Google est-il soumis à la loi informatique et libertés ?

L’Application territoriale de la loi informatique et libertés est notamment problématique concernant la société Google.

GoogleL’article 2 alinéa 1 de la loi Informatique et libertés prévoit que cette loi s’applique « lorsque leur responsable [de traitement] remplit les conditions prévues à l’article 5 ».

L’article 5 de la loi Informatique et libertés pose le principe de territorialité de la loi :

« I. – Sont soumis à la présente loi les traitements de données à caractère personnel :

1° Dont le responsable est établi sur le territoire français. Le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi.

2° Dont le responsable, sans être établi sur le territoire français ou sur celui d’un autre État membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français, à l’exclusion des traitements qui ne sont utilisés qu’à des fins de transit sur ce territoire ou sur celui d’un autre État membre de la Communauté européenne.

II. – Pour les traitements mentionnés au 2° du I, le responsable désigne à la Commission nationale de l’informatique et des libertés un représentant établi sur le territoire français, qui se substitue à lui dans l’accomplissement des obligations prévues par la présente loi ; cette désignation ne fait pas obstacle aux actions qui pourraient être introduites contre lui ».

a. Critère lié à l’établissement de la personne sur le territoire français.

La loi considère que le responsable de traitements qui « exerce une activité sur le territoire français dans le cadre d’une installation quelle que soit sa forme juridique, y est considéré comme établi ».

L’article ne vise donc pas le lieu du siège social du responsable de traitement mais bien toute entité par laquelle il opère le traitement de données à caractère personnel. Autrement dit il peut s’agir d’une succursale ou d’une filiale.

Une simple domiciliation sans activité effective associée à l’installation ne suffirait pas à satisfaire le critère d’avoir un établissement sur le territoire français.

b. Critère de territorialité des moyens utilisés.

Indépendamment du fait que le responsable de traitements soit ou non établi sur ce territoire français, un autre critère permet l’applicabilité de la loi Informatique et libertés : des moyens utilisés en France. La notion de « moyens utilisés » est entendue très largement et englobe notamment :

-Les équipements informatiques.

-L’exploitation effective des traitements et ce même si les équipements sont localisés dans un autre pays.

-Le personnel dédié à la gestion des équipements ou à l’exploitation des ressources.

La jurisprudence concernant Google a évolué récemment :cour_dappel

Dans une ordonnance du 14 avril 2008 du TGI de Paris : Google échappe à la loi informatique et liberté.

Bien que la demanderesse soit française, le juge écarte la loi « Informatique et libertés ». Pour cela, il s’appuie sur son article 5 qui prévoit que les traitements de données personnelles soumis à la loi de 1978 modifiée en 2004 sont ceux dont le responsable est établi en France ou qui a recours à des moyens de traitement situés en France. En l’occurrence, Google.fr, site à partir duquel les messages en question ont été envoyés et consultés, est édité par Google Inc., société américaine dont les serveurs se trouvent en Californie. Cette dernière dispose bien d’une filiale en France, mais le tribunal considère que celle-ci n’agit qu’en qualité de simple agent qui ne dispose d’aucun mandat pour administrer le moteur de recherche ou le service Google Groupes.

Le TGI a par ailleurs refusé l’application de la loi française, sur le fondement de l’exception d’ordre public. Cette règle de droit international privé permet au tribunal d’imposer le choix de la loi française s’il estime que le droit étranger compromettrait les valeurs fondamentales de notre droit.

Dans une ordonnance de référé du 28 octobre 2010, le TGI de Montpellier la loi informatique et liberté vient s’appliquer à Google.

Le juge des référés ne s’est pas attardé sur la question de l’application de la loi de 1978 modifiée à Google Inc., société de droit américain dont les serveurs sont situés outre-Atlantique. Il s’est contenté de faire référence à l’article 5 de la loi qui prévoit les règles de compétence territoriale de ses dispositions, en indiquant que la loi s’applique « lorsque leur responsable remplit les conditions prévues à l’article 5 ».

-Concernant la même affaire, l’arrêt du 29 septembre 2011 de la Cour d’appel de Montpellier confirme le jugement du 28 octobre 2010, et la loi informatique et liberté vient à nouveau s’appliquer à Google.

