Directive européenne sur le droit d’auteur : vers une répartition plus équitable des revenus tirés de l’utilisation de contenus en ligne

Plus de deux ans après sa présentation par la Commission européenne, la directive sur le droit d’auteur et les droits voisins dans le marché unique numérique a été adoptée le 15 avril 2019 par le Conseil européen et publiée au Journal Officiel de l’Union le 17 mai (voir ici le texte complet). 

Remplaçant les directives 96/9/CE et 2001/29/CE, elle entend poursuivre l’harmonisation des règles applicables au droit d’auteur et aux droits voisins dans l’Union Européenne, tout en tenant compte des utilisations numériques et transfrontières des contenus protégés.

Son contenu a suscité de nombreuses controverses au sein des États membres, si bien que six d’entre eux ont voté contre son adoption et trois se sont abstenus lors de son vote au sein du Conseil. La Pologne a par ailleurs déposé une plainte contre le texte auprès de la Cour de justice de l’Union européenne, au titre d’une « menace importante pour la liberté d’expression »[1]. Les débats se sont cristallisés sur plusieurs points clefs du texte, dont les conséquences pour les acteurs du numérique sont importantes dans un contexte de surabondance des informations fournies aux utilisateurs de services en ligne, parfois qualifié d’ « infobésité ».

1 – Les points clés de la directive – de la lecture de cette directive, nous retenons les points suivants :

L’établissement d’une exception obligatoire pour fouille de textes et de données (text and data mining)

Les articles 3 et 4 prévoient une exception au droit d’auteur pour la fouille de textes et de données, définie comme « toute technique d’analyse automatisée visant à analyser des textes et des données sous une forme numérique afin d’en dégager des informations, ce qui comprend, à titre non exhaustif, des constantes, des tendances et des corrélations » (article 2, para. 2). Cette exception à l’application du droit d’auteur sur ces contenus protégés ne s’appliquera toutefois que dans certaines circonstances, tels que la recherche scientifique, l’enseignement ou la conservation du patrimoine culturel.

Le renforcement des droits des éditeurs de presse sur leurs publications en ligne

On peut relever la création d’un droit voisin au profit des éditeurs de presse pour l’utilisation de leurs publications sur des sites internet compilant des nouvelles (ex : Google Actualités) car c’est sans doute une des nouveautés ayant suscité le plus de controverses.

L’objectif est de pallier le déséquilibre entre les éditeurs de presse et les agrégateurs d’informations qui génèrent des revenus sur le trafic engendré par la compilation de ces publications sur leur site, sans jamais être tenus légalement de rétribuer les éditeurs. Pour être indemnisés, ces derniers devaient ainsi démontrer, pour chaque publication utilisée, que la plateforme avait reproduit et mis en ligne sans autorisation préalable une publication au caractère original parue sous leur responsabilité[2]. Un exercice fastidieux qui décourageait les éditeurs de presse de défendre leurs droits.

Or, les agrégateurs tirent un profit considérable de l’utilisation de ces publications. Selon la 21ème édition de l’Observatoire de l’e-pub présentée par le Syndicat des régies Internet (SRI) et PwC en partenariat avec l’Union Des Entreprises de Conseil et Achat Média (UDECAM) en janvier 2019, sur les 4,9 milliards d’euros de chiffre d’affaires net générés par la publicité digitale en 2018, près de 70 % ont été captés par les géants américains Google et Facebook[3]. Les éditeurs se voient ainsi privés d’une source de revenus d’autant plus importante que certains sont également confrontés à la crise des ventes d’exemplaires physiques que traverse la filière de la presse écrite[4].

  • la création de droits de reproduction et de communication au public conférés aux éditeurs de presse :  l’article 15 de la directive vise à remédier au value gap en conférant des droits de reproduction et de communication au public aux éditeurs de presse pour l’utilisation en ligne de leurs publications, ce qui leurs permet de négocier une juste rémunération auprès des plateformes internet.
  • Des prérogatives toutefois tempérées : tout d’abord, le champ d’application est limité puisqu’il n’est conféré que dans le cadre d’une activité économique et ne s’applique pas à certains sites internet, tels que les blogs, en ce que les activités exercées par leurs exploitants ne sont pas comparables aux fonctions d’initiative, de contrôle et de responsabilité des prestataires de services (considérant 56). Ensuite, les droits conférés expireront au bout de 2 ans à compter de la publication (article 15, para. 4) et non 20 ans comme le prévoyait une précédente proposition. Enfin, l’article exclut expressément de son bénéfice les actes d’hyperliens, les mots isolés et les très courts extraits (si la notion d’hyperlien n’appelle pas de développement particulier, il n’est en revanche pas aisé de déterminer les contours des notions de « mots isolés » et « très courts extraits »).

Le renforcement des obligations des acteurs en ligne en cas d’utilisation de contenus protégés

L’article 17, para. 1, pose une obligation pour les fournisseurs de services de partage de contenus en ligne d’obtenir, avant de donner accès au public à des œuvres protégées par le droit d’auteur ou à d’autres objets protégés téléversés par les utilisateurs, une autorisation des titulaires de ces droits de communication au public.

Cette nouvelle obligation incombera aux fournisseurs d’un service de la société de l’information dont l’objectif principal ou l’un des objectifs principaux est de stocker et de donner au public l’accès à une quantité importante d’œuvres protégées par le droit d’auteur ou d’autres objets protégés qui ont été téléversés par ses utilisateurs, le tout à des fins lucratives (article 2, para. 6). Plusieurs acteurs incontournables d’Internet tels que YouTube ou Dailymotion sont ici concernés.

L’article poursuit en instaurant une présomption simple de responsabilité envers ces fournisseurs de services de partage de contenus en ligne pour les actes de communication au public non autorisés sur leurs sites (para. 4). Pour s’exonérer de leur responsabilité, il leur faudra prouver plusieurs éléments, tels que le fait d’avoir fourni leurs meilleurs efforts pour obtenir une autorisation et observé les diligences professionnelles du secteur, ou encore avoir agi promptement dès réception d’une notification d’utilisation illégale. Ces éléments seront analysés à la lumière de plusieurs critères, tels que le type, l’audience et la taille du service, ou encore le coût des moyens adaptés pour les fournisseurs de services (para. 5).

Certains fournisseurs bénéficieront toutefois d’un régime de responsabilité atténué (para. 6). En effet, les nouveaux acteurs de ce secteur qui exercent leur activité depuis moins de trois ans et ont un chiffre d’affaires annuel inférieur à dix millions d’euros seront limités au respect de l’obligation de fournir leurs meilleurs efforts pour obtenir une autorisation et d’agir promptement en cas de notification d’utilisation frauduleuse de la part des titulaires de droit. Ces conditions remplies, leur responsabilité ne sera pas engagée. Ce régime plus favorable sera applicable tant que la plateforme ne dépassera pas les cinq millions de visiteurs uniques par mois.

On peut noter que les traditionnelles exceptions de citation, critique, caricature, parodie (et autres) sont conservées dans la directive, et dispenseront ainsi certains actes de communication au public de l’obtention d’une autorisation préalable (para. 7).

Enfin, il faut souligner que l’article 17 précise qu’il ne donne lieu à aucune obligation générale de surveillance à l’encontre des acteurs de l’internet. Toutefois, le texte instaure un devoir de transparence et de loyauté envers les titulaires des droits (para. 8). Les plateformes devront ainsi leur fournir certaines informations déterminantes tel que le nombre de consultation de leurs œuvres par les utilisateurs. L’idée sous-jacente étant qu’une rémunération juste et proportionnée des ayants droit n’est possible qu’en présence d’une symétrie d’information entre les parties prenantes.

