Mois : février 2015

C’est un fait, le piratage des données et la fraude informatique sont en constante évolution. Le nombre d’atteintes liées au piratage informatique a défrayé la chronique ces dernières années ayant parfois des conséquences désastreuses pour les entreprises, tant au niveau financier qu’en terme de réputation.

A titre d’exemple, en mai 2014 le site eBay a connu le pillage des données personnelles de plus de 233 millions de clients. Plus récemment, TF1 s’est fait pirater près de 2 millions de données concernant ses abonnés.

Les cyber-menaces sont capables d’infecter un vaste public silencieusement et efficacement, quelque soit le secteur d’activité, la taille de l’entreprise ou le pays.

Pourtant, la loi Informatique et Libertés impose aux sociétés effectuant des traitement de données personnelles de « préserver la sécurité des données et notamment d’empêcher qu’elles soient déformées endommagées ou que des tiers non autorisés y aient accès » (cf. article 34) sous peine d’une peine de 5 ans d’emprisonnement et 300.000 euros d’amende (1.500.000 euros pour les personnes morales). Cette condamnation peut être, en plus, augmentée des dommages intérêts à verser aux victimes dont les données ont été divulguées (ce qui peut concerner l’ensemble des personnes concernées par le piratage, la France autorisant depuis peu les actions de groupe) et est d’autant plus importante que les compagnies d’assurances refusent de plus en plus de prendre en compte le risque lié aux cyber-attaques dans leurs polices de responsabilité civile.

Face à l’ingéniosité des pirates et l’obsolescence perpétuelle des mesures techniques de protection, comment respecter l’obligation de sécurité des données et éviter la condamnation ?

Il convient de constater que l’obligation imposée par la loi Informatique et Libertés est une obligation de moyen (obligation de prendre toutes les « précautions utiles »). Cela signifie que le responsable de traitement doit mettre en place les moyens techniques et organisationnels adaptés pour garantir la sécurité, l’intégrité et la confidentialité des données et sera exonéré dès lors qu’il aura mis ces moyens en place.

Malheureusement, il n’existe pas de liste énumérant les mesures techniques à mettre en place en cas de traitement de telles ou telles données à caractère personnelle. Considérant la rapidité avec laquelle évoluent les technologies, la pertinence d’une telle liste serait en toute hypothèse réduite à néant.

En conséquence, afin d’échapper à toute éventuelle condamnation le responsable de traitement devra :

  • se tenir constamment informé des nouvelles technologies et mesures techniques susceptibles de lutter contre le piratage ;
  • mettre en œuvre ces mesures techniques si elles sont adaptées au traitement effectué ;
  • suivre les recommandations de la CNIL relatives à la sécurité ;
  • sensibiliser, à tous les nivaux de l’entreprise, aux problématiques liées à la protection des données à caractère personnel (56 % des entreprises françaises victimes de fraudes indiquent qu’elles ont été commises par un fraudeur interne) ; et
  • surveiller les agissements des employés (dans le respect de droit au respect à la vie privé).

Attention, il convient de constater que même si le responsable de traitement met en place les mesures internes précitées, il pourra être retenu responsable du pillage des données gérées par son sous-traitant (hébergeur par exemple).

Dès lors, afin de limiter la condamnation à laquelle pourrait donner lieu le piratage des données confiées au sous-traitant, il est primordial d’imposer contractuellement à ce dernier des obligations de sécurité drastiques au moins équivalentes à celles prisent en interne par le responsable de traitement.

Une grande majorité des sous-traitants étant basés à l’étranger ou ayant recours à des contrats d’adhésion, cette démarche peut s’avérer délicate mais demeure impérativement nécessaire.

0

Les questions relatives à la loi applicable et/ou au choix de la société contre laquelle agir en justice peuvent s’avérer particulièrement complexes lors d’un litige né sur Internet et notamment en matière de protection des données personnelles.

L’hypothèse  est la suivante : un responsable de traitement (éditeur de site Internet, FAI,  moteur de recherche etc.) situé sur un territoire étranger mais ayant une filiale en France porte atteinte aux données personnelles d’un internaute français.

