Le droit de la protection des données à caractère personnel a connu une actualité très dense en 2017. 2018 sera marquée par plusieurs étapes importantes, dont l’entrée en application du RGPD en mai prochain et l’adoption rapide de l’adaptation législative de la loi Informatique et Libertés.
Le RGPD n’est cependant qu’une des étapes des chantiers ouvertes dans le domaine de la protection des données. 2018 sera ainsi marquée par de nouvelles réformes (partie 1) et devrait aussi connaître de nouvelles jurisprudences marquantes (partie 2).
I. LES REFORMES LEGISLATIVES ATTENDUES EN 2018
1. La révision de la Directive dite « e-privacy » et sa transformation en règlement
Qu’est-ce que la Directive e-privacy ? Quel est son champ d’application ? Pourquoi co-existe-elle aux côtés de la directive 95/46 qui va être remplacée par le RGPD ?
La Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concerne le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Cette directive vise aussi le secteur des communications numériques alors que le RGPD est indifférent quant à la forme de la communication, son objet englobant tous traitements de données à caractère personnel visés à travers son champ d’application. C’est donc une lex specialis par rapport au RGPD, même si ce point a fait l’objet de discussions techniques.
Pourquoi cette réforme ?
La Commission a lancé ce chantier dans l’espoir d’une adoption en mai 2018 et d’une réforme concomitante RGPD / E-privacy. Avec le souci de renforcer le marché unique numérique et la confiance lors de l’utilisation des services numériques via une protection accrue des données personnelles.
En effet, depuis la dernière révision de la directive E-privacy en 2009, de très nombreuses évolutions technologiques ont bouleversé ce domaine, notamment dans le secteur des télécommunications avec l’apparition de nouveaux acteurs tels que Skype, Whatsapp, Facebook Messenger qui renouvellent la manière de communiquer grâce à la technique de la VOIP. (« Voix sur IP » [tiré de l’anglais Voice over IP] : manière de communiquer par la voix, sur des réseaux compatibles IP).
L’objectif de la Commission est également d’utiliser dans la mesure du possible des « définitions neutres » d’un point de vue technologique afin d’englober les nouveaux services et technologies et d’assurer la pérennité du règlement (p.10), en dépit de la difficulté d’un tel exercice. [1]
Le calendrier
La proposition de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »), a été dévoilée le 10 janvier 2017. [2] En dépit du souhait initial de la Commission d’une adoption le 25 mai 2018, ce calendrier ambitieux ne pourra être atteint, au vu des nombreux points encore ouverts.
Quels sont les points clés de la réforme ?
L’un des objectifs premiers est d’atteindre les fournisseurs de services OTT
Les fournisseurs de services OTT (« Over the Top ») sont les nouveaux géants d’Internet et dominent largement le secteur des télécommunications, comme Whatsapp, Skype, Facebook messenger... Cette réforme prévoit une extension du champ d’application du règlement à ces nouveaux acteurs [3] et notamment que les OTT seront tenus de respecter la confidentialité des communications et les droits fondamentaux des utilisateurs conformément à la Charte.
Mieux encadrer les cookies
La Commission souhaite clarifier la règlementation sur les cookies afin de donner davantage de pouvoir aux utilisateurs de services de communication en ligne, à travers un renforcement des règles de consentement. Ainsi, les cookies-tiers qui pistent la vie privée des internautes pourraient être bloqués [4] tout en conférant aux utilisateurs un pouvoir de modulation en ce qui concerne le choix des cookies qu’ils souhaitent accepter ou non.
Renforcement du consentement des utilisateurs
Le renforcement du consentement des individus est au cœur de la réforme. En effet, la Commission souhaite imposer aux opérateurs, des mesures concrètes afin de donner les « pleins pouvoirs » aux utilisateurs. Les considérants de la proposition de règlement (qui pour rappel n’ont pas de valeur juridique) éclairent sur les mesures qui pourraient être mises en œuvre :
L’utilisateur, pourrait, par exemple, désormais choisir à « la carte » les cookies qu’il souhaite accepter sur son navigateur ; « Les utilisateurs finaux devraient disposer d'un éventail de réglages de confidentialité́, depuis les plus restrictifs (par exemple, «ne jamais accepter les cookies») jusqu'aux plus permissifs (par exemple, «toujours accepter les cookies»), en passant par des options intermédiaires (par exemple, «rejeter les cookies de tiers» ou «accepter uniquement les cookies propres»). Ces paramètres de confidentialité́ devraient se présenter sous une forme facile à visualiser et à comprendre ». [5]
Par exemple, au considérant 24 « Les navigateurs Web sont encouragés à proposer aux utilisateurs finaux des moyens faciles de modifier leurs paramètres de confidentialité à tout moment en cours d'utilisation et à leur permettre de prévoir des exceptions ou d'établir une liste blanche de certains sites Web ou de préciser les sites Web dont ils acceptent toujours ou n'acceptent jamais les cookies (de tiers) ». [6]
Si le bilan de cette réforme est ambitieux - renforcer la protection de la vie privée et des données personnelles dans le cadre d’un dispositif européen intégré – cette dernière reste encore soumise à de nombreuses interrogations quant à son calendrier et à l’issue des travaux législatifs.
