ».

Désormais, le Code de procédure pénale permet, dans le cadre de l’enquête ou de l’instruction, aux article 706-95 à 706-95-10, de nouvelles modalités d’interceptions de communication (1).

L’article 706-95-4 du Code de procédure pénale dispose ainsi que les officiers de police judiciaire peuvent, sur autorisation du juge des libertés et de la détention, à la requête du procureur de la République, « utiliser un appareil ou un dispositif technique mentionné au 1° de l’article 226-3 du code pénal afin de recueillir les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».

Ainsi, le recours aux IMSI-catchers peut s’effectuer dans deux cas :

  • d’une part, pour recueillir des données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou encore les données relatives à la localisation d’un équipement terminal ;
  • d’autre part, pour intercepter des correspondances émises ou reçues par un équipement terminal.

Le recours à ces dispositifs techniques est encadré par le procédure pénale et soumis au respect de règles procédurales strictes.

Le recueil des données techniques

L’IMSI-catcher est un outil d’espionnage permettant de capter toutes les données de communication dans un rayon donné.

Concrètement, les IMSI-catchers ressemblent à des petites valises transportables pouvant aussi être montées à l’intérieur d’un véhicule. Ce dispositif imite le fonctionnement d’une antenne-relais de manière à ce que les appareils téléphoniques qui sont situés à proximité s’y connectent. Ce dispositif, en exploitant une faille de sécurité, reçoit les communications de ces téléphones et peut accéder au contenu grâce à l’IMSI (International Mobile Subscriber Identity) qui est un numéro identifiant unique contenu dans la carte SIM des appareils de téléphonie.

Certains de ces outils d’espionnage sont dotés de fonctionnalités complémentaires, comme la lecture ou l’envoi de SMS, l’interception du trafic Internet Mobile, ou la capacité de bloquer tout appel tentant de parvenir à un téléphone donné.

Interception des communications émises par la voie électronique

Le recours aux IMSI-catchers peut s’effectuer dans deux cas. D’une part, pour recueillir des données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur ou encore les données relatives à la localisation d’un équipement terminal. D’autre part, pour intercepter des correspondances émises ou reçues par un équipement terminal.

En effet, l’article 706-95-5 du Code de procédure pénale autorise les services de police à « utiliser un appareil ou un dispositif technique mentionné au 1° de l’article 226-3 du code pénal afin de recueillir les données techniques de connexion permettant l’identification d’un équipement terminal ou du numéro d’abonnement de son utilisateur, ainsi que les données relatives à la localisation d’un équipement terminal utilisé ».

Les officiers de police judiciaire sont ainsi autorisés à procéder à la « fabrication, l’importation, la détention, l’exposition, l’offre, la location ou la vente d’appareils ou de dispositifs techniques de nature à permettre la réalisation d’opérations pouvant constituer » les infractions prévues :

  • par l’article 226-1 du Code pénal sur l’atteinte à l’intimité de la vie privée et donc à « capt[er], enregistr[er] ou transmet[tre], sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel » ;
  • par l’article 226-15 du Code pénal qui concerne l’atteinte au secret des correspondances privées et donc à « intercepter, détourner, utiliser ou divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l’installation d’appareils de nature à permettre la réalisation de telles interceptions ».
Procédure d’autorisation des interceptions

Au regard des intérêts en balance, notamment le respect de l’intimité de la vie privée et le principe de secret des correspondances privées, ce dispositif fait l’objet d’un encadrement strict. Outre l’autorisation donnée par le juge des libertés et de la détention ou le juge d’instruction qui doivent veiller au bon déroulement de ces opérations, le recours aux IMSI-catcher est limité dans le temps.

Ainsi, deux hypothèses sont prévues par l’article 706-95-4 du Code de procédure pénale :

  • soit le juge des libertés et de la détention autorise, sur requête du procureur de la République, la mise en œuvre des mesures techniques ;
  • soit, en « cas d’urgence résultant d’un risque imminent de dépérissement des preuves ou d’atteinte grave aux personnes ou aux biens », le procureur de la République peut donner cette autorisation directement. Dans cette hypothèse, l’autorisation donnée par le procureur doit comporter « l’énoncé des circonstances de fait établissant l’existence du risque imminent ». Cette autorisation doit ensuite être « confirmée par le juge des libertés et de la détention dans un délai maximal de vingt-quatre heures. A défaut, il est mis fin à l’opération, les données ou correspondances recueillies sont placées sous scellés fermés et elles ne peuvent pas être exploitées ou utilisées dans la procédure ».

Dans tous les cas, l’article 706-95-6 du Code de procédure pénale précise que les autorisations du juge des libertés et de la détention doivent faire l’objet d’une ordonnance « écrite et motivée ».

Les opérations sont ensuite menées sous le contrôle permanent du magistrat qui les a autorisées et « et ne peuvent, à peine de nullité, avoir un autre objet que la recherche et la constatation des infractions visées dans la décision de ce magistrat ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Contentieux numérique

(1) CPP, art. 706-95 à 706-95-10.




Pas d’ autorisation perpétuelle pour le droit à l’image

Pas d’ autorisation perpétuelle pour le droit à l’imagePas d’ autorisation perpétuelle, telle est la conclusion du TGI de Paris dans son jugement du 7 octobre 2015, se prononçant sur la question de la résiliation d’un « contrat de cession de droit à l’image » en raison de la perpétuité de l’engagement du cédant.