L’internaute français qui souhaite intenter une action contre le responsable du traitement doit se poser les deux questions suivantes :

  • la loi française est-elle applicable pour statuer sur la responsabilité du responsable du traitement ?
  • contre quelle entité l’internaute français doit-il agir ? Peut-il rendre responsable la filiale française de l’atteinte portée à ses données personnelles ?

Ce sont les questions auxquelles a répondu très récemment le Tribunal de grande instance de Paris grâce à deux Ordonnances de référé des 16 septembre et 19 décembre 2014, concernant le moteur de recherche Google auquel des particuliers, invoquant leur droit à l’oubli, avaient demandé de déréférencer des liens Internet.

1/ Sur la loi applicable

Il convient de rappeler que l’Article 5 de la loi Informatique et Libertés (Loi n°78-17 du 6 janvier 1978) dispose :

« Sont soumis à la présente loi les traitements de données à caractère personnel :

Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi …».

En application de l’article précité, dès lors qu’un établissement situé sur le territoire français est responsable de traitements, la loi française aura vocation à s’appliquer.

Qu’en est-il pour Google ?

Il convient de préciser que le traitement de données personnelles effectué via le moteur de recherche est initié et contrôlé par la société Google Inc., basée aux Etats-Unis. Le géant américain n’a en réalité recours à ses filiales locales (dont la France) que pour promouvoir, faciliter et effectuer la vente de produits et de services de publicité en ligne dans l’Etat dans lequel la filiale est implantée. Cette dernière n’opère nullement un traitement de données personnelles.

Pourtant, le Tribunal de grande instance de Paris a retenu que la société Google France, bien que ne réalisant aucun traitement de donnée, peut être qualifiée d’établissement au sens de l’article 5-1 (précité), et ce, en raison du fait que ses activités relatives aux espaces publicitaires sont indissociablement liées à celles de l’exploitant du moteur de recherche.

La loi française est dès lors applicable concernant le traitement de données effectué par Google.

2/ Contre quelle société agir ?

La question de la loi applicable étant réglée, reste à déterminer contre quelle société agir. Sur cette question, force est de constater que le Tribunal de grande instance de Paris rencontre certaines difficultés puisque les deux Ordonnances étudiées sont, à ce sujet, parfaitement contradictoires.

En effet, dans un premier temps (Ordonnance du 16 septembre 2014), le Tribunal a reconnu que les demandes du requérant dirigées contre Google France étaient recevables et a enjoint à cette dernière de déréférencer plusieurs liens renvoyant à des contenus jugés diffamatoires.

Pour arriver à cette solution, le Tribunal a fait sienne l’argumentation de la CJUE dans sa célèbre décision du 13 mai 2014 consacrant le droit à l’oubli, et retient notamment que :

  1. si la société Google Inc. est certes l’exploitant du moteur de recherche, Google France, qui en est une filiale à 100%, a pour activité la promotion et la vente d’espaces publicitaires liés à des termes recherchés au moyen du moteur édité par Google Inc, et assure ainsi, par l’activité qu’elle déploie, le financement de ce moteur de recherche,
  2. que « les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’Etat membre concerné sont indissociablement liées ».

En revanche, étonnamment, dans son Ordonnance la plus récente du 19 décembre 2014, le Tribunal de grande instance de Paris a décidé que le droit à l’oubli ne pouvait être exercé que contre Google Inc. et non contre Google France. Cette dernière n’exploitant pas directement ou indirectement le moteur de recherche et n’ayant pas la qualité de responsable de traitement.

En conséquence, la question du choix de l’entité contre laquelle agir, qui semblait avoir été tranchée par la CJUE, est remise en question et plonge les internautes dans une grande incertitude. En attendant que la question soit définitivement tranchée, toute personne désireuse d’invoquer son droit à l’oubli pour faire supprimer des liens redirigeant vers des sites diffamatoires devra, dans le doute, saisir Google France et Google Inc. pour être certaine de voir son recours aboutir.