2. La transposition de la directive « police-justice » du paquet protection des données
La transposition à venir de la directive adoptée en même temps que le RGPD ne doit pas être négligée.
En effet, la réforme du droit des données personnelles est un « paquet » et la directive (UE) (2016/680) du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d'enquêtes et de poursuites en la matière ou d'exécution de sanctions pénales, et à la libre circulation de ces données devra être transposée dans les ordres juridiques des différents États-membres, au plus tard, le 6 mai 2018. Le projet d’adaptation de la LIL comprend des dispositions spécifiques, le Sénat devant débuter ses travaux en mars prochain dans le cadre de la procédure accélérée.
3. La transposition de la directive NIS : Network and Information Security
La Directive NIS Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d'information dans l'Union vient d’être transposée en droit français le 15 février dernier . http://www.senat.fr/dossier-legislatif/pjl17-105.html
Cette directive doit être signalée alors que les préoccupations dans le domaine de la cyber-sécurité sont de plus en plus importantes.
II. LES JURISPRUDENCES ATTENDUES EN 2018
De nombreuses affaires sont actuellement pendantes.
Nous signalons certaines de ces affaires qui touchent non seulement à la protection des données personnelles, mais également de manière transversale, au droit international privé, au droit de la consommation et au droit pénal. A ce titre, les solutions qui seront retenues dans les affaires suivantes présenteront un intérêt particulier pour ces matières :
- Microsoft contre Irlande ;
- Affaire « Origine du Monde » ;
- M. Schrems ;
- La question prioritaire de constitutionnalité concernant l’accès à une clef privée de chiffrement par les autorités françaises
1. L’affaire Microsoft c/ Ireland
Pour rappel, il est question dans cette affaire de la possibilité, pour les autorités américaines, d’avoir accès à des emails hébergés à l’étranger, et notamment en Irlande. Les États-Unis, en vertu de leur loi « SCA » Store Communications Act avaient délivré un mandat à l’encontre de Microsoft, leur enjoignant la fourniture de ces informations. En vertu de la SCA, les autorités répressives américaines peuvent en effet contraindre des fournisseurs de messageries électroniques à procéder à la perquisition, au recueil et à la reproduction de communications électroniques, à plus forte raison dans le cadre du recours au cloud computing.
Microsoft, a cependant refusé de se conformer à ce mandat au motif qu’un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis et en l’occurrence en Europe.
Cette affaire aborde ainsi des questions sensibles au regard de la protection de la vie privée, de l’application extra-territoriale d’une loi et de l’accès à des informations stockées dans des réseaux en nuage. La Cour d’appel fédérale de Manhattan dans une décision rendue le 14 juillet 2016 a donné raison à Microsoft en énonçant que la portée extraterritoriale d’un mandat devait être prévue explicitement par la loi et que ce n’était pas le cas en l’espèce.
Après les premières décisions de tribunal rendues en faveur de Microsoft, le Département américain de la Justice a décidé de saisir la Cour suprême américaine dont la décision devrait intervenir en juin 2018. Cette procédure a donné lieu à une trentaine d’amicus curiae (intervention volontaire qui permet de faire part de son point de vue devant la Cour suprême, lorsque des enjeux juridiques et sociaux sont importants). La liste des différents amicus curiae est disponible sur le blog de la Cour Suprême américaine http://www.scotusblog.com/case-files/cases/united-states-v-microsoft-corp/
Deux mémoires sont notables :
- D’une part le mémoire de l’association des barreaux européens [7] : qui souhaite alerter sur les enjeux du secret des correspondances entre un avocat et son client En substance, le Conseil des barreaux européens a rédigé un mémoire en soutien à la société Microsoft et dénonce une décision qui pourrait étendre considérablement la capacité du gouvernement américain à se saisir de communications électroniques situées en dehors des USA ».