Pas d’ autorisation perpétuelle d’utiliser une image

En l’espèce, une femme avait cédé, en 2009, le droit d’utiliser son image, sans limitation de durée ni de restriction de territoire, à la société Cool Cat, dans le cadre de sa participation non rémunérée à une « vidéo musique ». Elle avait autorisé ladite société à diffuser ce clip par tous moyens connus et inconnus, et sur tous réseaux câblés ou par internet, à des fins commerciales. La cédante ne souhaitant plus que son image soit exploitée, a sollicité la cessation de la diffusion de la vidéo qui était accessible sur divers sites internet. La société cessionnaire a refusé de faire droit à sa demande, estimant que la cession de droit à l’image était perpétuelle.

Le tribunal n’a pas annulé la cession de droit à l’image en raison de la perpétuité de l’engagement mais a jugé que le contrat de cession de droit à l’image était un contrat à durée indéterminée qui pouvait donc être résilié par chacune des parties. Les juges précisent que « du fait de l’absence de terme prévu pour l’autorisation donnée à L. F. d’utiliser et d’exploiter son image, ce contrat doit s’interpréter comme un contrat à durée indéterminée dont la résiliation, ainsi que cela se déduit des dispositions de l’article 1134, alinéa 3, du Code civil, est offerte aux deux parties ».

Ainsi, la cédante a obtenu une indemnisation pour la diffusion de son image, après la fin de son accord. Le tribunal a également fait interdiction au cessionnaire de diffuser la vidéo litigieuse ou de la commercialiser, et a ordonné le retrait de la vente, ainsi que la suppression de la plateforme de partage de vidéos YouTube.

Pas d’ autorisation perpétuelle dans les contrats en général

Cette décision est conforme au principe de prohibition des engagements perpétuels. Un parallèle avec les cessions perpétuelles de droit d’auteur serait erroné. En effet, de telles cessions sont possibles en droit d’auteur dans la mesure où la protection est de facto limitée dans le temps et que l’œuvre cédée tombe dans le domaine public.

Pour s’assurer de la pérennité des autorisations d’exploitation de l’image (droit à la vie privée) d’une personne et veiller au respect de son droit à l’image, les exploitants devront désormais s’assurer que les autorisations sont limitées dans le temps. En pratique, il sera nécessaire de prévoir un terme et un préavis de résiliation, au risque que l’autorisation d’exploiter l’image soit considérée comme nulle sur le fondement de la prohibition des engagements perpétuels ou qu’elle soit, comme au cas d’espèce, requalifiée en contrat à durée indéterminée et donc résiliable à tout moment.

Laurence Tellier-Loniewski
Laure Arnon
Lexing Propriété intellectuelle

(1) TGI Paris, 17ème ch. Presse, 7-10-2015, Laure F. / Cool Cat.




Photos d’actrice sur un site : compétence du juge français

Photos d’actrice sur un site : compétence du juge françaisLes photos d’une actrice sur un site internet sont protégées par les droits d’artiste interprète et droit à l’image. Dans un arrêt du 21 janvier 2016, la Cour d’appel de Versailles a confirmé la compétence du juge français afin de connaître des atteintes aux droits d’artiste interprète et au droit à l’image d’une actrice française dont des photos d’elle avaient été diffusées sur un site belge. La diffusion des photos de l’actrice, sans son autorisation, la montrant dans un moment d’attente entre deux prises ou lors d’une pause sur un tournage constitue une atteinte à son droit à l’image et à ses droits d’artiste interprète.

Dans cette affaire, un site belge a diffusé une douzaine de photos montrant l’actrice en partie dénudée sur la plage à l’occasion du tournage d’un film, annoncées par le titre « M. X. se laisse voir seins nus sur le tournage ».

L’actrice a assigné la société belge devant le Tribunal de Grande Instance de Nanterre qui a condamné cette dernière.

La société belge a interjeté appel, soulevant l’incompétence du juge français sur le fondement de l’article 2.1 du règlement (CE) n° 44/2001 du Conseil du 22 décembre 2000 qui pose le principe de la compétence de la juridiction du lieu du défendeur.

La Cour d’appel de Versailles a débouté la société belge de ses demandes et a confirmé le jugement. En effet, les juges ont rappelé l’article 5.3 du règlement qui dispose que « au titre des compétences spéciales, une personne domiciliée sur le territoire d’un Etat membre peut être attraite, dans un autre Etat, en matière délictuelle ou quasi délictuelle, devant le tribunal du lieu où le fait dommageable s’est produit ou risque de se produire ».

Les juges ont cité l’arrêt eDate Advertising et Martinez du 25 octobre 2011, à l’occasion duquel la CJUE avait estimé, concernant une atteinte aux droits de la personnalité d’un artiste, que la personne lésée a la faculté de saisir la juridiction de l’Etat membre dans lequel se trouve le centre de ses intérêts.

En revanche, dans un arrêt du 22 janvier 2015 (1), la CJUE a estimé qu’en cas d’atteinte aux droits d’auteur et aux droits voisins, cette juridiction n’est compétente que pour connaître du seul dommage causé sur le territoire de son ressort.