En pratique, cette incertitude est regrettable pour le demandeur qui, contraint d’agir contre Google Inc., se verra imposer des délais de procédure plus longs et, par conséquent, devra supporter plus longuement les articles publiés sur Internet lui portant préjudice.

0

Des agences de presse, éditeurs et syndicats de photographes ont signé le 15 juillet 2014 un code de bonnes pratiques professionnelles visant notamment à encadrer les rémunérations des photographes lorsque leurs photographies sont publiées dans la presse, et à réglementer l’exploitation des photos. En cas de non-respect de ces règles, des indemnités sont prévues pour les photographes, accompagnées d’une minoration ou d’une suspension des aides à la presse.

 

Ce code de bonnes pratiques a pour vocation de tenter de rééquilibrer les rapports économiques entre les éditeurs et les photographes (et/ou leurs agences) dont la situation s’est beaucoup détériorée.

 

Pour l’essentiel, le code encadre:

 

  • Les crédits photographiques. Il est par exemple prévu de pouvoir demander à l’éditeur, au-delà des droits à verser, une indemnité en cas d’absence totale de crédits équivalant au montant des droits à verser pour la reproduction de la photographie litigieuse, et à 50% de ce montant lorsque la mention est incomplète ou erronée.Par ailleurs, le recours à la mention « droits réservés » doit être limité aux seuls cas où le photographe ou l’agence ne souhaite pas que leur nom soit rendu public, ou bien lorsque l’auteur de la photographie ne peut être identifié malgré un réel effort de recherches de la part de l’éditeur. Si la photographie provient d’un tiers mais ne comporte pas le nom de son auteur, l’éditeur devra alors au moins mentionner sa source. Si la mention « droits réservés » persiste après identification du photographe, il pourra être demandé une indemnité à l’éditeur.
  • La rémunération des photographes et des agences.
  • La cession des droits.
  • Les règles de partage de responsabilité entre éditeurs d’un côté, et agences et photographes de l’autre, en cas de litige né de la publication de photographies.A ce titre, le Code prévoit que la responsabilité des personnes participant à la création, diffusion, ou publication des la photographie, ne peut être recherchée que dans les cas limitativement prévus par la loi. Ainsi par exemple, les éditeurs peuvent voir leur responsabilité engagée lorsqu’ils rédigent eux-mêmes la légende d’une photographie ou ne respectent pas le sens de celle qui leur est communiquée, lorsqu’ils utilisent la photographie dans un article sans rapport avec ce qu’elle représente, ou encore lorsque l’utilisation de la photographie laisserait à penser que la personne photographiée est celle dont l’article auquel elle est attachée traite. De l’autre côté, les agences et photographes peuvent voir leur responsabilité retenue dans le cas où ils ne détiennent pas certaines autorisations (du photographe pour les agences, des biens et personnes représentées pour les photographes), n’indiquent pas de légende ou en fournissent une inexacte.
  • La mise en place d’un standard commun pour la définition et la transmission des métadonnées, ou encore pour l’apposition de dispositifs techniques de protection sur les photographies afin d’en empêcher ou en limiter le téléchargement et leur ré-exploitation sans autorisation. Ce standard commun fera l’objet d’un accord particulier entre les parties, à prendre dans les douze mois de l’adoption du code.

 

Toutefois, malgré son apparente bonne volonté, le texte est très critiqué et de nombreux syndicats de journalistes comme le SNJ (syndicat national des journalistes) le SNJ-CGT, la CDFT Journalistes, le SNJ-FO, et certaines organisations de photographes comme l’UPP (Union des photographes professionnels) ont décidé de ne pas signer le code.

 

Selon eux, le code « n’apporte aucun remède à la situation sociale catastrophique d’une profession à l’agonie et qui, au contraire, par des effets pervers, va pérenniser des pratiques amputant l’information des apports de la photographie éditoriale« .

 

Il convient donc de suivre attentivement ce que donneront les futures négociations.

 

Ce code de bonnes pratiques est disponible ici.

0

Le 21 octobre dernier, la CJUE est venue compléter sa jurisprudence concernant le partage en ligne de contenus déjà divulgués sur Internet en étendant au framing la décision déjà constante en matière de liens hypertextes.

