Le Blog de Laura

A lire, à entendre, à voir et à déguster

Comment la loi protège-t-elle les internautes face à l’utilisation de leurs données personnelles ?

Entretien avec Emmanuel Derieux, co-auteur de Réseaux sociaux en ligne. Aspects juridiques et déontologiques

Détournement du logo "J'aime" de Facebook en "J'aime pas"

Détournement du logo « J’aime » de Facebook en « J’aime pas »

 

En France, et en Europe, il existe quelques textes juridiques régissant l’utilisation des données personnelles des individus en ligne et hors ligne. La principale loi de référence est celle de 1978. La lecture de ces textes n’est pas aisée : le vocabulaire semble compliqué pour un non-initié au droit et les formulations pas très claires, voire vagues. Emmanuel Derieux, professeur de droit des médias à l’Institut Français de Presse, a compilé les textes en vigueur sur l’utilisation des réseaux sociaux sur le web dans son ouvrage  « Réseaux sociaux en ligne. Aspects juridiques et déontologiques ». Il explicite volontiers ces formulations complexes, les met en perspective et donne ses conseils aux utilisateurs de réseaux sociaux quant à la protection de leurs données personnelles.    

 

Dans votre livre Réseaux sociaux en ligne. Aspects juridiques et déontologique, vous écrivez : « à l’égard de l’usage fait des données personnelles des participants aux réseaux sociaux, les pratiques semblent quelque peu éloignées des principes posés par les textes. » Pourquoi ?

Emmanuel Derieux : A l’insu des participants sont collectés des renseignements personnels qui sont exploités notamment à des fins commerciales, notamment publicitaires. La loi française et, au moins les lois des autres pays européens, par respect d’une convention européenne et de différentes directives, interdisent de telles pratiques. Mais le contrôle et la sanction de ces dernières sont beaucoup plus incertains dès lors qu’elles sont le fait de personnes qui relèvent de droits étrangers.

Qu’y peut-on concrètement ?

Emmanuel Derieux : En l’état actuel (des choses), la meilleure solution est sans doute d’être très prudent dans la participation à ces échanges et dans la nature des informations que l’on y diffuse.

La loi de référence en France date de 1978. Pensez-vous qu’elle est obsolète en 2013 ?

Emmanuel Derieux : La principale limite de cette loi, comme de toute autre loi nationale, tient, en raison du respect du principe de souveraineté des Etats, au fait que son champ d’application est pratiquement limité aux activités réalisées sur le territoire national et aux personnes qui y sont installées, alors que les réseaux de communication sont de dimension universelle.

L’article 6 de la loi de janvier 1978, sur la méthode de collecte des données, dispose : « les données sont collectées et traitées de manière loyale et licite ». Mais de nos jours comment définir la loyauté et le caractère licite dans le cas présent ? N’y a-t-il pas ici un vide ou un flou juridique ?

Emmanuel Derieux : Le caractère « loyal » de la collecte des données tient à la connaissance que la personne en cause a de ce que des données la concernant sont collectées. Le caractère « licite » tient à la nature des données collectées et à la finalité de leur collecte. L’article 8 de la loi de 1978 interdit de collecter « des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l’appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle ».

L’article 32 de cette même loi dit : « toute personne utilisatrice de réseaux de communications électroniques doit être informée de manière claire et complète (…) de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion ». Comment informer de manière claire et complète ? Qu’est-ce que ça signifie ?

Emmanuel Derieux : Il faudrait que, dans le contrat d’abonnement à un fournisseur d’accès et lors de tout recours à un fournisseur d’hébergement, il soit clairement posé que des données de connexion ou des informations sur le contenu des échanges seront prélevées, pour quels usages, au profit de quels autres utilisateurs… Il serait sans doute difficile sinon impossible de les énumérer tous et de les prévoir tous à l’avance. L’obligation posée par la loi française ne peut peser que sur les opérateurs qui sont installés sur le territoire français. Cela en limite évidemment la portée et risque de les inciter à se délocaliser pour s’implanter dans des pays dont la loi est moins exigeante.

L’article 226-18 du Code Pénal (français) dit que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de 5 ans d’emprisonnement et de 300.000 euros d’amende ». Mais comment faire exécuter à l’étranger une condamnation française ?

Emmanuel Derieux : Pour qu’une condamnation prononcée par un juge français soit exécutée à l’étranger, à l’encontre d’un opérateur qui y est installé, il convient, en l’absence de démarche volontaire de l’intéressé, d’obtenir la coopération des autorités judiciaires de ce pays. Celles-ci ne l’accorderont que si nos deux législations sont à peu près semblables. Dans ce cas, il serait possible de poursuivre l’opérateur fautif, à l’étranger, en application de la loi étrangère.

Comment faire appliquer les textes européens tels que la « Convention pour la protection des personnes à l’égard du traitement automatisé des données à caractères personnel » du Conseil de l’Europe ; la directive du Parlement européen et du Conseil de 1995 ; et la « Charte des droits fondamentaux de l’Union Européenne » de 2000 ?

Emmanuel Derieux : Le respect des conventions internationales ne s’impose qu’aux Etats qui les ont ratifiées. Les Etats membres de l’Union Européenne ont pour obligation de « transposer », dans leur législation nationale, les principes posés dans les différentes directives. Les manquements à cet égard pourraient donner lieu à une condamnation de la Cour de Justice de l’Union Européenne.