Au regard de ces deux arrêts, la Cour d’appel de Versailles a jugé que le centre des intérêts de l’actrice française était bien situé en France puisqu’elle est « une actrice française, née en France où elle travaille et réside avec sa famille » et que « le fait dommageable allégué a été constaté par huissier en France où le contenu du site Internet de la société belge est accessible ».

Le juge français était donc compétent pour connaître de l’atteinte alléguée à son droit à la personnalité pour la réparation de l’intégralité du dommage causé et de l’atteinte à ses droits voisins d’artiste-interprète pour le seul dommage causé sur le territoire français.

Sur le fond, la Cour a considéré que la fixation puis la diffusion de la prestation de l’actrice, sans son autorisation, en plus tronquée, constituent une atteinte à ses droits d’artiste interprète et que les clichés la montrant dans un moment d’attente entre deux prises ou lors d’une pause constitue une atteinte à son droit à l’image, peu importe que le tournage se soit déroulé dans un lieu public.

Marie Soulez
Andréa Nehmé
Lexing Contentieux Propriété intellectuelle

(1) CJUE, 22-1-2016, aff C‑441-13 Pez Hejduk.




Le droit à l’information à l’épreuve du droit à l’image

Le droit à l'information à l'épreuve du droit à l'imageInformation et droit à l’image sur internet : une recherche d’équilibre entre droit à l’image et liberté d’information.

Vie Privée. Le droit à l’image est un corollaire du droit à la vie privée, protégé de manière générale et générique par l’article 9 du Code civil qui consacre le fait que « chacun a droit au respect de sa vie privée ».

En vertu de cette protection, toute personne dispose d’un droit de regard sur les images (photographies, vidéos, dessins, etc.) le représentant. A ce titre, aucune représentation d’une personne déterminée et identifiable ne peut être diffusée sans son consentement exprès.

Information du public. Ce principe connaît toutefois des exceptions, au premier titre desquelles le droit de reproduire sans autorisation les images d’une personne lorsque cela répond aux besoins de l’information du public.

Le jugement de la 17ème Chambre civile du Tribunal de grande instance de Paris du 9 novembre 2015 s’inscrit dans cette recherche permanente d’équilibre entre, d’un côté, la protection du droit à l’image et, de l’autre, la liberté d’information.

L’espèce, quelque peu cocasse, concerne un automobiliste qui, ayant confondu une entrée de parking avec une bouche de métro parisienne, y avait engouffré son véhicule, lequel était resté coincé.

Ere du numérique oblige, la scène a rapidement été prise en photographie où, notamment sur l’une d’elles, apparaît le propriétaire au côté de sa voiture entouré par la foule. Illustrant parfaitement la rubrique « Fait divers », la photographie fut reprise et publiée par un quotidien sous le titre « Champs-Elysées : une voiture s’engouffre dans une bouche de métro ».

Un coup du sort n’arrivant jamais seul, l’automobiliste malheureux, travaillant dans le secteur de l’automobile, fut la cible répétée de railleries de ses collègues qui l’ont décidé à assigner le journal sur le fondement de l’article 9 du Code civil.

Droit à l’image et information. Le tribunal, après avoir constaté que le demandeur était identifiable tant par l’absence de mesures de floutage de son visage que de la plaque d’immatriculation de sa voiture, a alors recherché si le droit à l’information du public était de nature à justifier cette publication.

Pour condamner le journal à payer au demandeur 4 000 euros de dommages et intérêts, le Tribunal a considéré que « la liberté d’informer ne peut primer sur le droit à l’image du requérant dès lors que le sujet abordé relatif à un banal fait divers ne permettait pas que l’image du demandeur, inconnu du public, soit publiée dans des conditions le rendant identifiable ».

Cette position, bien que logique, n’en ait pas moins surprenante dès lors que le Tribunal établit une hiérarchie selon la nature de l’information diffusée afin de déterminer ce qui doit prévaloir entre le droit à l’image et le droit à l’information.

Toutefois, à l’heure de l’internet où, sous couvert du droit à l’information, tout type de contenus sont diffusés souvent au mépris des droits des personnes mises en cause, la distinction opérée par la 17ème Chambre civile du Tribunal de grande instance de Paris peut paraître opportune.

Virginie Bensoussan-Brulé
Julien Kahn
Lexing Droit presse et pénal numérique




Le droit à l’image dans le cadre professionnel

Le droit à l’image dans le cadre professionnelLe droit à l’image est le droit pour toute personne à s’opposer à la diffusion de son image sans son autorisation.

Il procède du droit au respect de la vie privée, garanti par l’article 9 du Code civil et par la CEDH.

Dans une décision du 27 août 2015, le Tribunal d’instance de Saint-Denis rappelle que le droit à l’image n’est pas un droit absolu et il juge qu’il ne s’applique pas dans le cadre professionnel. Le tribunal a ainsi débouté un policier de sa demande de réparation pour la prise et la diffusion sans son autorisation de deux clichés photographiques mis en ligne sur un site internet de la SNCF dédié aux actions de prévention et de sécurité.

Le tribunal estime que lorsque les photographies « n’excèdent pas l’activité professionnelle consécutive de la finalité de la captation des images litigieuses, les diffusions non préalablement autorisées ne sont pas constitutives d’une atteinte aux droits de la personne en cause ».