Pour mémoire, dans un arrêt Svensson du 13 février 2014 (C-466/12), la CJUE avait déjà décidé que la pratique consistant à diffuser une œuvre par un hyperlien sans l’autorisation de son auteur ne constitue pas une atteinte au droit d’auteur lorsque le contenu initial a été publié sans restriction. La Cour estime que la nouvelle mise à disposition faite par hyperlien ne constitue pas une communication selon un moyen technique différent, ni une communication à un public nouveau (puisque dans les deux cas l’ensemble des internautes peut avoir accès à l’œuvre) et que, dès lors, il n’y a pas contrefaçon.

Cette décision s’applique désormais au framing, une technique consistant à insérer sur une page Internet, un élément provenant d’un autre site. Cette technique est largement utilisée et permet aux internautes d’avoir accès à du contenu provenant d’un autre site Internet sans quitter le site objet de leur visite.

Dans la décision étudiée, la société BestWater a constaté que des vidéos, diffusées originellement par elle sur la plateforme vidéo YouTube, ont été copiées par la technique du framing sur des sites Internet concurrents et a par conséquent demandé aux juridictions allemandes de faire cesser la diffusion des vidéos sur lesdits sites.

Après des décisions opposées en première instance et en appel, le Bundesgerichtshof (équivalent allemand de notre Cour de cassation) a décidé de poser une question préjudicielle à la CJUE afin de déterminer si, au sens de l’article 3 de la directive 2001/29, la diffusion d’une œuvre par framing, sans autorisation des ayants droits de ladite œuvre, constituait ou non une « communication au public » et donc une atteinte au droit d’auteur.

Sans équivoque, les Juges luxembourgeois ont répondu par la négative en précisant que pour qu’il y ait « communication au public » au sens de la directive, il faut que l’œuvre soit :

  • communiquée selon un « mode technique spécifique, différent de ceux jusqu’alors utilisés », ou
  • communiquée à un « public nouveau, c’est-à-dire un public n’ayant pas été déjà pris en compte par les titulaires du droit d’auteur lorsqu’ils ont autorisé la communication initiale de leur œuvre au public ».

Or, en l’espèce, la technique utilisée pour communiquer l’œuvre repose sur le même mode technique (le framing ne constituant pas un mode technique différent), et le public ne peut être nouveau puisque l’œuvre était « déjà librement disponible pour l’ensemble des internautes sur un autre site Internet avec l’autorisation des titulaires du droit d’auteur ».

La Cour ajoute qu’en autorisant une première communication sans restriction (sur la plateforme vidéo YouTube), les titulaires du droit d’auteur on « pris en compte l’ensemble des internautes comme public ». Etant donné l’existence de vastes moyens de privatisation des contenus sur Internet auxquels les titulaires du droit d’auteur n’ont pas souhaité recourir, le public s’appréhende ici nécessairement comme la masse globale des internautes et non seulement les seuls visiteurs du site.

Il en résulte que la diffusion de contenus par framing ne constitue pas une « communication au public » et donc une atteinte aux droits d’auteur si ce contenu a été originellement divulgué sur Internet sans restriction.

Il est intéressant de noter que si l’utilisation de la technique du framing ne constitue pas un acte de représentation, la CJUE reconnaît qu’elle permet également d’échapper aux dispositions relatives au droit de reproduction.

Cette décision s’inscrit dans le cadre de la jurisprudence américaine qui avait déjà considéré en 2012 que l’utilisation du framing ne portait pas atteinte au droit d’auteur. Selon le juge du 7e  circuit (Flava Works Inc. v. Gunter decision, 10 C 6517), le site diffusant les vidéos par framing (ici myVidster) agit simplement comme un connecteur entre le serveur sur lequel la vidéo se trouve, et l’ordinateur du visiteur souhaitant regarder les vidéos. Il n’y a donc pas violation du droit d’auteur dans le sens où il n’y a ni copie, ni distribution de copies d’œuvres protégées.

 

0