2- La transposition de la directive par la France

Conformément à l’article 29 de la directive, les États membres ont jusqu’au 7 juin 2021 pour transposer le texte dans leur droit national. La France fait ici figure d’exemple puisqu’elle est le premier État à avoir amorcé une telle transposition par une loi adoptée le 23 juillet dernier par l’Assemblée nationale.

La loi n° 2019-775, adoptée par l’Assemblée nationale en 2e lecture le 23 juillet dernier, est venue transposer l’article 15 de la directive en créant un droit voisin au profit des agences de presse et des éditeurs de presse.

Elle complète la directive sur plusieurs points, notamment :

  • elle précise la notion de « très courts extraits », dont la communication ne requiert pas d’autorisation préalable. Selon le nouvel article L. 211-3-1, 2° du code de la propriété intellectuelle, lorsque l’utilisation d’extraits est substituable à la publication de presse elle-même ou dispense le lecteur de s’y référer, il sera dorénavant obligatoire pour l’agrégateur de nouvelles d’obtenir un accord préalable de l’éditeur de presse.
  • la loi règle par ailleurs la question délicate des modalités de rétribution des journalistes et auteurs d’œuvres protégées par les éditeurs en créant une commission présidée par un représentant de l’Etat et composée de représentants des différentes parties prenantes, qui sera chargée de trancher à la place des parties en cas d’absence d’accord entre elles.

Quant aux autres dispositions, une prochaine transposition des articles 17 à 22 devrait s’insérer dans la future loi sur l’audiovisuel prévue pour discussion à l’Assemblée à partir de janvier 2020. Selon un avant-projet de transposition, les dispositions françaises devraient suivre de près celles de la directive. Une nouvelle fonction devrait en outre être conférée à la Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (Hadopi), celle d’évaluer l’efficacité des technologies d’identification des contenus et de protection des œuvres. Le texte consacre par ailleurs une obligation de rémunération des auteurs d’œuvres protégées proportionnelle aux recettes tirées de leur exploitation et dresse une liste de cas pour lesquels une rémunération forfaitaire est autorisée. Enfin, il prévoit de laisser aux parties prenantes le soin de résoudre certains points par le biais d’accords interprofessionnels. Si les négociations s’avèrent infructueuses après un délai de 12 mois, il reviendra au Conseil d’État de trancher la question par décret[5]. Droit du Partage continuera naturellement à suivre ce sujet pour vous


[1] Déclaration du Ministre des affaires étrangères polonais, Konrad Szymanski, https://www.francetvinfo.fr/culture/musique/la-pologne-depose-une-plainte-contre-la-directive-europeenne-sur-les-droits-d-auteur_3458177.html.

[2] https://www.senat.fr/rap/a18-151-42/a18-151-4212.html#toc313.

[3] http://www.lefigaro.fr/medias/2019/01/31/20004-20190131ARTFIG00091-pub-en-ligne-google-et-facebook-captent-toute-la-croissance.php.

[4] https://www.senat.fr/rap/a18-151-42/a18-151-426.html#toc180.

[5] https://www.contexte.com/article/numerique/document-les-premieres-briques-de-la-france-pour-transposer-la-directive-droit-dauteur_102114.html.

Publicités

Poster un commentaire

Classé dans Evolution du cadre juridique, Union Européenne

Référencement naturel : la guerre des mots clés sur les moteurs de recherches

Moteur de recherches, référencement et mots clés : voici des termes qui contribuent directement au succès d’une entreprise sur internet. Être facilement identifié en ligne et capter le trafic des internautes sont des enjeux clés pour toutes les entreprises qui ont une présence digitale. Par conséquent, l’optimisation de sa visibilité dans les pages de recherche nécessite d’optimiser les moteurs de recherche (search engine optimization ou SEO) mais également de construire des stratégies d’acquisition de trafic avec des mots clés (par exemple, grâce aux « AdWords » de Google).

Pour maximiser sa présence dans les pages de résultats, il est possible de faire l’acquisition de mots clés identifiants un concurrent et/ou ses services. Cette pratique a vu naître un contentieux spécifique qui a 2 facettes principales.

1/ La situation du concurrent : les décisions de justice rendues ces dernières années ont fait émerger le principe selon lequel le fait de choisir comme mot clé la marque d’un concurrent ne constitue pas ipso facto un acte de contrefaçon. En revanche, cette situation peut devenir critiquable lorsqu’il existe une atteinte à la fonction de marque pour l’identification du produit ou service (en particulier, s’il y a ou peut y avoir une confusion entre les produits ou services). Par ailleurs, cette action en contrefaçon peut être accompagnée de demandes fondées sur la concurrence déloyale, laquelle pourrait être caractérisée par le parasitisme ou le détournement de clientèle. Dans ce cas, le demandeur devra établir un comportement fautif attentatoire à une concurrence paisible, ce qui impose de démontrer des actes supplémentaires à l’acquisition de mots clés permettant de caractériser la faute (par exemple, la rédaction de libellés dans la page de résultats favorisant la confusion ou de nature à induire l’internaute en erreur).

Dans un récent arrêt du 5 mars 2019 (voir ici la décision complète), la Cour d’appel de Paris a condamné une société (Rue du Commerce) pour contrefaçon de marque (Carré Blanc) mais pas pour concurrence déloyale, ce qui apporte des précisions intéressantes.

En ce qui concerne la contrefaçon, il a été retenu que le mot clé « Carré Blanc » était utilisé dans les annonces snippet, les URL et la page du site pour préciser le type d’article recherché (par exemple, un peignoir ou une couette). Les juges d’appel retiennent que « cette insertion répétée permet d’améliorer le référencement du site en cas de nouvelle recherche par un internaute sur les mêmes mots clés et découle d’un choix de la société Rue du Commerce dans l’organisation de son site et notamment dans le lien vers la page d’index et dans la rédaction de l’extrait, même si le site n’a pas de contrôle sur les mots-clés définis par l’internaute » et que « cette répétition du signe carré blanc dans le titre, dans l’adresse URL et dans l’extrait à deux reprises porte atteinte à la fonction d’origine de la marque, en ce qu’elle est de nature, s’agissant d’un référencement naturel, à laisser l’internaute normalement informé et raisonnablement attentif penser que des produits de marque carré blanc lui seront proposés sur ce site ».

En ce qui concerne la concurrence déloyale, il a été jugé que « la mise en place de techniques de référencement afin de promouvoir les pages internet du site de la société Rue du Commerce ayant pour titre carré blanc et d’améliorer son classement dans les meilleurs résultats du moteur de recherche google relève d’une démarche commerciale afin de mettre en avant ces produits et de démarcher les clients, et ne peut caractériser un comportement déloyal que s’il a pour effet de détourner effectivement le consommateur de la société concurrente de Rue du Commerce, qui en subirait une perte de son chiffre d’affaires ». En l’occurrence, les juges ont relevé que, malgré la stratégie de Rue du Commerce visant à améliorer son référencement naturel, ce site n’est pas systématiquement placé en premier et que la société Carré Blanc ne démontrait pas de baisse de visites ou de chiffre d’affaires.

Ces éléments permettent d’affiner la compréhension des éléments retenus par les juridictions et de renforcer la construction de stratégies de référencement naturel sur les moteurs de recherche.