En l’espèce, les deux photographies avaient été prises dans le cadre de l’activité professionnelle du policier, à l’occasion de journées d’échanges entre l’Ecole nationale de la sûreté de la SNCF et la police de Mennecy. Elles représentent le demandeur avec d’autres policiers en uniforme, mais le demandeur est reconnaissable.

Pour motiver sa décision, le tribunal relève que les photographies ont été prises dans le cadre d’un événement professionnel, qu’elles ne mettent pas en avant le demandeur qui n’est pas isolé du groupe de ses collègues, qu’elles ne portent pas atteinte à la dignité de la personne, qu’elles ne sont pas diffusées dans un but lucratif et qu’elles ont pour seul objectif l’information du public. Il considère, dans ces circonstances, que le consentement de la personne photographiée n’est pas nécessaire.

Il indique en outre que « l’article 9 du code civil concerne uniquement la vie privée, de sorte qu’il ne trouve pas à s’appliquer dans un contexte professionnel et ne donne pas droit à réparation du préjudice de la personne photographiée le cas échéant ».

Il s’agit d’une position de principe discutable au regard de la jurisprudence dominante, qui n’exclut pas, par principe, que des atteintes à la vie privée puissent être commises dans un cadre professionnel (1). Mais on comprend que c’est l’ensemble des circonstances de faits rappelées par le juge qui ont motivé sa solution.

Il n’en demeure pas moins que le droit à l’image est un fort attribut de la vie privée et que la diffusion de photographies prises sans autorisation y compris dans un cadre professionnel est source de litige. La prudence commande de demander des autorisations aux personnes photographiées.

 Laurence Tellier-Loniewski
Laure Arnon
Lexing Droit Propriété intellectuelle

(1) CEDH, 4-5-2000, n°28341/95, Rotaru c/ Roumanie : « Aucune raison de principe ne permet d’exclure les activités professionnelles ou commerciales de la notion de vie privée ».




La Cnil contrôle en ligne les sites web destinés aux enfants

La Cnil contrôle en ligne les sites web destinés aux enfantsLa Cnil a annoncé sa nouvelle campagne de contrôles en ligne débutant le 12 mai, sur les sites web destinés aux enfants. 

Cet audit s’inscrit dans le cadre des Internet Sweep Day, organisés par les 29 autorités de protection des données dans le monde, rassemblées au sein du GPEN (Global Privacy Enforcement Network).

La Cnil a participé à plusieurs « sweep days » au cours des derniers mois. Toutefois, le bilan des dernières opérations ont révélé que de nombreux sites web et applications mobiles collectaient un nombre important de données tout en délivrant une information souvent insuffisante aux personnes concernées.

Après les sites internet, les applications mobiles et les cookies, les sites web à destination des enfants représentent la nouvelle cible des contrôles de la Cnil.

Dans ce cadre, chaque autorité mènera, entre le 11 et le 15 mai, sur son territoire national des opérations d’audit.

Partant du constat qu’en France, « les enfants de 7 à 12 ans passent chaque semaine 5 heures sur internet et plus de 11 heures pour les adolescents de 13 à 19 ans », la Cnil a choisi le 12 mai pour examiner le respect de la vie privée par 50 sites web à destination des enfants.

Les sites web concernés sont principalement « des sites de jeux, de réseaux sociaux, ainsi que de sites offrant des services éducatifs ou de soutien scolaire ». La Cnil considère que ces sites web nécessitent une attention particulière quant aux données collectées et aux mesures de protection mises en place.

Exerçant ses récents pouvoirs de contrôle sur Internet, la Cnil a précisé dans son communiqué qu’elle vérifiera notamment :

  • la mise en œuvre du recueil d’un accord parental avant l’utilisation des services et la collecte de données personnelles ;
  • la sensibilisation du public aux enjeux de vie privée,
  • la fourniture d’une information relative à la protection des données adaptée au jeune public visé (langage clair, animations,…) ;
  • la simplification de la suppression des informations personnelles qui seraient transmises par des enfants.

L’objectif annoncé de cette opération est triple :

  • sensibiliser le public, et notamment les parents d’enfants utilisateurs de services en ligne ;
  • promouvoir les bonnes pratiques auprès des acteurs du secteur ;
    dresser « un panorama mondial des pratiques des sites à destination des enfants, ainsi que des spécificités nationales ».

Les résultats seront publiés par la Cnil à l’automne 2015. A cet égard, la Cnil rappelle qu’en fonction des manquements constatés, des contrôles sur place pourraient être effectués et des sanctions pourraient être encourues.

Dans ce cadre, chaque éditeur de site web à destination du jeune public doit rapidement procéder à un audit Informatique et libertés de son site Internet afin de pouvoir identifier les éventuels manquements et de mettre en œuvre immédiatement les actions correctrices.

Céline Avignon
Raouf Saada
Lexing Droit Marketing électronique




Caméra cachée : vie privée vs liberté d’expression

Caméra cachée : vie privée vs liberté d’expressionL’utilisation de la caméra cachée suscite bien des débats, tant déontologiques que juridiques, ainsi que l’illustre l’arrêt rendu par la CEDH, le 24 février 2015 dans l’affaire Haldimann et a. c/ Suisse.