Dès lors, le CCBE met en avant le risque pour la protection de la vie privée des européens et le droit à la confidentialité des avocats dans leurs correspondances avec leurs clients. Il rappelle que le secret professionnel, et l’inviolabilité des communications avec l’avocat est une condition préalable et indispensable au procès équitable.
- D’autre part, le mémoire de la Commission européenne [8] qui souhaite s’assurer de la bonne compréhension par la Cour suprême de la législation européenne concernant la protection des données personnelles à la veille de l’entrée en application du RGPD. L’amicus curiae de la Commission européenne est « in support of neither party », la Commission européenne n’apportant son soutien ni aux Etats-Unis ni à Microsoft.
Pour rappel, l’Union européenne signale qu’elle fixe des limites strictes aux transferts hors de l’Union européenne grâce à 3 mécanismes (les transferts sur décision d’adéquation, les transferts grâce à des mécanismes appropriés, les transferts fondés sur des règles d’entreprises contraignantes) et souligne que c’est donc un niveau élevé de protection des données que doivent respecter les pays tiers s’ils souhaitent traiter des données relevant du champ d’application du RGPD.
2. L’affaire « Origine du monde » contre Facebook, Cour d’appel de Paris du 16 février 2016
L’affaire dite « Origine du Monde » contre Facebook est une affaire qui soulève des enjeux en matière de protection des consommateurs sur le réseau social Facebook. [9] À l’origine de cette affaire, un professeur de l’éducation nationale avait posté sur son « mur » (page personnelle) un célèbre tableau du peintre Courbet « l’Origine du Monde ». Le compte du professeur a été suspendu en raison de la violation par ce dernier des conditions générales d’utilisation du réseau social, le tableau étant considéré comme pornographique selon Facebook.
Ce professeur a souhaité contester cette décision pour atteinte à la liberté d’expression, alors que Facebook estimait que les juridictions françaises n’étaient pas compétentes, au vu de ses conditions générales d’utilisation du réseau social prévoyant une clause attributive de juridiction au profit de la juridiction de Santa Clara aux États-Unis.
Dans ce litige, la Cour d’appel de Paris a notamment relevé que ce professeur était bien un consommateur et décidé d’appliquer les règles du droit de la consommation, notamment les dispositions de l’article L. 132-1 du code de la consommation (ancien article applicable en l’espèce) sur les clauses abusives. La Cour a relevé que cette clause insérée dans les conditions générales d’utilisations de Facebook avait pour objet de supprimer ou entraver l’exercice d’actions en justice ou des voies de recours par le consommateur » (article R. 132-2 du code de la consommation). Ainsi :« Que dès lors, la clause attributive de compétence au profit des juridictions californiennes contenue dans le contrat a pour effet de créer, au détriment du non-professionnel ou du consommateur, un déséquilibre significatif entre les droits et obligations des parties au contrat ; qu’elle a également pour effet de créer une entrave sérieuse pour un utilisateur français à l’exercice de son action en justice (…) Considérant que l’ordonnance déférée sera dans ces conditions confirmée en ce qu’elle a déclaré la clause attributive du contrat abusive et réputée non écrite et retenu la compétence du tribunal de grande instance de Paris pour statuer sur le litige opposant M.X à la société Facebook Inc »
A suivre avec la décision de la Cour de Cassation sur ce dossier...
3. Schrems et les futures actions de groupe en matière de données personnelles ?
Comme nous l’écrivions dans notre précédent article, M. Schrems avait posé une question préjudicielle à la Cour de justice de l’Union européenne aux fins de savoir dans quelle mesure il pouvait engager une action de groupe à l’encontre de Facebook.
Le 25 janvier dernier, la Cour a relevé que M. Schrems pouvait, pour son compte engager une action de groupe devant les juridictions de son domicile, peu important son activité commerciale postérieure mais qu’en revanche, il ne le pouvait pas, en tant que cessionnaire des droits d’autres consommateurs.
L’actualité de ce sujet présente un intérêt particulier au regard du droit français, puisque a été adopté par l’Assemblée nationale, le 8 février dernier, l’amendement pour une action de groupe collective en matière de données personnelles.