2/ La situation du moteur de recherche : en plus de l’action contre le concurrent, l’entreprise dont la marque est utilisée comme mot-clé pourrait s’interroger sur le rôle et l’étendue de la responsabilité des moteurs de recherche puisqu’il s’agit de l’outil technologique qui référence les contenus. En effet, lorsque leurs clients sélectionnent des mots clés et choisissent, à cette occasion des marques et/ou des éléments distinctifs de concurrents, la question de la responsabilité de cet intermédiaire numérique peut donc légitimement se poser.

Dans la jurisprudence récente, les moteurs de recherche (au premier rang desquels Google) ont été visé par plusieurs actions (par exemple, les procédures initiées par Louis Vuitton). La principale critique était de permettre à des annonceurs d’acheter des mots-clés correspondant aux signes distinctifs du concurrent. Parmi les décisions importantes, on peut faire référence à l’arrêt précité de la Cour de justice qui affirme notamment le principe selon lequel il est possible d’agir en responsabilité si le prestataire a eu connaissance du caractère illicite des activités.

Derrière ce cas spécifique, il s’agit en réalité de la question de la responsabilité de l’intermédiaire en ligne qui se trouve à la frontière des qualifications d’ « éditeur » et d’ « hébergeur ». Issus de la directive sur le commerce électronique (2000/31/CE) et de la loi pour la confiance dans l’économie numérique (LCEN), les débats sur la qualification juridique de certains acteurs (par exemple, les moteurs de recherche ou les plateformes) forment une jurisprudence importante. Un des éléments décisif pour caractériser l’éditeur est le rôle actif sur le contenu, ce qui dépend des faits, du fonctionnement opérationnel de la société mais également de la fonctionnalité en question (les acteurs digitaux sont complexes et peuvent être un « éditeur » pour certains aspects et un « hébergeur » pour d’autres).

Le contentieux met en lumière un enjeu simple : le droit des acteurs de l’internet, constitué au début des années 2000, ne permet plus d’appréhender la diversité des fonctionnements actuels. Il en découle alors une insécurité juridique pour les opérateurs économiques mais également pour les internautes, de sorte qu’il serait bienvenu que l’Union Européenne s’attèle à revoir ce régime juridique. Nous comprenons que la nouvelle Commission Européenne pourrait mettre à l’ordre du jour une revue de la directive sur le commerce électronique, ce qui ouvrirait de nouvelles perspectives juridiques pour consolider le cadre applicable aux intermédiaires en ligne.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes

À la recherche de la Smart City : numéro 2 de la revue Third

En tant que lieu de construction d’une culture du numérique, Third décrypte la révolution juridique en abordant les grands objets de réflexion et en adoptant une approche pluridisciplinaire (voir le site de la revue Third). Publié en mai 2019, le numéro 2 de la revue Third (voir le site dédié au numéro sur la Smart City) est dédié aux questions posées autour de la Smart City.

Smart City Couverture Third numéro 2

Expression à la mode et indéfinissable, la Smart City ponctue presque toutes les discussions sur l’impact du numérique dans nos vies urbaines. Il était donc naturel que la revue Third s’essaie à mieux appréhender cette notion, tout en conservant l’approche pluridisciplinaire qui la guide.

Chacun à leur façon, les contributeurs de ce numéro creusent l’idée que la Smart City est un idéal, une forme de rêve collectif dans lequel ceux qui composent une ville (le citoyen, le politique et l’entrepreneur) tireraient profit de toutes les mutations résultant de la révolution numérique : des villes mieux organisées, plus fluides, plus justes, où il ferait bon vivre.

Où en est ce projet aujourd’hui ? Sous quel angle peut-on réellement l’appréhender ? Quelles sont les forces qui le façonnent ? Quels changements aura-t-il sur nos vies ? Voulons-nous vraiment d’une Smart City ?

Nous vous invitons à découvrir les articles passionnants des contributeurs du numéro de Third intitulé « À la recherche de la Smart City ».

Poster un commentaire

Classé dans Autres secteurs (vêtements, food, stockage & location de biens meubles...), Prises de position, Transport de personnes

Lutte contre la manipulation d’informations sur Internet : que nous apporte la loi fake news ?

La lutte contre les fake news sur Internet n’est pas seulement un sujet médiatique : au croisement entre les enjeux de sincérité du scrutin, d’ingérence étrangère dans un processus électoral et de responsabilisation des plateformes, le sujet a fait l’objet d’une loi.

Entrée en vigueur en décembre 2018, la loi relative à la lutte contre la manipulation de l’information passe actuellement sa première épreuve à l’occasion des élections européennes. Ce texte représente bien plus qu’une tentative de définition de la notion de « fausse information » : il s’agit d’un nouveau bloc du droit des plateformes et des algorithmes, auquel chaque opérateur peut se référer, notamment en ce qui concerne les sujets de transparence des algorithmes.

Droit du Partage vous en présente les contours et les enjeux de sa première mise en œuvre concrète.

  1. Les plateformes numériques au cœur du dispositif

Les opérateurs de plateformes sont au cœur du dispositif de la loi fake news : le texte reconnait leur place primordiale dans la diffusion de l’information et les place au cœur du dispositif réglementaire.

Cependant, la loi ne s’adresse pas à tous les opérateurs de plateformes et précise que les plateformes concernées sont celles dont l’activité repose sur la promotion de contenus d’information se rattachant à un débat d’intérêt général.

Parmi les nombreuses mesures qu’elle contient, les trois principales sont les suivantes :

  • D’une part la loi renforce, pendant les périodes électorales (c’est-à-dire trois mois avant les élections) les obligations d’information et de transparence des plateformes ayant plus de 5 millions de visiteurs uniques par mois (voir le décret ici) sur les « contenus d’information se rattachant à un débat d’intérêt général » (i) en informant les utilisateurs sur l’identité de la personne qui rémunère la plateforme en échange de la promotion de contenus ; (ii) en fournissant une information loyale, claire et transparente sur l’utilisation des données personnelles dans le cadre de la promotion de contenus d’information et (iii) en rendant public le montant des rémunérations reçues en contrepartie de la promotion de contenus d’information lorsque leur montant est supérieur à 100 euros.
  • D’autre part, de façon plus structurelle et permanente (c’est-à-dire même hors périodes électorales), la loi prévoit l’obligation pour les plateformes de mettre en œuvre des mesures visant à lutter contre la diffusion de fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité d’un scrutin. Pour cela, les plateformes peuvent notamment prendre des mesures de (i) transparence de leurs algorithmes, de (ii) promotion des contenus issus d’entreprises et d’agences de presse ou de (iii) lutte contre les comptes propageant massivement de fausses informations.
  • Enfin, la loi crée une procédure spécifique en période électorale, aussi appelée « référé fake news», qui permet au ministère public, à tout candidat, tout parti ou toute personne ayant intérêt à agir, de demander au juge des référés, sous 48 heures, de prendre des mesures proportionnées et nécessaires pour faire cesser la diffusion de ces informations auprès des hébergeurs et des plateformes qui hébergent les contenus en question.
  1. Quelle mise en œuvre concrète pendant la campagne des européennes ?

La campagne des élections européennes a été l’occasion d’une première mise en application de cette loi.

Les opérateurs de plateformes concernés par le dispositif ont pris des mesures allant dans le sens d’une meilleure information de leurs utilisateurs, notamment sur le dispositif de signalement de fausses informations, l’information concernant les auteurs d’articles « politiques » et les mesures prises par l’opérateur pour lutter contre la diffusion de fausses informations en période électorale. À titre d’exemple, Facebook a mis en ligne une page internet dédiée au sujet et Twitter a mis en œuvre sur sa plateforme un dispositif de signalement de contenu permettant de signaler un tweet comme « induisant en erreur au sujet d’élections ».