Amenée pour la première fois à se prononcer sur l’utilisation de caméras cachées par des journalistes afin de sensibiliser le public à un sujet d’intérêt général, la CEDH a considéré que la condamnation de quatre journalistes pour avoir enregistré et diffusé l’interview réalisée en caméra cachée d’un courtier en assurance privée, dans le cadre d’un reportage télévisé destiné à dénoncer les mauvais conseils délivrés par les courtiers en la matière constituait une violation de l’article 10 de la Convention européenne des droits de l’homme.

La Cour a en effet estimé que l’ingérence dans la vie privée du courtier, n’était pas d’une gravité telle qu’elle doive occulter l’intérêt du public à être informé de malfaçons en matière de courtage en assurances.

En l’espèce, une journaliste d’une émission télévisée suisse avait enregistré en caméra cachée un entretien avec un courtier en assurance, prétendant être une cliente s’intéressant à la souscription d’un contrat d’assurance-vie. A l’issue de l’entretien, la rédactrice de l’émission avait expliqué au courtier que l’entretien avait été enregistré puis l’avait invité à s’exprimer, ce qu’il avait refusé. Des extraits de l’entretien avaient ensuite été diffusés à l’antenne en masquant sa voix et son visage.

Les journalistes furent condamnés à plusieurs jours-amende pour l’enregistrement non autorisé de cette conversation, le tribunal fédéral ayant estimé que ceux-ci auraient pu choisir d’autres moyens, moins attentatoires aux intérêts privés du courtier pour informer des pratiques dans le domaine des assurances.

Saisie par les journalistes invoquant une ingérence disproportionnée dans leur droit à la liberté d’expression, la CEDH conclut à la violation de l’article 10 de la Convention EDH après avoir analysé le cas d’espèce au regard des six critères dégagées dans son arrêt Axel Springer AG c. Allemagne du 7 décembre 2012 dans la mise en balance du droit à la liberté d’expression et du droit au respect de la vie privée à savoir :

  • la contribution a un débat d’intérêt général ;
  • la notoriété de la personne visée et objet du reportage ;
  • le comportement antérieur de cette personne ;
  • le mode d’obtention des informations et leur véracité ;
  • les contenu, forme et répercussions du reportage ;
  • la sanction imposée.

Après avoir souligné au préalable que le courtier n’était pas un personnage public bénéficiant d’une notoriété particulière et que le reportage en question ne visait pas à le critiquer personnellement mais à dénoncer des pratiques commerciales, la Cour relève que le thème du reportage, relatif à la mauvaise qualité des conseils délivrés par des courtiers en assurances privées, concernait un débat d’intérêt général.

La Cour précise ensuite que le reportage n’était pas focalisé sur la personne du courtier mais sur certaines pratiques commerciales de sorte que l’atteinte à la vie privée du courtier était moins importante que s’il avait été visé en personne et exclusivement par le reportage.

S’agissant du mode d’obtention des informations et leur véracité, la Cour relève que l’utilisation de la caméra cachée n’était pas prohibée de manière absolue en droit interne et estime que les journalistes n’ont pas ignoré les règles journalistiques définies par le droit suisse et qu’en tout état de cause, le bénéfice du doute devait leur être accordé quant à leur volonté de respecter les règles de déontologie journalistique.

S’agissant ensuite de la façon dont le reportage a été diffusé et dont le courtier était présenté, la Cour observe que l’enregistrement avait été diffusé sous la forme d’un reportage particulièrement péjoratif à l’égard du courtier, via un média audiovisuel ayant des effets souvent beaucoup plus immédiats et puissants que la presse écrite. Cela étant, la Cour note que le visage et la voix du courtier avaient été masqués et que l’entretien ne s’était pas déroulé dans les locaux qu’il fréquentait habituellement.

Au regard de l’ensemble de ces éléments, la Cour conclut que l’ingérence dans la vie privée du courtier, qui a renoncé à s’exprimer sur l’entretien en question, n’était pas d’une gravité telle qu’elle doive occulter l’intérêt du public à être informé de malfaçons en matière de courtage en assurances.

Quant aux sanctions, quel que soit le caractère mineur de la peine infligée, la Cour estime que la sanction même peut tendre à inciter la presse à s’abstenir d’exprimer ses critiques, et ce, même si les requérants n’ont pas été privés de la possibilité de diffuser leur reportage.

Cette décision, bien que concernant la Suisse, impacte également le droit français puisqu’à l’instar des juridictions suisses, les juridictions françaises sont régulièrement amenées à se prononcer sur l’utilisation par les journalistes du procédé de la caméra cachée, les juges français appréciant à ce titre l’atteinte au droit au respect de la vie privée au regard de la nécessité de l’information du public (1), du contenu et de la forme du reportage (2), ainsi que du comportement antérieur de la personne concernée (3), critères également utilisés par la CEDH dans son arrêt Haldimann et autres c. Suisse.