En effet, le nouvel article 43 ter de la loi LIL 3, précédemment modifié par l’article 91 de la loi du 18 novembre 2016 relative à la modernisation de la justice du XXIème siècle, a ouvert la possibilité d’une action de groupe ayant subi un dommage causé par un manquement à la LIL. Cette loi a anticipé en partie les dispositions du RGPD qui concernent les voies de recours, responsabilité et sanctions (Voir les articles 77 à 84).
L’article 80 du RGPD prévoyait en effet la possibilité pour les personnes « le droit de mandater un organisme, une organisation ou une association à but non lucratif, qui a été valablement constitué conformément au droit d’un État membre, dont les objectifs statutaires sont d’intérêt public et qui est actif dans le domaine de la protection des droits et libertés des personnes concernées dans le cadre de la protection des données à caractère personnel les concernant, pour qu'il introduise une réclamation en son nom, exerce en son nom les droits visés aux articles 77, 78 et 79 et exerce en son nom le droit d'obtenir réparation visé à l'article 82 lorsque le droit d'un État membre le prévoit».
Cet article sera ainsi modifié :
1° Le III est remplacé par un alinéa ainsi rédigé :
« Cette action peut être exercée en vue soit de la cessation du manquement mentionné au deuxième alinéa, soit de l’engagement de la responsabilité de la personne ayant causé le dommage afin d’obtenir la réparation des préjudices matériels et moraux subis, soit de ces deux fins. » ;
2° Le IV est complété par un alinéa ainsi rédigé :
« Lorsque l’action tend à la réparation des préjudices subis, elle s’exerce dans le cadre de la procédure individuelle de réparation définie au chapitre Ier du titre V de la loi n° 2016‑1547 du 18 novembre 2016 de modernisation de la justice du XXIe siècle. »
Cette nouvelle disposition va donc plus loin, et permet non seulement la cession du manquement mais également la possibilité de demander une répartition des préjudices matériels et moraux subis (v. l’article 82 du RGPD « droit à la réparation et responsabilité »).
C’est un avertissement envoyé aux acteurs du web qui devront désormais prendre les mesures nécessaires afin de respecter la législation sur les données personnelles.
Les discussions législatives vont se poursuivre en mars prochain au Sénat. A suivre donc en particulier sur ce point.
4. Un personne suspectée d’avoir commis une infraction doit-elle fournir sa clé de déchiffrement ? Le Conseil constitutionnel va trancher
Le 10 janvier dernier [10], la Cour de cassation a posé une question prioritaire de constitutionnalité au Conseil constitutionnel à ce sujet.
Les faits de l’espèce concernaient les dispositions de l’article 434-15-2 du code pénal qui dispose que : « Est puni de trois ans d'emprisonnement et de 270 000 € d'amende le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d'un moyen de cryptologie susceptible d'avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en œuvre, sur les réquisitions de ces autorités délivrées en application des titres II et III du livre Ier du code de procédure pénale.
Si le refus est opposé alors que la remise ou la mise en œuvre de la convention aurait permis d'éviter la commission d'un crime ou d'un délit ou d'en limiter les effets, la peine est portée à cinq ans d'emprisonnement et à 450 000 € d'amende. »
Ainsi, une personne suspectée dans le cadre d’une procédure pénale, serait tenue, en vertu de ce texte, sous peine de sanctions, de transmettre aux enquêtes la convention secrète de déchiffrement (les clefs de chiffrement étant utilisées pour protéger des communications privées, que ce soit pour protéger des mails, des échanges par SMS, des échanges sur des réseaux sociaux, etc).
La question posée au Conseil constitutionnel est la suivante : les dispositions de l’article 434-15-2 du code pénal « sont-elles contraires au principe du droit au procès équitable prévu par l’article 16 de la Déclaration des Droits de l’homme et du Citoyen du 26 août 1789, au principe de la présomption d’innocence, duquel découle droit de ne pas s’auto-incriminer et le droit de se taire, prévu à l’article 9 de la Déclaration des Droits de l’Homme et du Citoyen du 26 août 1789 ?"
Nous reviendrons plus tard sur cette affaire et ses conséquences.
Références
[1] Page 10 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN
[2] http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN
[3] Page 5 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy
http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=EN
[4] Voir le Considérant 23 et article 8 de la Proposition du Parlement européen et du Conseil sur la réforme e-privacy
[10] https://www.courdecassation.fr/jurisprudence_2/qpc_3396/3478_10_38354.html