« Or, dans le cadre de ses opérations d’indexation consistant en l’analyse par ses logiciels de dizaines de milliards de pages internet de par le monde dans le but de les indexer pour les mettre ensuite à la disposition des utilisateurs de ses services, la société GOOGLE INC, qui a elle-même ses propres serveurs de stockage dans différents pays de la Communauté européenne, utilise et a nécessairement besoin à des fins de traitement de l’ensemble des moyens que constituent les ordinateurs individuels et les serveurs lesquels, en ce qui concerne les sites incriminés dans le présent litige et libellés en langue française, sont nécessairement dans leur grande majorité, implantés sur le territoire français ou sur le territoire d’un Etat membre de le la communauté européenne.

Il convient en conséquence de considérer que la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est bien territorialement applicable à la société GOOGLE INC. »

Le 15 février 2012, le tribunal de grande instance de Paris a été saisi en référé d’une demande semblable à celle exposé ci-dessus : une femme qui dans sa jeunesse, avait tourné dans des films pornographiques, demandait que Google désindexer les liens renvoyant vers ces films. Sa demande était fondée sur le droit au respect de sa vie privée et sur son droit d’opposition au titre de la loi informatique et libertés.

Le tribunal  a constaté une atteinte au droit au respect à la vie privée et a ordonné à Google Inc. De désindexer les pages en cause. Le tribunal s’est surtout attaché à vérifier la responsabilité de Google au sens de la LCEN, et n’a pas évoqué la question de l’application territoriale de la loi informatique et libertés.

Le 6 novembre 2013, la 17ème chambre du TGI de Paris ordonne à Google de retirer et de cesser, pendant une durée de cinq années, l’affichage sur le moteur de recherche Google images qu’elle exploite, des neuf images dont Max Mosley a demandé l’interdiction. Cette décision se base sur le respect de la vie privée.

Dans ses demandes la partie défendant Max Mosley invoque la loi informatique et liberté (page 3), mais les juges ne reprennent pas cet argument dans leur décision.

Il semble que les dernières décisions rendues se penchent plus vers la protection de la vie privée. La question territoriale du traitement des données étant écartée.

Le 13 mai 2014, dans l’arrêt « Google Spain » la Cour de justice de l’Union européenne se prononce notamment sur le droit à l’oubli et sur l’application territoriale de la directive 95/46 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.  la Cour observe que Google Spain constitue une filiale de Google Inc. sur le territoire espagnol et, partant, un « établissement » au sens de la directive. La Cour rejette l’argument selon lequel le traitement de données à caractère personnel par Google Search n’est pas effectué dans le cadre des activités de cet établissement en Espagne. La Cour considère à cet égard que, lorsque de telles données sont traitées pour les besoins d’un moteur de recherche exploité par une entreprise qui, bien que située dans un État tiers, dispose d’un établissement dans un État membre, le traitement est effectué « dans le cadre des activités » de cet établissement, au sens de la directive, dès lors que celui-ci est destiné à assurer, dans l’État membre en question, la promotion et la vente des espaces publicitaires proposés sur le moteur de recherche en vue de rentabiliser le service offert par ce dernier.

Benoît Bellaïche
b.bellaiche@gmail.com

Compétence du tribunal français en cas de litige avec Facebook

 

Les décisions de justice concernant Facebook sont en pleine croissance ces derniers temps et touchent plusieurs domaines du droit. On peut recenser notamment des décisions concernant le droit social et la vie privée. Mais il est ici question d’une décision concernant la procédure civile.

 

En effet, la cour d’appel de Pau a estimé dans un arrêt du 23 mars 2012 que la clause des conditions générales des conditions d’utilisation de Facebook qui donne compétence aux tribunaux de Californie pour tous litiges est inapplicable et renvoie l’affaire devant la juridiction française.

La cour énonce que cette clause attributive de compétence est réputée non écrite car l’internaute ne s’est pas engagé en pleine connaissance de cause.

En l’espèce, un internaute avait ouvert un compte Facebook en 2007 et ne pouvait plus y accéder à partir de juin 2009 sans aucune notification du réseau social. Le plaignant tentera en juin 2009 d’ouvrir un autre compte avec une autre adresse email mais celui-ci sera aussi supprimé.

L’internaute décide alors d’assigner Facebook pour obtenir 1500 € de dommages-intérêts.

En application de ses CGU (conditions générales d’utilisation), Facebook a soulevé l’exception d’incompétence du tribunal français.

Tout d’abord la juridiction a donné gain de cause au réseau social, mais l’internaute s’est alors reporté vers la cour d’appel de Pau pour qu’elle s’exprime sur ce point de procédure.