Lexing Alain Bensoussan Avocats
Lexing Vie privée et Presse numérique

(1) TGI Paris, 17e ch., 7-9-2009, Legipresse 2009 n°265, I p.144
(2) TGI Paris, 17e ch., 7-9-2009, Legipresse 2009 n°265, I p.144
(3) CA Paris, 14e ch. 17-12-2008, Legipresse 2009, n°258, I, p.20




Le droit à l’oubli ne s’applique pas au baptême

Le droit à l’oubli ne s’applique pas au baptêmeLe droit à l’oubli ne s’applique pas au baptême, ce dernier constituant un fait dont la réalité historique ne peut être contestée. Baptisé en 1940 deux jours après sa naissance, un homme obtient en 2001 l’inscription du reniement de son baptême sur le registre des baptêmes et demande quelques années plus tard l’effacement de la mention de son baptême sur le registre paroissial.

Les juges du fond ayant rejeté sa demande, il forme un pourvoi estimant que ce refus constitue une atteinte à sa vie privée (article 9 du Code civil) et une violation de son droit à l’oubli (article 8 de la loi n°78-17 du 6 janvier 1978).

Il estime en effet que l’appartenance à la religion catholique est une donnée relevant de la vie privée, qui doit pouvoir être effacée à la demande de la personne intéressée, quand bien même cette donnée ne serait accessible qu’à un petit nombre de personnes et peu important que celles-ci soient tenues au secret.

Il invoque également un droit à l’oubli fondé sur l’article 8 de la loi n°78-17 du 6 janvier 1978, considérant que, si une institution religieuse, telle que l’église catholique, peut conserver des données ayant trait à une personne qui relève de cette institution ou qui entretient des contacts réguliers avec elle, la conservation de données est en revanche exclue peu important les conditions d’accès à ces données, dès lors que la personne a manifesté sa volonté de ne plus relever de l’institution et de n’avoir plus de contact avec elle.

La Cour de cassation rejette ces moyens au pourvoi (1). Elle considère en effet qu’il n’y a pas d’atteinte à sa vie privée, dans la mesure où la consultation du registre paroissial n’est ouverte qu’à l’intéressé et aux ministres du culte, tenus au secret.

Quant à la violation de l’article 8 de la loi du 6 janvier 1978, elle confirme la Cour d’appel qui avait relevé que les parents avaient donné leur consentement à cet événement et à son inscription sur ce document, de sorte qu’en dépit de son reniement, le baptême constituait un fait dont la réalité historique ne pouvait être contestée : il n’y avait donc pas lieu d’ordonner l’effacement de sa mention du registre.

Lexing Alain Bensoussan Avocats
Lexing Droit pénal numérique

(1) Cass 1e civ 19-11-2014, Monsieur X




UIA : vie privée et des droits de l’homme numérique

UIA : vie privée et des droits de l'homme numériqueVirginie Bensoussan-Brulé est intervenue lors du 58e Congrès de l’Union internationale des avocats (UIA), qui s’est tenu à Florence, du 29 octobre au 2 novembre 2014. Ses propos portaient plus particulièrement sur la thématique de la vie privée et des droits de l’homme numérique.

A qui appartiennent les données ?

Nous vivons à l’ère « numérique », où nos données et nos vies sont devenues, selon la métaphore usuelle, la nouvelle monnaie ou le nouveau pétrole.

Ces données sont enregistrées, stockées et exploitées par des tiers et des gouvernements.

Possédez-vous la «maîtrise» de vos données ? Dans quelle mesure avez-vous le droit de les garder privées, contrôler leur utilisation, ou même les faire disparaître ?

Les questions abondent et cette session conjointe abordera les plus importantes d’un point de vue juridique.

Vie privée et droit de l’homme numérique, UIA 58e Congrès, du 29 octobre au 02 novembre 2014.

 




Internet des objets et compatibilité avec la vie privée

Internet des objets et compatibilité avec la vie privée Frédéric Forster et Edouard Lemoalle reviennent pour L’Usine Nouvelle sur la question de la compatibilité de l’internet des objets avec la vie privée à propos de l’affaire Trendnet survenue en septembre 2013 aux Etats Unis.

La société Trendnet commercialise des caméras de surveillance connectées à Internet (SecurView), permettant d’ assurer la sécurité d’une habitation ou la vidéosurveillance de bébés. Suite à une faille logicielle, toute personne en possession de l’adresse IP d’une de ces caméras a pu visualiser, et dans certains cas écouter, les informations transmises en ligne.

Des pirates ont ainsi publié en ligne, en direct, les signaux émis par près de 700 caméras de particuliers, dévoilant en temps réel les activités de leurs utilisateurs (bébés endormis, adultes vaquant à leurs occupations quotidiennes…). Trendnet avait en outre transmis les identifiants des utilisateurs en texte clair et lisible sur le net.

La Federal Trade Commission (FTC), chargée aux Etats Unis de la protection des consommateurs et de la concurrence (équivalent de notre DGCCRF) a jugé que les pratiques de sécurité laxistes de Trendnet ont violé la vie privée de centaines de consommateurs, en rendant possible la consultation publique de leurs données sur Internet, et que les pratiques de Trendnet étaient trompeuses et déloyales (1).

Cette affaire a des retombées aux Etats-Unis et en Europe (notamment en France), pour toutes les entreprises commercialisant des appareils connectés à Internet, qui doivent assurer la sécurité et la confidentialité des données personnelles que ces appareils collectent, stockent et échangent entre eux.

La vie privée résistera-t-elle à l’internet des objets ?