L’article 8 de la loi de janvier 1978 dit qu’il est interdit de collecter des données sur les opinions politiques et religieuses et sur l’orientation sexuelle. Or, quand Facebook demande ces informations dans le profil des utilisateurs, si on accepte de les donner, c’est collecté. Est-ce de notre faute si c’est utilisé ensuite, dans la mesure où on les a données ? Ou de la faute de Facebook qui demande ces informations alors qu’en France on n’a pas le droit ?

Emmanuel Derieux : L’article 5 de la loi de 1978 soumet aux obligations qu’elle pose les traitements de données « dont le responsable est établi sur le territoire français » ou « recourt à des moyens de traitement situés sur le territoire français. » Accepter imprudemment de fournir des renseignements à caractère personnel, autres que ceux que l’article 6.III.2 de la loi du 21 juin 2004 impose de communiquer au fournisseur d’hébergement, que l’on n’a pas l’obligation de communiquer équivaut à autoriser leur collecte.

La Convention de Strasbourg du 28 janvier 1981 stipule que « ce type de données ne peuvent être traitées automatiquement à moins que le droit interne ne prévoie des garanties appropriées ». Qu’est-ce que le droit interne ?

Emmanuel Derieux : Le « droit interne » c’est la loi de chacun des pays qui a ratifié la Convention. Mais encore faut-il que l’opérateur exerce ses activités dans l’un de ces pays…

L’article 6 de la loi de janvier 1978 dit que « les données sont conservées…pendant une durée qui n’excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». Comment définir cette durée nécessaire ?

Emmanuel Derieux : C’est à l’appréciation de celui qui collecte et exploite ces données, sous le contrôle de la CNIL et/ou des juges.

Dans le Code des postes et communications électroniques il est écrit que « les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales : les informations permettant d’identifier l’utilisateur… et les données permettant d’identifier le ou les destinataires de la communication ». Cela veut-il dire que la justice peut demander à Facebook , par exemple, des communications en messages privés si quelqu’un porte plainte ?

Emmanuel Derieux : Ceux qui détiennent ces données, du moins s’ils relèvent du droit national, ont l’obligation de communiquer ces données à l’autorité judiciaire. S’ils sont implantés à l’étranger, l’exécution d’une condamnation prononcée par un juge national dépend de leur bonne volonté. Voir l’affaire « un bon juif ».

Dans la loi de janvier 1978, l’article 38 dit que « toute personne physique a le droit de s’opposer, pour des motifs légitimes à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Comment cette personne peut faire concrètement ?

Emmanuel Derieux : Si des données sont collectées, conservées, exploitées, en violation des dispositions légales, par un opérateur relevant du droit national, si une demande de correction ou de suppression n’est pas satisfaite, l’intéressé peut saisir la CNIL et ou le juge.

Selon l’article 39 de cette même loi, on peut interroger le responsable du traitement des données. Comment le trouve-t-on ? Comment fait-on lorsque c’est une entreprise internationale comme Facebook ?

Emmanuel Derieux : En cas de difficulté, on peut recourir à la CNIL, mais celle-ci n’a d’autorité que sur les traitements effectués sur le territoire national par des personnes qui y exercent leur activité.

L’article 45 de cette loi définit un certain pouvoir à la CNIL. En réalité, la CNIL a-t-elle réellement du pouvoir ?

 Emmanuel Derieux : Elle peut rendre publics ses avis. Elle est investie d’un pouvoir de sanction… mais elle n’a véritablement de prise que sur les activités qui ont lieu sur le territoire national.

Pour conclure, quels conseils donneriez-vous aux utilisateurs des réseaux sociaux en ligne quant à la protection de leurs données personnelles ?

Emmanuel Derieux : En résumé, la faible maîtrise des réseaux sociaux et des communications électroniques, dans leur ensemble, tient à leur dimension internationale alors que le droit est encore essentiellement national… Que ceux qui veulent s’en protéger soient prudents dans l’usage qu’ils en font…

 

L’auteur :

Emmanuel Derieux

Emmanuel Derieux

Emmanuel Derieux est professeur de Droit des médias à l’Institut Français de Presse (Université Paris II Panthéon-Assas) et rattaché au Centre d’analyse et de recherche interdisciplinaire sur les médias (CARISM).

Il est l’auteur, en collaboration avec Agnès Granchet, maître de conférences en droit et déontologie des médias à l’Institut Français de Presse, de nombreux ouvrages sur le droit des médias, parmi lesquels : « Droit des médias. Droit français, européen et international » aux éditions LGDJ ; « Droit des médias » aux éditions Dalloz ; et « Dictionnaire du droit des médias » chez Victoires éditions.

 
Le livre :

Réseaux sociaux en ligne. Aspects juridiques et déontologiques

Réseaux sociaux en ligne. Aspects juridiques et déontologiques

Réseaux sociaux en ligne. Aspects juridiques et déontologiques, Emmanuel Derieux et Agnès Granchet, Editions Lamy, collection Axe Droit, janvier 2013, 235 pages, 46 euros. Disponible ici.

 

 

 

 

 

Publicités

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Information

Cette entrée a été publiée le 15 février 2014 par dans Web / High Tech, et est taguée , , , , , , , .
%d blogueurs aiment cette page :