Du côté procédural, le « référé fake news » vient de connaître sa première décision avec un jugement du Tribunal de grande instance de Paris rendu le 17 mai après la demande formulée, par deux élus communistes pour obtenir le retrait, par Twitter, d’un tweet du Ministre de l’intérieur concernant les manifestations de gilets jaunes et l’utilisation du terme « attaque » pour désigner la présence de gilets jaunes dans l’enceinte de l’Hôpital de la Pitié-Salpêtrière. Dans sa décision, le Tribunal refuse de faire droit à la demande de retrait du tweet, notamment au motif que l’information diffusée par le Ministre de l’intérieur n’est pas « manifestement inexacte ou trompeuse ». Cette première décision est intéressante car elle met en lumière le difficile effort de qualification d’une « fake news » et la complexité de sa mise en oeuvre : en l’espèce, les juges ont apprécié de manière restrictive la définition de la fausse information qui doit être manifestement inexacte ou trompeuse et qui doit être diffusée de manière délibérée, artificielle ou automatisée et massive.

Les prochaines décisions en la matière seront particulièrement intéressantes à suivre, notamment si elles portent sur des informations ne relevant pas de l’appréciation de faits par des responsables politiques, un « cas d’usage » de fake news qui ne correspond pas aux comportements que la loi vise à sanctionner, à savoir la diffusion massive d’une information fausse au moyen d’un système automatisé.

  1. Quelles perspectives pour la lutte contre la manipulation d’information ?

Le principal défaut de la loi relative à la lutte contre la manipulation d’information est sans doute son caractère national et isolé (à l’exception de Singapour – LIEN), dans un contexte où la diffusion de fausses informations se développe de manière transnationale, privant ainsi un dispositif exclusivement national d’efficacité dans le cas où les données considérées comme relevant de fake news sont stockées ou hébergées à l’étranger.

L’Europe semble être un échelon plus pertinent à cet égard. C’est pourquoi les récentes initiatives européennes visant à lutter contre la désinformation sont intéressantes et à suivre : elles visent, à travers un mécanisme de conformité volontaire des opérateurs de plateformes, à atteindre les mêmes objectifs que la loi française, avec des résultats qu’il conviendra d’observer. Le récent code européen de bonnes pratiques contre la désinformation sur internet auquel Facebook, Google et Twitter ont chacun adhéré est un bon exemple de mécanisme de régulation, fondé sur le volontarisme des acteurs, qui permet de contraindre les acteurs de manière plus efficace qu’une loi nationale. Les plateformes signataires de la charte publient ainsi régulièrement des rapports concernant les mesures qu’elles prennent pour lutter contre la désinformation, sous le contrôle attentif de la Commission européenne.

Le sujet de la lutte contre la désinformation en ligne est donc loin d’être clos, faute de mécanisme transnational efficace ou de corps de règles unifié à l’échelle européenne permettant de fixer des règles cohérentes pour toutes les plateformes opérant en Europe.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes, Union Européenne

RGPD et objets connectés : de l’importance de la sécurité

Alors que plus de 20 milliards d’objets connectés devraient être en circulation d’ici 2020 (voir notamment les insights de Gartner sur l’Internet of Things), la protection de la vie privée et des données personnelles va devenir un enjeu cardinal (tant pour les professionnels que pour les consommateurs). Au cœur de ces considérations et en application du RGPD (notamment l’article 32), se trouve la sécurité des éléments physiques ainsi que des flux de données permis par ces objets connectés (voir notre précédent article pour des perspectives juridiques plus complètes).

Les questions de sécurité se posent à tous les niveaux : l’intégrité physique de l’objet, la sécurité de la liaison objet / service numérique et la sureté des serveurs (peut être situés à l’étranger) où sont stockées les informations envoyées par l’objet. On peut ainsi distinguer 3 scenarii par ordre croissant de risque :

1/ Les données restent sous la maitrise de l’usager : les objets n’envoient pas les données à l’extérieur, c’est-à-dire à des tiers car elles restent sur des réseaux maitrisés par l’usager.

2/ Les données sont transmises à l’extérieur pour analyse : les objets transmettent les données à un ou des tiers pour être analysées dans le but de rendre tout ou partie du service.

3/ Les données sont transmises à l’extérieur pour permettre de gérer l’équipement à distance : dans cette situation, les données sont envoyées par l’objet à un ou des tiers afin d’interagir ensuite avec l’équipement.

Le cadre juridique relatif à la protection des données personnelles, en particulier le RGPD qui est applicable dans l’Union Européenne, fixe des exigences importantes en matière de sécurité et d’exercice des droits des individus. Très attentive à ces enjeux, la CNIL s’est focalisée sur les cas d’usages les plus courants en France (notamment, les compteurs intelligents, les jouets connectés, les voitures connectées ou encore les enceintes à commande vocales).

Prenons l’exemple des compteurs communicants comme Linky qui font l’objet d’une attention particulière des dernières années. Dès le 15 novembre 2012, la CNIL a adopté une délibération portant recommandation relative aux traitements des données de consommation détaillées collectées par les compteurs communicants dans laquelle il est notamment rappelé la nécessité de mettre en place des mesures fortes pour assurer la sécurité et la confidentialité des données.

Cette question était au cœur d’un récent litige (voir l’ordonnance de référé du 23 avril 2019 rendue par le Président du Tribunal de grande instance de Bordeaux). Dans cette affaire, plusieurs personnes physiques ont assigné la société Enedis pour s’opposer à l’installation d’un compteur électrique Linky sur le fondement, notamment, de la violation du RGPD. Dans son ordonnance, le Président a refusé de faire droit à cette demande en retenant notamment l’absence de trouble manifestement illicite car il existe une « anonymisation des informations pendant leur transmission, d’une part par leur cryptage, et d’autre part par l’absence de toute référence d’identification nominative ».

Si l’interprétation des règles du RGPD est encore en construction et que les services de la CNIL poursuivent leurs efforts de pédagogie, la récemment désignée Présidente de la CNIL (Marie-Laure Denis) a affirmé que « un an après [l’] entrée en vigueur [du RGPD], c’est la fin d’une forme de tolérance ». Les acteurs du marché doivent mettre en œuvre des mesures de mise en conformité, en particulier concernant la sécurité et la confidentialité des données personnelles.

Les entreprises du marché des objets connectés doivent prendre ces sujets à bras le corps pour assurer la pérennité de leur activité et rassurer leurs clients. Ainsi, il convient de conduire une analyse précise du flux des données et des risques encourus par la situation (v. p. ex. les 3 scenarii détaillés supra) afin de prendre de mettre en place des mesures techniques (par exemple, l’anonymisation et le cryptage) et organisationnelles (par exemple, une politique interne relative à la sécurité et à la protection des données).

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Autres secteurs (vêtements, food, stockage & location de biens meubles...), Evolution du cadre juridique

Charte des acteurs e-commerce : vers des relations plus équilibrées entre les plateformes et les entreprises utilisatrices ?

Tout comme le futur règlement européen Platform to business (voir notre analyse de la version du texte ayant fait l’objet d’un accord politique), la « Charte des acteurs du e-commerce » du 26 mars 2019 vise à promouvoir des relations équilibrées, loyales et transparentes entre les opérateurs de plateforme en lignes (au sens de l’article L. 111-7 du Code de la consommation) et les personnes physiques ou morales contractant les services de ces plateformes ou places de marché à titre professionnel.