Au-delà des opérateurs télécoms et fournisseurs d’accès à Internet,  depuis  juin 2013, la Commission européenne a publié un règlement (UE 611/2013, 24-6-2013) obligeant l’ensemble des acteurs collectant, conservant ou traitant des données à caractère personnel,  à prendre des mesures concrètes en matière d’information des autorités et du public en cas de faille de sécurité.

Frédéric Forster et Edouard Lemoalle, « L’Internet des objets est-il compatible avec la vie privée ?« , L’Usine Nouvelle le 1er juillet 2014.

(1) FTC N° 122 3090.




Atteinte à la vie privée et trouble manifestement illicite

Atteinte à la vie privée et trouble manifestement illiciteUn maître d’hôtel indélicat avait placé dans la salle de réunions de l’hôtel particulier de sa propriétaire un appareil enregistreur destiné à enregistrer les conversations qu’elle entretenait notamment avec son gestionnaire de fortune.

Ces propos ayant été retranscrits dans plusieurs articles publiés sur le site internet de Médiapart, le gestionnaire de fortune a assigné en référé la société Médiapart ainsi que les auteurs des articles dans lesquels étaient retranscrits les propos le concernant.

Il invoquait le trouble manifestement illicite au regard des articles 226-1 et 226-2 du Code pénal, qui répriment l’atteinte volontaire à l’intimité de la vie privée, notamment « en captant, enregistrant ou transmettant, sans le consentement de leur auteur, des paroles prononcées à titre privé ou confidentiel » pour l’article 226-1 du Code pénal et « le fait de conserver, porter ou laisser porter à la connaissance du public ou d’un tiers ou d’utiliser, de quelque manière que ce soit, tout enregistrement ou document obtenu à l’aide de l’un des actes prévus par l’article 226-1 » pour l’article 226-2.

Le Tribunal de grande instance de Paris a rejeté les demandes du gestionnaire de fortune par ordonnance de référé du 1er juillet 2010 estimant que ces documents contenaient « des informations légitimes et intéressant l’intérêt général ». Cette ordonnance a été confirmée par la Cour d’appel de Paris par arrêt du 23 juillet 2010.

La Cour de cassation avait censuré cette décision par un arrêt du 6 octobre 2011 et renvoyé l’affaire devant la Cour d’appel de Versailles. La Cour d’appel de Versailles s’est prononcée en faveur du gestionnaire de fortune par arrêt du 4 juillet 2013, qui a à nouveau fait l’objet d’un pourvoi en cassation.

C’est dans ces circonstances que la 1ère chambre civile de la Cour de cassation s’est à nouveau prononcée sur cette affaire dans un arrêt du 2 juillet 2014 et a confirmé la solution dégagée par la Cour d’appel de Versailles en considérant que :

  • « les constatations de l’arrêt établissent que, quels qu’aient été les intitulés médiatiques qui les présentaient, les propos publiés, issus de captations sanctionnées par l’article 226-2 du code pénal, texte de droit commun, opérées au domicile de Mme Z…, à son insu et pendant un an, puis diffusées sans son consentement, et en pleine connaissance de leur provenance, étaient, en outre, relatives tant à des utilisations qu’elle décidait de sa fortune qu’à des sentiments, jugements de valeur et attentes personnelles de M. C… à son endroit ; que la cour d’appel a ainsi caractérisé l’atteinte à l’intimité de la vie privée de M. C… et de Mme Z…, la conscience du caractère délictueux des agissements litigieux, et le trouble manifestement illicite qui en résultait » ;
  • « l’arrêt, après avoir rappelé que l’article 10 de la Convention de sauvegarde des droits de l’homme et des libertés fondamentales dispose que la liberté de recevoir et communiquer des informations peut être soumise à des restrictions prévues par la loi et nécessaires, dans une société démocratique, à la protection des droits d’autrui afin d’empêcher la divulgation d’informations confidentielles, retient exactement qu’il en va particulièrement ainsi du droit au respect de la vie privée, lui-même expressément affirmé par l’article 8 de la même Convention, lequel, en outre, étend sa protection au domicile de chacun ; qu’il s’ensuit que, si, dans une telle société, et pour garantir cet objectif, la loi pénale prohibe et sanctionne le fait d’y porter volontairement atteinte, au moyen d’un procédé de captation, sans le consentement de leur auteur, de paroles prononcées à titre privé ou confidentiel, comme de les faire connaître du public, le recours à ces derniers procédés constitue un trouble manifestement illicite, que ne sauraient justifier la liberté de la presse ou sa contribution alléguée à un débat d’intérêt général, ni la préoccupation de crédibiliser particulièrement une information, au demeurant susceptible d’être établie par un travail d’investigation et d’analyse couvert par le secret des sources journalistiques, la sanction par le retrait et l’interdiction ultérieure de nouvelle publication des écoutes étant adaptée et proportionnée à l’infraction commise, peu important, enfin, que leur contenu, révélé par la seule initiative délibérée et illicite d’un organe de presse de les publier, ait été ultérieurement repris par d’autres ».