Puis, la cour d’appel de Pau estime que le tribunal français est compétent pour connaître du litige en application de l’article 46 du code de procédure civile qui prévoit que le demandeur peut saisir le tribunal du lieu où le dommage a été saisi.

L’article 48 du CPC est rappelé par la cour, il dispose que : « toute clause qui, directement ou indirectement, déroge aux règles de compétence territoriale est réputée non écrite à moins qu’elle n’ait été convenue entre des personnes ayant toutes contracté en qualité de commerçant et qu’elle n’ait été spécifiée de façon très apparente dans l’engagement de la partie à qui elle est opposée. »

La cour insiste sur l’absence de consentement à cette clause attributive de compétence en constatant qu’à l’époque les CGU étaient rédigées en anglais, en petits caractères et que la clause en question était noyée dans le texte. Elle déclare également que si le service est apparemment gratuit pour l’utilisateur, celui-ce, en s’inscrivant sur le site, fournit, le concernant, des informations complètes à la société Facebook et ces données sont une source très importante du financement de ses activités ainsi la prestation de service qu’elle fournit à ses utilisateurs a bien une contrepartie financière.

Elle souligne aussi qu’il suffit d’une simple et unique manipulation lors de l’accès au site et non d’une signature pour que le consentement de l’utilisateur soit considéré comme acquis ce qui suppose que : « l’attention de celui-ci soit particulièrement attirée sur la clause dont se prévaut la société Facebook ce qui n’est pas le cas en l’espèce puisque lors de cette manipulation la clause n’est pas facilement identifiable et lisible ». De plus, la fermeture du compte utilisateur qui est l’enjeu du litige s’est produite au domicile du plaignant.

Ainsi, pour la cour, en application de l’article 46 du CPC, le tribunal français est compétent pour traiter l’affaire et par conséquent elle renvoie devant la juridiction de proximité de Bayonne pour se prononcer au fond.

Désormais les CGU du célèbre réseau social sont en français et ont gagné en lisibilité mais la compétence territoriale en cas de litige reste toujours aux tribunaux de Californie. On peut se demander si cette nouvelle présentation qui rend les CGU plus lisible pourrait modifier les décisions futures des tribunaux français. En outre, l’utilisateur de Facebook serait il donc devenu un consommateur qui paierait avec ses données personnelles ?

Benoît Bellaïche
b.bellaiche@gmail.com

Pourquoi l’arrêt total de Megaupload n’aurait pas pu arriver en Europe ?

 

L’arrêt total de Megaupload n’a été possible que parce que certains serveurs se trouvaient aux Etats-Unis. Malgré l’interdiction du site on annonce déjà son retour, probablement grâce à des serveurs situés dans d’autres pays.

 

Comme chacun sait, le site Megaupload a cessé de fonctionner le 19 janvier alors que le ministère de la justice américaine annonçait en outre la mise en accusation et l’arrestation des dirigeants de la société Megaupload.

 

Ainsi et comme le rappel Maître Eolas sur son blog, tout a commencé par une enquête du FBI, la police fédérale des Etats-Unis. Cette enquête a réuni des éléments à charge contre les fondateurs de Megaupload, qui ont été présentés, comme la loi l’exige, à un Grand jury, composé d’au moins 16 personnes, qui vote pour dire s’il y a lieu de prononcer une inculpation (indictment). C’est une procédure non contradictoire. Le Grand Jury a prononcé cette inculpation, qui permettait au FBI d’engager des poursuites judiciaires et surtout d’exercer des actes de contrainte sur les personnes suspectées (sans indictment, seule une garde à vue est possible, et une très courte détention provisoire, le temps nécessaire au Grand Jury de se prononcer sur l‘indictment).

Sur la base de cet indictment, le FBI a saisi un juge fédéral de Virginie qui a émis un mandat d’arrêt international. Ce mandat d’arrêt international oblige tous les pays liés aux États-Unis par des accords internationaux d’arrêter les personnes visées et de les tenir à disposition des autorités américaines (certains États, comme la France, refusent d’extrader leurs nationaux, mais à la place les jugent sur leur territoire).

Les quatre suspects étaient en Nouvelle Zélande sans qu’aucun d’eux en ait la nationalité, la question ne se posait donc pas. La police les a arrêtés le 20 janvier. Comme le prévoit la loi néozélandaise, ils ont été présentés à un juge qui a décidé de les placer en détention le temps que les mérites de la demande d’extradition soient examinés (c’est ce qui est arrivé à Julian Assange en Angleterre et à Roman Polanski en Suisse).