Cette charte s’inscrit dans la volonté de favoriser la croissance des TPE et PME françaises dont le développement dépend largement des plateformes numériques qui s’imposent comme de véritables « gardiens de l’accès aux marchés et aux consommateurs » (Commission Européenne, COM(2018) 238 final, 26 avril 2018). En effet, selon le communiqué de presse de la Commission européenne du 14 février 2019, ce sont plus de 42% des PME de l’Union européenne qui déclarent avoir recours à des places de marché en ligne pour vendre leurs produits ou services.

La « Charte des acteurs du e-commerce » vise principalement trois objectifs : (1) la formalisation des engagements mutuels entre les parties, (2) la garantie d’un échange « ouvert, fiable, et individualisé » à tous les stades de la relation commerciale et (3) la lutte contre la contrefaçon.

1/ La formalisation des engagements mutuels entre les parties : dans l’optique de préserver un climat de confiance entre elles et les entreprises utilisatrices, essentiel à toute relation commerciale, les plateformes et places de marché s’engagent dans le cadre de cette charte à sécuriser leurs relations en les formalisant contractuellement. À cet égard, il leur est demandé de rédiger les documents contractuels « de façon claire et compréhensible», de rendre les conditions d’utilisation facilement accessibles en ligne et d’inclure dans ces documents une mention indiquant la possibilité offerte aux entreprises utilisatrices de recourir à la médiation.

2/ La garantie d’un échange « ouvert, fiable, individualisé »  implique notamment de :

  • mettre en place un dispositif dédié au dialogue qui devra être porté à la connaissance des utilisateurs lors de leur engagement sur la plateforme ou place de marché et devra être accessible tout au long de la relation commerciale ;
  • expliquer les raisons d’un déréférencement (notion entendue comme suspension ou suppression, temporaire ou définitive, d’offres mises en ligne par les entreprises utilisatrices sur les plateformes et places de marché en ligne et/ou de leur compte) et permettre de contester cette décision ;
  • fournir aux entreprises utilisatrices qui en font la demande, des informations sur les principes applicables au classement des produits voire, leur livrer des recommandations afin que leurs produits progressent dans le classement commercial ;
  • favoriser le recours à la médiation notamment en fournissant un contact privilégié vers le Médiateur des entreprises (l’annexe 1 de la charte détaille le mécanisme et l’annexe 2 prévoit une clause type) ;
  • faire de l’intérêt du client final un objectif partagé, ce qui implique que les entreprises utilisatrices s’engagent à mettre en œuvre des mesures concrètes pour satisfaire le client final (par exemple, en mettant en ligne des offres conformes aux règlementations applicables en matière de vente à distance).

3/ La lutte contre la contrefaçon : tandis que les entreprises utilisatrices s’engagent à ne pas proposer sciemment des produits contrefaits, les plateformes et places de marché s’engagent elles à prévoir un dispositif de signalement des contrefaçons et de mettre en œuvre les actions correctives nécessaires le cas échéant.

Plus symbolique que juridiquement contraignante, cette charte participe de la construction et du renforcement des obligations pesant sur les opérateurs de plateforme en ligne (résultant du cadre juridique posé par la loi pour une République numérique et de ses décrets d’application). Il est intéressant de noter que parmi les grands acteurs du e-commerce ayant décidés, dans une démarche volontaire, de signer la charte (on compte notamment Leboncoin, Ebay, ManoMano ou Rakuten), certaines grandes markets places sont absentes (par exemple, Amazon).

Du reste, un comité de suivi chargé d’assurer la diffusion de la charte sera mis en place (la première réunion aura lieu du 2ème semestre 2019) et une liste publique des signataires sera régulièrement mise à jour.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Obligations et responsabilité des plateformes

Quand l’autorité de la concurrence allemande fait du droit des données personnelles pour contraindre Facebook

Entre les soupçons d’ingérence russe dans la campagne présidentielle américaine, l’audition de M. Zuckerberg devant le congrès américain en marge du scandale Cambridge Analytica et les innombrables procédures judiciaires et enquêtes de régulateurs, Facebook n’en finit plus d’être sous les feux de la rampe.

Dans le prolongement d’une enquête ouverte en mars 2016, le Bundeskartellamt, (l’autorité de concurrence allemande) vient de rendre une décision le 7 février dernier dans laquelle elle interdit à Facebook « de croiser les données d’utilisateurs provenant de différentes sources ».

C’est une décision rare en ce sens que l’autorité allemande a largement intégré le droit des données personnelles dans ses raisonnements pour sanctionner Facebook, alors même que sa compétence se limite en principe au droit de la concurrence allemand et, dans une certaine mesure, au droit européen.

Cette décision met en lumière les interactions croissantes entre ces deux disciplines. En France, l’Autorité de la concurrence s’intéresse également aux données personnelles. Elle vient de publier un avis « portant sur l’exploitation des données dans le secteur de la publicité sur Internet[1] » et avait réalisé une étude conjointe en mai 2016 « sur les données et leurs enjeux pour leur application du droit de la concurrence[2] » avec le Bundeskartellamt, justement.

Le fonctionnement de Facebook décortiqué

Dans les documents explicatifs de la décision publiés en anglais[3], l’autorité allemande a constaté qu’en acceptant les conditions générales d’utilisation de Facebook, tout utilisateur consent à ce que Facebook collecte et utilise trois types de données le concernant :

  • les données collectées sur Facebook ;
  • les données collectées sur les services appartenant à Facebook, comme Instagram et Facebook Messenger, mais aussi WhatsApp ; et
  • les données collectées sur les « sites et applications tiers ».

Cette dernière catégorie de données est collectée de différentes manières et recouvre les cas où Facebook est « incorporé » à un site ou une application tierce, connecté aux API de Facebook. C’est par exemple la situation où l’on utilise notre profil Facebook pour se connecter à un service, plutôt que de créer un compte avec notre adresse email, ou lorsque l’on commente une page d’un site Internet avec notre profil Facebook.

Conformément à ses conditions générales d’utilisation, Facebook agrège l’ensemble des données collectées sur ces différents services, et les relie au profil Facebook de l’utilisateur concerné. Cette collecte de données à travers trois sources différentes (Facebook, les services détenus par Facebook, et les services tiers) permet évidemment d’avoir une connaissance encore plus fine de l’utilisateur et donc d’offrir aux annonceurs un ciblage encore plus pertinent.

Les griefs et le raisonnement du Bundeskartellamt

La caractérisation d’un abus de position dominante en droit de la concurrence nécessite la réunion de deux conditions : (i) une position dominante sur un marché spécifique à l’affaire, ici celui des réseaux sociaux en Allemagne, et (ii) l’abus de cette position dominante.

La position dominante de Facebook n’a pas été difficile à prouver puisque comme dans la plupart des pays où Facebook est actif  le service est massivement utilisé par les populations (sauf en Asie, et notamment en Chine),. En Allemagne, la part de marché de Facebook s’élève à 90%. Le Bundeskartellamt a souligné que même si l’on devait inclure dans le marché pertinent d’autres services proches d’un service de réseau social, les plus importants appartenaient de toute façon à Facebook, à savoir Instagram et WhatsApp. L’autorité allemande a aussi relevé que Google + n’avait jamais réussi à concurrencer Facebook et avait fini par disparaitre.

C’est la caractérisation de l’abus qui présente une certaine originalité. Il y a deux grandes catégories d’abus en droit de la concurrence : les abus d’éviction (qui évincent les concurrents d’un marché) et les abus d’exploitation (qui imposent des conditions commerciales excessives et/ou injustifiées).