La Cour de cassation a donc ainsi dégagé deux principes :

  • les écoutes dont avaient fait l’objet la propriétaire de l’hôtel particulier et son gestionnaire de fortune, qui ne portaient pas exclusivement sur des aspects professionnels ou financiers, constituaient une atteinte à l’intimité de la vie privée au sens des articles 226-1 et 226-2 du Code pénal, permettant de caractériser un trouble manifestement illicite ;
  • dans le cadre de la conciliation entre le droit au respect de la vie privée et la liberté d’expression, tous deux garantis par la Convention européennes des droits de l’Homme, la Cour de cassation fait primer ici le droit au respect de la vie privée, estimant que « le recours à ces derniers procédés constitue un trouble manifestement illicite, que ne sauraient justifier la liberté de la presse ou sa contribution alléguée à un débat d’intérêt général, ni la préoccupation de crédibiliser particulièrement une information, au demeurant susceptible d’être établie par un travail d’investigation et d’analyse couvert par le secret des sources journalistiques ».

Virginie Bensoussan-Brulé
Chloé Legris
Lexing Droit pénal numérique

 




Numérique, renseignement et vie privée : colloque au Sénat

Numérique renseignement et vie privéeAlain Bensoussan a participé, le 22 mai 2014, à la journée d’étude initiée par la Commission des lois du Sénat sur le thème « Numérique, renseignement et vie privée : de nouveaux défis pour le droit« .

Il a débattu des règles de droit applicables aux nouvelles technologies, dans le cadre de la quatrième table ronde présidée par Madame Esther Benbassa, Vice-Présidente de la Commission des lois.

Numérique, renseignement et vie privée

La prégnance de plus en plus grande des technologies du numérique dans notre vie quotidienne, illustrée, notamment, par le développement exponentiel des réseaux sociaux, révèle la difficulté de concilier, sur le net, le droit à la liberté d’expression, le droit à l’information, le droit à l’oubli et le respect de la vie privée. Le manque de sensibilisation des internautes, notamment des plus jeunes, aux enjeux de la protection des données à caractère personnel accroît encore les risques liés à l’utilisation non maîtrisée des nouvelles technologies.

Le développement d’internet implique l’adoption de garde-fous et la reconnaissance de nouveaux droits, libertés et devoirs. De nouveaux droits de l’homme, les droits de l’homme numérique, sont à inventer, parce que la vie binaire est aussi importante que la vie réelle. Parmi ces droits, figurent notamment le domicile privé virtuel et le droit à l’oubli numérique, c’est-à-dire le droit à disparaître du net en supprimant toutes les données vous concernant. Ce droit a fait l’objet d’une reconnaissance par la Cour de justice de l’Union européenne le 13 mai 2014 (cf. notre post du 14-5-2014).

De nombreuses interrogations quant à la sécurité des réseaux et la protection de la vie privée ont également été suscitées par l’activité des services de renseignement et des services d’enquête et plus particulièrement l’affaire Snowden. L’équilibre entre l’impératif de sécurité publique et le respect des droits des citoyens européen fait débat.

Le journée d’étude s’est tenue au Sénat – Palais du Luxembourg – Salle Clémenceau –

et a donné lieu à la rédaction d’un rapport d’information, fait au nom de la commission des lois par M. Jean-Pierre Sueur :




Espionnage conjugal numérique

EspionnageEspionnage conjugal numérique – Alain Bensoussan était l’invité de Laurent Bazin dans l’émission « On n’est pas dupes » du lundi 10 mars  2014 sur RTL consacrée aux nouvelles formes d’espionnage conjugal à partir des téléphones portables équipés de mouchards.

Il nous rappelle ce qu’il est permis de faire et quelles sont les limites de ces pratiques, pas toujours morales, mais d’une redoutable efficacité avec la multiplication des applications internet mobiles. 

Les preuves admissibles en matière de divorce sont encadrées par le Code civil, qui prévoit notamment que :

– « Un époux ne peut verser aux débats un élément de preuve qu’il aurait obtenu par violence ou fraude » (art. 259-1).
– « Les constats dressés à la demande d’un époux sont écartés des débats s’il y a eu violation de domicile ou atteinte illicite à l’intimité de la vie privée » (art. 259-2).

Si habituellement, il y a un mot de passe que le titulaire est seul à connaitre et que des informations ont été interceptées à son insu, il y a tout lieu d’anticiper que l’on pourra prouver la fraude ou le recours à un stratagème par le conjoint. En revanche, sans l’usage d’un mot de passe, l’argument de la fraude est plus difficile à faire admettre au juge.

En juin 2009, la cour de cassation a déjà eu l’occasion d’admettre des SMS à titre de preuves car en matière de divorce, la preuve se fait par tous moyens et le juge ne peut écarter des débats un élément de preuve que s’il a été obtenu par violence ou fraude. En  l’espèce, elle a considéré que la cour d’appel avait eut tort d’écarter des débats des minimessages, dits « SMS », reçus sur le téléphone portable professionnel de l’époux, sans constater au préalable que ces messages ont été obtenus par violence ou fraude.

Comme le rappelle le journaliste Jean-Marc Manach, spécialiste en sécurité informatique, pour limiter les risques, les moyens les plus efficaces sont encore d’installer des antivirus, d’utiliser des mots de passe (ou plutôt des « phrases de passe ») qui ne peuvent pas être devinés par les proches ou encore d’utiliser un simple téléphone sans connexion internet car, plus le téléphone est sophistiqué, plus les risques d’espionnage augmentent…

(Ecouter l’interview)