Mais au delà de cette arrestation, il reste a savoir si l’arrêt total du site aurait été possible si les serveurs avaient été situé en dehors des Etats-Unis.

Les enquêteurs, qui travaillaient sur le dossier depuis plus d’un an, se sont appuyés pour engager leur action sur le Digital Millenium Copyright Act (DMCA) adopté sous l’administration Clinton en 1998, qui permet de frapper un service détournant une technologie en vue de pirater des contenus protégés.

Mais cette fois, les accusations vont au-delà de la simple responsabilité de l’hébergeur, derrière laquelle Megaupload se réfugiait jusqu’ici. Et comme l’avait affirmé la décision « EMI vs. MP3Tunes ».

Mais au delà de cette arrestation, il reste a savoir si l’arrêt total du site aurait été possible si les serveurs avaient été situé en dehors des Etats-Unis.

L’acte d’accusation est orienté vers l’incitation au piratage et le blanchiment d’argent, plutôt que sur la question de la responsabilité de l’hébergeur. L’affaire ne devrait donc pas déboucher sur une remise en cause du rôle de ces plates-formes similaire comme You Tube ou Google Music, qui ont presque toujours échappé aux sanctions. Leur responsabilité n’est pas engagée à partir du moment où elles suppriment les fichiers signalés par les ayants droit. Elles ont par ailleurs établi un système de reconnaissance permettant de rejeter des contenus protégés.

 

Pour Megaupload, ce sont les serveurs qui ont été saisis on peut penser que cette procédure aurait été plus longue en Europe, car il faut en général passer par une décision judiciaire. Même si France il existe des moyens de bloquer un site notamment pour les sites de jeux en ligne non agréés par l’Arjel (Autorité de régulation des jeux en ligne). Et lors des discussions sur la loi Loppsi certains avaient demandé la possibilité d’étendre ces mesures à d’autres domaines comme la pédopornographie ou la contrefaçon.

En Europe on peut faire un parallèle concernant le blocage avec l’affaire Wikileaks. L’hébergeur du site qui contenait les données sensibles était le français OVH. Plusieurs pays avaient fait pression pour qu’il coupe l’accès à Wikileaks mais OVH avait répondu que seul le juge pouvait décider de cela.

Dans le cas de Megaupload, l’un des salariés a confié que l’objectif était de « rétablir le service au plus vite ». Ce qui semble vouloir dire que tous les serveurs de la société n’ont pas été saisis. On peut penser que les contenus de Megaupload étaient dupliqués sur plusieurs serveurs. Si les serveurs non saisis abritent la totalité des fichiers mis en ligne, Megaupload pourra renaître dans un pays où il est plus difficile de sévir. Mais ce sera sous un autre nom, les autorités américaines ayant aussi fait main basse sur une quarantaine de noms de domaines détenus par la société, dont l’extension (.com,  .net…) est gérée par une entité américaine.

On peut aussi se poser la question de l’évolution de cet état des lieux sachant que 22 Etats de l’Union européenne dont la France ont signés le 26 janvier l’ACTA (l’accord commercial anti-contrefaçon). Cet accord mettrait en place un nouveau cadre juridique pour la protection des droits d’auteurs notamment. Il s’étendrait aussi aux produits contrefaits et aux médicaments génériques. Pour certains cet accord pourrait remettre en cause certaines libertés fondamentales et être une menace pour la liberté d’expression sur internet. Avec cet accord un blocage total d’un site sans l’intervention d’un juge serait-il possible ?

Benoît Bellaïche
b.bellaiche@gmail.com

L’email, une menace pour les libertés fondamentales ?

Dans une décision du 29 juin 2011, la Cour de cassation a confirmé la régularité de l’ordonnance qui avait autorisé la saisie de plus de 600 000 documents, fichiers et autres messages électroniques effectuée par la DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes) au siège de la société Schering-Plough.

En effet, les enquêteurs appartenant à la DGCCRF détiennent des pouvoirs élargis dans le cadre de leurs enquêtes. Ces pouvoirs sont accordés par le juge qui se basera sur le fondement d’un soupçon légitime.

Même si normalement les perquisitions ne peuvent dépasser le champ de l’autorisation judiciaire initiale, les OPJ (officier de police judiciaire) ont tendance à saisir, ou à dupliquer l’intégralité des disques durs et ainsi l’ensemble des emails y compris ceux qui sont personnels.