Pour retenir un abus d’exploitation en l’espèce, l’autorité allemande s’est fondée sur une jurisprudence de la Cour fédérale de justice (l’équivalent de la Cour de cassation française) selon laquelle les principes du droit civil peuvent être mobilisés pour caractériser un abus de position dominante. Alors que ce type de jurisprudence sert généralement à mobiliser des principes de droit des contrats visant à assurer l’équilibre des rapports entre les parties, c’est ici le droit des données personnelles qui a servi de fondement, ce qui est assez novateur. L’autorité allemande a alors constaté que Facebook violait de nombreuses dispositions du RGPD et a pu constater l’abus.

La sanction

Comme l’a résumé le président du Bundeskartellamt, la décision peut être comparée à un « démantèlement interne des données de Facebook ».

Cette expression est une référence historique aux origines du droit de la concurrence et résume assez bien la sanction. Le droit de la concurrence est né d’un monopole, celui de l’entreprise de raffinage et de distribution « Standard Oil » fondée par John Rockfeller et qui avait fini par contrôler la quasi-totalité de la production et de la distribution de pétrole aux États-Unis à la fin du XIXe siècle. Le gouvernement américain avait fini par démanteler (« divest ») la Standard Oil et avait peu après adopté les premières règles sur le droit de la concurrence, et notamment les règles sur l’abus de position dominante, qui visent à empêcher les monopoles de se constituer.

En substance, Facebook ne pourra plus combiner les données issues (i) de Facebook, (ii) des autres services qu’elle détient et (iii) des services tiers pour les agréger au profil Facebook de l’utilisateur, à moins d’obtenir un consentement de façon licite. Facebook peut toujours collecter des données de ces trois manières, mais de façon séparée, la combinaison des trois n’étant permise que si l’utilisateur a été en mesure d’exprimer son consentement conformément aux standards du RGPD.

Chose assez rare, l’autorité allemande n’a pas imposé d’amende, alors qu’elles constituent généralement le remède le plus utilisé par les autorités de concurrence. L’autorité a indiqué que « l’enjeu ici est de parvenir à des changements dans le comportement de [Facebook] au bénéfice des concurrents et des consommateurs et de contraindre [Facebook] d’adhérer à ces changements. (…) L’objet de cette procédure n’est pas d’imposer une amende ».

La compétence de l’autorité allemande est limitée, si bien que Facebook n’est contraint de procéder à ce « démantèlement » que pour les utilisateurs de Facebook résidant en Allemagne.

Quelles suites ? 

Comme Google après sa condamnation par la Commission européenne, Facebook a rapidement réagi en publiant un article intitulé « Pourquoi nous ne sommes pas d’accord avec le Bundeskartellamt[4] » et en annonçant avoir fait appel de la décision, qui sera revue par un tribunal allemand. Facebook explique notamment que la « popularité n’est pas la domination », et que Facebook est directement en concurrence avec de nombreux autres services comme Snapchat, Twitter ou YouTube.

Il sera intéressant de voir comment un juge abordera le raisonnement de l’autorité allemande (le Bundeskartellamt reste une autorité administrative), et si une question préjudicielle sera éventuellement posée à la Cour de justice de l’Union Européenne pour clarifier les règles applicables à ce type de pratiques.

Mise à jour : dans une décision du 26 août 2019, la Cour d’appel régionale de Dusseldörf (« Oberlandesgericht« ) a suspendu la décision du Bundeskartellamt. Facebook n’a pas encore exécuté la décision de l’autorité de concurrence allemande, et n’aura donc pas à le faire tant que la procédure n’est pas achevée. Le président de l’autorité allemande a annoncé qu’un appel serait porté devant la juridiction supérieure, la Cour suprême fédérale. L’affaire est donc toujours en cours.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

 

[1] Avis n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet

[2] Etude conjointe « Droit de la concurrence et données », 10 mai 2016, disponible à l’adresse suivante : http://www.autoritedelaconcurrence.fr/doc/rapport-concurrence-donnees-vf-mai2016.pdf

[3]https://www.bundeskartellamt.de/SharedDocs/Meldung/EN/Pressemitteilungen/2019/07_02_2019_Facebook.html

[4] https://newsroom.fb.com/news/2019/02/bundeskartellamt-order/

Poster un commentaire

Classé dans Union Européenne

Platform to Business (P2B) : le règlement est bientôt finalisé

Nous évoquions le règlement européen dit Platform To Business (« P2B ») comme un texte fondamental de la régulation des plateformes (voir nos articles sur la rentrée juridique 2019 et sur le projet de règlement P2B d’avril 2018) : un grand pas vient d’être fait vers une finalisation du texte.

Ce règlement ambitionne de faire de l’Union Européenne un environnement économique transparent et prévisible pour les entreprises et les « business users » qui utilisent des services d’intermédiation en ligne (en particulier, des plateformes, des places de marchés (market place) ou des moteurs de recherches). Cette règlementation aspire à trouver un équilibre entre stimulation de l’innovation et protection des intérêts des utilisateurs de ces services afin que chacun puisse bénéficier des opportunités créées par la révolution numérique.

Le 13 février 2019, un accord politique a été trouvé entre le Parlement Européen, le Conseil de l’Union Européenne et la Commission Européenne sur un texte de compromis du règlement P2B (voir le texte complet ici). Ce texte vient d’être approuvé (le 20 février) par le Comité des représentants permanents (Coreper) et il a été soumis au vote de la Commission « Marché Intérieur » (le 21 février). Le texte devrait ensuite être adopté par le Parlement avant d’entrer en vigueur dans un délai de 12 mois à compter de sa publication au journal officiel de l’Union européenne.

Du texte de compromis, nous retenons les idées clés suivantes :

  • Plus de loyauté : l’accord prévoit notamment (i) d’encadrer plus précisément les décisions de restreindre, suspendre ou déréférencer des personnes, (ii) une accessibilité et intelligibilité renforcée de leurs CGU qui ne pourront être modifiées qu’après notification des entreprises utilisatrices au moins 15 jours à l’avance et (iii) une obligation de clarté concernant les termes de leurs relations contractuelles notamment concernant les clauses rétroactives, le droit de résiliation des contrats et l’accès aux données après expiration de ces derniers.
  • Plus de transparence : les acteurs soumis au règlement devront notamment (i) indiquer les principaux paramètres de classement des biens et services qu’ils proposent afin de permettre aux vendeurs d’optimiser leur visibilité et d’empêcher toute manipulation du système de classement (par exemple, les plateformes seront tenues d’informer les entreprises utilisatrices de l’existence d’accords contractuels ou de paiements de commissions supplémentaires justifiant les traitements différenciés) – ces règles font écho au cadre juridique français (voir notre article sur le cadre juridique français issue de la loi pour une République numérique) – et (ii) communiquer de manière exhaustive tous les avantages que les plateformes, agissant simultanément en qualité de place de marché et de vendeur, accordent à leurs propres produits et services par rapport à d’autres.
  • Plus de voies de règlements des litiges : le texte prévoit, entre autres, l’obligation pour les acteurs concernés de (i) mettre en place un système interne gratuit de traitement des réclamations (une exemption est prévue pour les plus petites plateformes) et de (ii) fournir aux entreprises davantage d’options de résolution extrajudiciaire des litiges notamment par l’intermédiaire de médiateurs spécialisés.
  • Plus de contrôle : il est prévu que (i) les associations professionnelles puissent intenter une action en justice pour obtenir la cessation de tout manquement aux règles et que (ii) les États membres puissent désigner des autorités publiques dotées de pouvoirs répressifs auxquelles les entreprises utilisatrices de plateformes pourront faire appel.

Le règlement P2B est sans aucun doute une nouveauté capitale pour le secteur du numérique et les intermédiaires qui opère sur ce marché. Étant donné son importance, nous écrirons plusieurs articles d’analyse lorsque le règlement sera publié au journal officiel.

