Archive

La Cour Européenne des Droits de l’Homme, par un arrêt pris en Grande Chambre, en date du 16 juin 2015, a jugé que la loi « SSI » estonienne (loi sur les Services de la Société d’Information) était conforme à l’article 10 de la Convention de sauvegarde des Droits de l’Hommes et des Libertés Fondamentales (CDHLF) sur la liberté d’expression.

Or, la loi « SSI » estonienne, au même titre que la loi « LCEN » française, s’inscrivent dans la droite ligne des directives « SSI » 98/34/CE et « commerce électronique » 200/31/CE, comme le rappelle la Cour Européenne. Ce qui vaut pour la loi estonienne vaut donc pour la loi française.

A ce titre, cet arrêt souligne que les éditeurs de contenus, qui sont aussi hébergeurs de commentaires ou d’avis d’internautes sur ces contenus, ont une responsabilité limitée mais certaine, non seulement quant au prompt retrait des commentaires excessifs dépassant le cadre de la liberté d’expression, et à plus forte raison lorsque ces éditeurs-hébergeurs ne s’assurent pas de moyens réalistes pour tenir les auteurs desdits commentaires / avis responsables de leurs propos.

Pour arriver à cette solution, la Cour souligne bien que la législation estonienne, comme la législation française, met en avant le principe de liberté d’expression et de responsabilité limitée des hébergeurs de contenus, sans aucune obligation de contrôle a priori des informations hébergées.

Principe de liberté d’expression sauvegardé, pas de contrôle a priori, responsabilité limitée des hébergeurs

Dans la législation estonienne, poursuit la Cour dans son analyse, seuls sont susceptibles d’être poursuivies les atteintes à la personnalité, la diffusion d’informations fausses, et la responsabilité pour faute [süü] équivalent de notre article 1382 du Code civil.

Or, c’est exactement le type de législation préconisée par le Conseil de l’Europe dans sa Déclaration sur la liberté de la communication sur l’Internet du 28 mai 2003, texte qui est désormais consacré par l’important arrêt de la CEDH.

En effet, dans la déclaration du 28 mai 2003, le Conseil de l’Europe précise notamment que « Afin d’assurer une protection contre les surveillances en ligne et de favoriser l’expression libre d’informations et d’idées, les États membres devraient respecter la volonté des usagers de l’Internet de ne pas révéler leur identité. Cela n’empêche pas les États membres de prendre des mesures et de coopérer pour retrouver la trace de ceux qui sont responsables d’actes délictueux, conformément à la législation nationale, à la Convention de sauvegarde des Droits de l’Homme et des Libertés fondamentales et aux autres traités internationaux dans le domaine de la justice et de la police« .

Que la CNIL se le tienne pour dit, depuis plus de 12 ans : il ne serait pas illégitime de conserver des données sur les utilisateurs de services en lignes, même à titre gratuit, pour leur identification future de l’auteur d’un éventuel délit ou d’une éventuelle atteinte aux droits d’un tiers. Cela n’est toutefois pas prévu (ou du moins pour une durée bien trop limitée) par le cadre légal sur la conservation des données personnelles, telle qu’encadrée par la CNIL dans ses précieuses déclarations CNIL que nous connaissons tous.

Responsabilité en cas de retrait tardif et de défaut de moyen d’identification de(s) (l’) auteur(s) de l’infraction ou de l’atteinte

Quant au contrôle – a posteriori – après signalement d’un contenu illicite, le Conseil de l’Europe détaille les moyens que peuvent employer les éditeurs de contenus qui hébergent également les commentaires ou avis des internautes sous leurs publications.

Enfin, la Cour rappelle les dispositions de la Directive « Services de la société de l’information » 98/34/CE dans la droite ligne de laquelle se situent les législations estoniennes et française.

En conséquence, l’arrêt relève notamment que l’insuffisance des mesures prises par la société d’édition requérante : 1) pour retirer sans délai après leur publication les propos litigieux ; et 2) pour assurer une possibilité réaliste de tenir les auteurs des commentaires pour responsables de leurs propos ; est susceptible d’engager la responsabilité d’un éditeur-hébergeur sans que ce dernier puisse arguer de la violation par la législation de son pays de l’article 10 de la CDHLF.

Les droits sui generis du producteur d’une base de données, tels que prévus à l’article L.341-1 et suivants du Code de la propriété intellectuelle, peuvent être anéantis en raison du défaut de respect des conditions de constitution d’une base de données contenant des données personnelles.

La Cour de cassation a récemment rendu un intéressant arrêt en la matière en soulignant que le défaut de déclaration auprès de la CNIL impique que le contrat de cession ou de licence d’une base de données peut être annulé.

Dans une très courte mais très claire décision, la Cour suprême pose le principe selon lequel un contrat de commercialisation (en l’espèce une cession) d’une base de données peut être annulé si ladite base de données n’a pas été déclarée auprès de la CNIL (Commission Nationale Informatique et Liberté).

La Cour légalement fondé sa décision en rappelant que tout fichier de données personnelles doit être déclaré à la CNIL et que la vente d’un tel fichier non préalablement déclaré n’est pas dans le commerce et a un objet illicite, étant le résultat d’une infraction à la loi n ° 78 -17 du 6 janvier 1978 dite « Loi Informatique et Libertés ».

En d’autres termes, des bases de données personnelles (soit la majorité des bases de données faisant l’objet d’une transaction sur internet) non préalablement déclarées auprès de la CNIL sont des objets hors du commerce.

Pour prendre cette décision, la Cour de cassation (Cass. com. 25 juin 2013, pourvoi n ° 12 à 17,037), s’est fondée sur les articles 1128 du Code civil (“Il n’y a que les choses qui sont dans le commerce qui puissent être l’objet des conventions”) et 22 de la loi n° 78-17 du 6 janvier 1978 (sur les formalités préalables à la mise en œuvre des traitements).

Premier enseignement, le plus compréhensible, La Cour suprême énonce que, pour être négociés en toute sécurité, les contrats portant sur des bases de données doivent être soumis à une déclaration auprès de la Commission nationale française de l’informatique et des libertés (CNIL) avant toute mise en oeuvre du traitement (et donc bien avant toute signature d’un quelconque contrat).

Second enseignement, sans doute moins clairement annoncé, cette jurisprudence implique que toute autre violation de la loi « Informatique et Libertés » peut éventuellement rendre « invendable » une base de données, comme objet illicite d’un contrat.

Par exemple, le fait de recueillir des données personnelles sans le plein respect des dispositions organisant les règles de collecte de données personnelles (obligation d’information, consentement à l’opt-in ou le respect du droit à l’ opt-out, finalité du traitement déclaré, respect du droit d’accès / modification / suppression) pourrait compromettre la validité de la vente ou de la location du fichier de données personnelles, même si la BDD est bien déclarée auprès de la CNIL.

Par conséquent, les entreprises qui vendent, louent, mettent à disposition des fichiers ou organisent des mailings pour des annonceurs ont fort intérêt à prendre conseil avant une telle commercialisation un DB.

Désormais, le risque pour ces sociétés commercialisant du big-data de donner accès à ces données gratuitement est à prendre au pied de la lettre.

Il reste à savoir si la Cour de cassation a ouvert la brèche pour tous les annonceurs, même de mauvaise foi, qui voudraient dénoncer un contrat et s’en voir rembourser le prix alors qu’ils auront exploité la base de données déclarée objet illicite ne pouvant faire l’objet d’une convention…