La Cour de cassation considère que la Cour d’appel de Paris a justifié sa décision de valider la saisie des documents et fichiers. Cette opération était accusée de porter atteinte à la vie privée et au secret des correspondances d’avocat.

La Cour d’appel avait rappelé que les enquêteurs sont tenus au secret professionnel et que l’administration ne peut utiliser de tels documents dans une procédure.

La Cour suprême avait aussi mentionné le fait que les enquêteurs avaient procédé à des fouilles sommaires ce qui leur permettaient de ne pas saisir de documents couverts par le secret. Ils avaient par ailleurs ajouté que « dès que les enquêteurs soupçonnent l’existence de documents incluant des données personnelles ou couvertes par le secret des correspondances d’avocat, ou si l’occupant des lieux les alerte, ils placent les données sous scellés et il est ultérieurement procédé, sous le contrôle du juge, à leur restitution ». Et sur la saisie de documents non directement liés au litige, la Cour estime « que, d’une part, si l’administration ne peut appréhender que des documents se rapportant aux agissements retenus par l’ordonnance d’autorisation de visite et saisie, il ne lui est pas interdit de saisir des pièces pour partie utiles à la preuve desdits agissements ; qu’en l’espèce, le juge a souverainement estimé que lesdites pièces n’étaient pas étrangères au but de l’autorisation accordée et qu’elles n’étaient pas divisibles ; que, d’autre part, les fichiers saisis ayant été identifiés et inventoriés, la société demanderesse à laquelle une copie des DVD a été remise était en mesure de connaître le contenu des données appréhendées ».

L’affaire en question portait sur des opérations de saisie effectué par la DGCCRF dans le cadre d’une enquête sur d’éventuelles pratiques anti-concurrentielles sur le marché du médicament générique.

« Ce rapport est venu expliquer qu’il était techniquement possible d’extraire d’une messagerie électronique des messages individuels. »

Le laboratoire reprochait à l’administration la saisie massive et indifférenciée de milliers de pièces provenant des postes de travail de dirigeants de la société dont celui la directrice juridique. Il prétendait que parmi ces documents, un grand nombre d’entre eux étaient confidentiels, tels que des échanges avec des avocats, des CV de candidats à un emploi, des comptes personnels, des évaluations de salariés, etc. Le 17 juillet 2007, Schering-Plough avait obtenu du juge des libertés et de la détention du TGI de Nanterre l’annulation de la procédure et la restitution de tous les documents appréhendés. Mais par un arrêt du 20 mai 2009, la Cour de cassation avait invalidé cette décision au motif que le juge de Nanterre avait statué par des motifs généraux « alors qu’il lui appartenait de rechercher, d’une part, si les documents et supports d’information saisis concernaient, au moins en partie, les pratiques anticoncurrentielles susceptibles d’être relevées dans le secteur du médicament générique objet de l’enquête, d’autre part, si cette saisie avait été régulièrement effectuée ».

La Cour de Cassation avait renvoyé la cause devant la cour d’appel de Paris qui, dans une ordonnance du 4 mars 2010, avait validé les opérations de la DGCCRF. Dans son dernier arrêt du 29 juin 2011, la Cour de cassation a rejeté le pourvoi de Schering-Plough, estimant que la cour d’appel avait justifié sa décision.

Cette décision pose le problème de la séparation des données perquisitionnée : les données personnelles, et celles intéressant l’affaire. En effet, Selon l’administration, les messageries électroniques seraient « insécables », et il serait techniquement impossible d’en extraire des emails individuels.

En janvier 2011, la Cour d’appel de Paris, avait mandaté un expert informatique pour qu’il tranche sur la question : « est-il effectivement impossible d’extraire des emails d’une boîte de messagerie électronique ? »

Ce rapport est venu expliquer qu’il était techniquement possible d’extraire d’une messagerie électronique des messages individuels.

La Cour de cassation elle a jugé que le rapport d’expertise n’était pas nécessaire, et a validé l’approche de l’administration.

Cette décision de la Cour de cassation, met en exergue la question de l’évolution des NTIC et la défense des libertés fondamentales. Si la distinction entre les données privées et celles concernant le mandat délivré par le juge n’est pas faite, la présence d’informations personnelles dans les emails influent sur la capacité de défense de la personne perquisitionné. Le cadre du mandat du juge est ainsi dépassé. Ainsi, on peut se demander, si la cadre de la perquisition n’est pas dépassé, et quel va être l’évolution de la jurisprudence concernant ce sujet ?

Benoît Bellaïche
b.bellaiche@gmail.com