Droit du Partage continuera naturellement à suivre ce sujet pour vous.

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes

RGPD, la première sanction prononcée par la CNIL concerne Google

Nous vous l’avions annoncé dans notre précédent article (voir notre article sur les enjeux de l’année 2019) : les premières sanctions prononcées sur le fondement du Règlement général sur la protection des données personnelles (« RGPD ») devaient intervenir en 2019. Ce pronostic vient de se réaliser car le géant américain Google a été condamné à payer une amende de 50 millions d’euros (voir le texte complet de la délibération de la CNIL concernant Google).

Parmi ses nombreux services, Google a conçu un système d’exploitation pour les smartphones appelé « Android » qui compte plus de 27 millions d’utilisateurs en France. Pour l’utiliser, un compte utilisateur doit être créé, ce qui implique un traitement de données à caractère personnel, lequel est naturellement soumis aux conditions du RGPD.

Les associations de défense et de représentation des droits et libertés fondamentaux dans l’espace numérique « None Of Your Business » (« NOYB ») et la Quadrature Du Net (« QDN »), qui soutenaient que le RGPD n’était pas respecté par Google, sont à l’origine de la procédure ouverte par la CNIL concernant Google.

Cette décision de sanction mérite des commentaires sur les points essentiels.

1/ La compétence de la CNIL : pour Google, la CNIL aurait dû transmettre les plaintes reçues à l’autorité de protection des données irlandaise (la Data Protection Commission) qui serait l’autorité chef de file en raison la localisation de son établissement principal en Irlande. (i.e : désigner une autorité chef de file permet aux organismes mettant en œuvre des traitements transfrontaliers de bénéficier du mécanisme du « guichet unique » et de disposer ainsi d’un seul interlocuteur pour toutes leurs activités de traitement sur le territoire de l’Union Européenne).

En se fondant sur l’article 4 (16) et le considérant 36 du RGPD, la CNIL a considéré que la société Google Irlande Ltd n’était pas « l’établissement principal » de la société Google LLC dès lors qu’il n’est pas établi qu’elle dispose d’un pouvoir décisionnel quant aux traitements visés (c’est-à-dire, la capacité de détermination des finalités et des moyens du traitement).

En l’absence d’établissement principal permettant l’identification d’une autorité chef de file, la CNIL est compétente pour traiter les plaintes

2/ Les manquements aux obligations de transparence et d’information :  toute personne qui fait l’objet d’un traitement de données personnelles doit se faire transmettre une information claire, précise et accessible sur l’existence ainsi que les modalités du traitement. Il était reproché à Google de ne pas avoir fourni à ses utilisateurs une telle information.

Pour Google, le document intitulé « Règles de confidentialité et conditions d’utilisation » offre « une bonne vue d’ensemble des traitements mis en œuvre ». La société explique également que l’information des personnes doit s’apprécier de façon globale et qu’ainsi, en plus des divers documents mis à disposition, l’information est transmise par le biais d’autres modalités (messages électroniques adressés à l’utilisateur créant son compte l’informant de la possibilité de modifier les paramètres, mise en place d’un dashboard, fenêtre pop-up etc…) ou fait l’objet d’une rubrique dédiée (par exemple, Google indiquait que les informations relatives à la durée de conservation des données figuraient dans la rubrique « Exporter et supprimer vos informations » au sein des « Règles de confidentialité ». ).

Bien que saluant les progrès et efforts réalisés par Google ces dernières années, la CNIL considère que les exigences de transparence et d’information du RGPD ne sont pas respectées. Elle relève notamment que l’architecture générale de l’information choisie par le géant américain nécessite une démarche positive de l’utilisateur pour prendre connaissance d’informations complémentaires, qu’il devra ensuite recouper et comparer afin de comprendre quelles données sont collectées en fonction des différents paramètres choisis. La CNIL retient que l’exigence d’une information « aisément accessible » visée par le RGPD n’est pas atteinte… La formation restreinte a donc estimé que « la multiplication des actions nécessaires, combinée à un choix de titres non explicites ne satisfait pas aux exigences de transparence et d’accessibilité de l’information ».

3/ La base juridique du traitement : la nécessité d’avoir une « base juridique » (c’est-à-dire, un des fondements juridiques limitativement énumérés par le RGPD) est un autre grand principe auquel il ne peut être dérogé. Il était reproché à la société américaine de ne pas valablement recueillir le consentement des personnes concernées, sur lequel elle se fondait pour les traitements de personnalisation de la publicité, celui-ci devant présenter certaines caractéristiques.

Pour Google, le consentement des utilisateurs est suffisamment éclairé, spécifique et univoque.

La CNIL n’est pas de cet avis et retient que le consentement (i) n’est pas éclairé (notamment car l’information préalable est « excessivement disséminée »), (ii) n’est pas spécifique et univoque (notamment car le consentement n’est pas donné par le biais d’un acte positif par lequel la personne consent spécifiquement et distinctement au traitement de ses données à des fins de personnalisation de la publicité par rapport aux autres finalités de traitement puisque la case était masquée et pré-cochée par défaut, la possibilité de paramétrer ne suffisant pas à lever l’irrégularité) et (iii) n’est pas libre (notamment car l’utilisateur se voit contraint d’ « accepter en bloc » l’ensemble des traitements de données à caractère personnel mis en œuvre).

4/ La sanction : pour Google, la sanction consistant en une mise en demeure aurait représenté la mesure correctrice la plus adéquate. Pour justifier le montant de son amende (50 millions d’euros), la CNIL souligne que les manquements relevés à l’encontre de Google sont graves (il s’agit des dispositions dont la méconnaissance est la plus sévèrement sanctionnée en vertu de l’article 83 du RGPD). En effet, elle estime que ces traitements de données, clés dans le modèle économique de Google et générant des avantages considérables, ont une « ampleur considérable compte tenu de la place prépondérante qu’occupe le système d’exploitation Android». Elle relève par ailleurs que les manquements de Google perdurent au jour où la CNIL statue. Tout cela justifie la sanction pécuniaire qui se trouve doublée d’une sanction complémentaire de publicité (légitimée par la place prépondérante occupée par la société sur le marché des systèmes d’exploitation et de l’intérêt que représente la décision pour l’information du public). Et c’est peut-être là que se trouve la véritable sanction pour Google…

La QDN et NOYB, mandatés par près de 10.000 personnes, se félicitent d’avoir obtenu la première amende majeure depuis l’entrée en vigueur du RGPD, illustrant ainsi la mise en œuvre du nouvel arsenal répressif institué par celui-ci. Bien que la somme de 50 millions d’euros puisse paraître colossale, elle est à relativiser par rapport au maximum encouru (4% du chiffre d’affaires annuel global du précédent exercice).

Google, considérant que la sanction n’est pas justifiée au regard des efforts déjà déployés pour se conformer aux exigences du RGPD, a décidé d’exercer une voie de recours devant le Conseil d’État.

La bataille judiciaire continue et les prochaines décisions (à la fois de la CNIL et du Conseil d’État) seront intéressantes à étudier.

Droit du Partage continuera naturellement à suivre ces sujets pour vous.

Poster un commentaire

Classé dans Transport de personnes

Règlementation du numérique – ce que 2019 nous réserve

Le cadre juridique de l’économie numérique et des plateformes est en perpétuelle construction. L’année 2018 restera sans doute celle de l’entrée en vigueur du RGPD et de la modification de la loi informatique et libertés. L’année 2019 sera quant à elle marquée par l’adoption de textes importants, et dans de nombreux domaines !

Voici les principaux éléments qu’il faudra suivre avec attention en 2019 et qui feront sans aucun doute l’actualité :

  • Opérateurs de plateforme en ligne – les règles se multiplient: cette année encore, le « droit des plateformes » s’étoffe, avec notamment :
    • Diffusion de bonnes pratiques par les plateformes : le 1er janvier 2019 marque l’entrée en vigueur de ce dispositif créé par la loi pour une République Numérique (voir notre article sur les obligations issues des décrets d’application de la loi dite « Lemaire »). Au-delà de 5 millions de visiteurs uniques par mois, par plateforme, sur la base de la dernière année civile, l’opérateur doit élaborer et diffuser des bonnes pratiques pour renforcer la loyauté, la clarté et la transparence des informations transmises aux consommateurs.
    • Les obligations déclaratives sur les revenus des utilisateurs : pour les revenus perçus en 2019, les plateformes doivent transmettre à l’administration fiscale un récapitulatif annuel pour chaque utilisateur (voir notre article sur la réforme de l’article 242 bis du Code général des impôts), et pourront être tenus du paiement de la TVA due par certains d’entre eux en cas de fraude[1] (voir notre article sur ce nouveau mécanisme de responsabilité sur la TVA). On peut aussi mentionner l’obligation de vérification de l’identité des utilisateurs réalisant des transaction supérieures ou égales à 1.000 euros.
    • Le règlement européen Platform to business : en plus de ces règles françaises il faut mentionner ce règlement qui vise à mieux encadrer les relations entre les plateformes et les professionnels qui les utilisent pour leur activité. Ce texte a pour ambition de profondément modifier les pratiques commerciales des grandes plateformes et sera un moment important de 2019 pour les marketplaces.
    • La responsabilité sociale des plateformes : la question avait fait l’actualité lorsque les députés avaient tenté d’introduire le mécanisme relatif à l’établissement d’une charte détaillant les relations juridiques avec les indépendants (voir notre article à ce sujet). La disposition en cause avait alors été censurée par le Conseil constitutionnel. Réintroduit dans la LOM, le Conseil d’État a estimé dans son avis sur le projet de loi que le législateur pouvait adopter à nouveau le mécanisme et que celui-ci n’était pas inconstitutionnel. Reste à voir si celui-ci sera définitivement adopté à l’occasion de la LOM.
  • Les données personnelles : elles continueront de faire l’actualité en 2019. Le secteur poursuit sa mise en conformité avec le RGPD et la CNIL va continuer ses efforts de pédagogie. Ce sera d’autant plus important qu’une ordonnance a été publiée en décembre 2018 pour la réécriture complète de la loi informatique et libertés, ce qui lui permettra d’être en ligne avec le droit actuel des données personnelles. Plus de 7 mois après l’entrée en vigueur du RGPD, il est aussi probable que les premières sanctions substantielles soient prononcées en 2019.
    Au niveau européen, l’Union va compléter le cadre juridique existant avec le règlement « E-privacy[2] ». Également appelé règlement « Cookies », il pourrait introduire des changements d’une ampleur comparable à ceux induits par le RGPD. Son objectif est de renforcer la protection de la vie privée de l’internaute et de mieux encadrer l’utilisation des métadonnées, des adresses IP ou des cookies notamment. Le texte sera à nouveau discuté cet été par le Conseil.
  • La lutte contre les « fake news[3]» : suite aux soupçons d’ingérence russe dans la campagne présidentielle américaine par l’intermédiaire de Facebook, le gouvernement français a réagi avec la loi du 22 décembre 2018 relative à la lutte contre la manipulation de l’information. Objet d’intenses débats parlementaires et d’une saisine du Conseil constitutionnel, la loi prévoit un dispositif qui a vocation à s’appliquer pendant les grandes élections (présidentielles et législatives, notamment). Il sera applicable pour la première fois lors des élections européennes de mai 2019. Les plateformes, encore elles, devront notamment divulguer aux utilisateurs l’identité des personnes qui financent des contenus sponsorisés ou rendre public le montant des sommes versées (au-dessus d’un certain seuil). Un décret a été notifié à la Commission européenne et devrait rentrer en vigueur en avril 2019, soit quelques semaines avant les élections.
  • Les mobilités : le transport (de personnes et de marchandises) est profondément impacté par le numérique. Une grande loi sur les mobilités (dite « LOM » pour Loi d’Orientation des Mobilités) sera débattue au Parlement à compter de février 2019 (voir notre article détaillant cette loi à venir). Elle est le fruit d’un long processus entamé en août 2017 avec les assises de la mobilité. La dernière grande loi sur les transports de cette envergure date de 1982 (« LOTI » – Loi d’Organisation des Transports Intérieurs) : c’est dire l’importance de ce texte qui va dessiner les contours de la mobilité de demain et les opportunités qu’il pourrait ouvrir pour les acteurs du numérique.
  • La directive européenne sur les contrats de fourniture de contenu numérique[4] : présentée en 2015, la directive vise à harmoniser les droits des utilisateurs européens qui bénéficient de contenus numériques. Le texte pourrait avoir un champ d’application très large et s’appliquer à des produits aussi variés que Netflix, Facebook, YouTube ou encore Android. Le texte contient également les premières règles applicables aux constructeurs d’objets connectés. En outre, la proposition de directive admet que la fourniture de données personnelles constitue une « contrepartie », ce qui pourrait être une première étape à l’admission d’un droit de nature patrimonial sur les données personnelles.

Nous suivrons également avec attention la jurisprudence sur les indépendants qui trouvent des clients grâces aux plateformes à la suite de l’arrêt de la Cour de cassation concernant Take Eat Easy[5] et l’arrêt de la Cour d’appel de Paris du 10 janvier 2019 admettant l’existence d’une relation salariée entre un chauffeur et Uber. Nul doute que les juridictions auront l’occasion d’affiner leur jurisprudence.

Enfin, 2019 est aussi la dernière année du mandat de la Commission européenne actuelle. La composition de la future commission sera déterminante pour l’avenir de la régulation du numérique, et pourrait conduire à la refonte du texte le plus important de ces vingt dernières années : la directive sur le commerce électronique[6]. Cela dépendra des équilibres politiques dans les institutions européennes et de l’état d’avancement des différents instruments réglementaires en préparation (en plus de ceux déjà cités, on peut faire référence à la directive sur les droits d’auteur ou les règles relatives à la libre circulation des données non personnelles).

Droit du Partage vous tiendra naturellement informés tout au long de cette nouvelle année.

[1] Loi n° 2018-898 du 23 octobre 2018 relative à la lutte contre la fraude, articles 10 et 11 modifiant respectivement l’article 242 bis du Code Général des Impôts et créant un article 283 bis

[2] Proposition de règlement du Parlement européen et du conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

[3] Loi n° 2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information

[4] Proposition de directive du parlement européen et du conseil concernant certains aspects des contrats de fourniture de contenu numérique, COM/2015/0634 final

[5] Cour de cassation, Chambre Sociale, 28 novembre 2018, n°17-20.079 : censurant une cour d’appel qui avait rejeté l’action en requalification d’un coursier au motif que l’application était dotée d’un système de géolocalisation et que le système de « strike » de Take Eat Easy était comparable à celui d’un employeur, cette décision a marqué les esprits et a parfois été décrite comme remettant en cause le modèle intrinsèque des plateformes.

[6] Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur (« directive sur le commerce électronique»)

Poster un commentaire

Classé dans Evolution du cadre juridique, Obligations et responsabilité des plateformes, Union Européenne