05 Oct Commission Enjeux réglementaires – 5 octobre 2016
Commission présidée par Maître Etienne Drouard, Avocat associé, Cabinet K&L Gates Ordre du jour.
Aides à la presse et photojournalisme : contrôles et sanctions en cas de non–respect des bonnes pratiques –Point sur la décision « GS Media », CJUE, 8 septembre 2016 – Réforme du droit d‘auteur : les propositions de la Commission européenne –« Privacy shield » : le nouveau cadre des échanges de données UE/US –Données personnelles/cookies Extension des contrôles au–delà des éditeurs de sites Point sur les récentes délibérations de la CNIL (Facebook, Windows et Brandalley)
Aides à la presse et photojournalisme : contrôles et sanctions en cas de non–respect des bonnes pratiques
Entre octobre 2013 et juillet 2014, une médiation entre éditeurs de presse, agences de presse et photojournalistes a été organisée sous l‘égide du Ministère de la Culture et de la Communication. Les agences de presse et les syndicats de photographes sont à l‘origine de cette initiative. Ils avaient, au cours des derniers mois particulièrement difficile dans le secteur de la photographie de presse et reproché aux éditeurs le recours à certaines pratiques (utilisation abusive de la >>, de photographies provenant de microstocks de type Fotolia etc.).
La mission de médiation a abouti en juillet 2014 à la signature d‘un Code de bonnes pratiques entre syndicats de presse, agences et photographes (PAJ), en présence du GESTE. Ce code rappelle un certain nombre de règles prévues par la loi. Le GESTE participe depuis deux ans au Comité de suivi, qui discute notamment du bannissement de la mention « DR » dans toutes les publications, du respect des métadonnées transmises par les agences, de l‘envoi des justificatifs sous une forme dématérialisée, du respect de délais de paiement...
Cet été, le Ministère, saisi à nouveau par les syndicats de journalistes, non présents lors des réunions, a été sensibilisé au sort des photojournalistes et plus largement à la faible place accordée aux commandes photo dans les titres de presse (IPG) quotidienne et magazine. Lors du Festival international Visa pour l‘image, le Ministère de la Culture a rappelé que les aides à la presse pourraient être suspendues en cas de non–respect des engagements à l‘égard des photojournalistes et des agences de presse. L‘objectif affiché est de responsabiliser davantage les éditeurs de presse dans leurs relations avec les photojournalistes et les agences de presse photo. D‘ici fin 2016, les éditeurs qui touchent plus d‘1 M€ d‘aides directes annuelles devront signer des conventions–cadres avec l‘Etat, pour définir les conditions dans lesquelles sont accordées ces aides. 26 groupes, soit 220 titres au total seraient concernés.
Cette mesure se concrétisera par une suspension des aides à la presse si l‘éditeur ne respecte pas les points suivants :
– le respect des délais de paiement : c‘est un point dur constamment souligné par les agences de presse photo qui travaillent avec les grands groupes de presse IPG. –un approvisionnement privilégié en photographies auprès des photojournalistes et des agences de presse, notamment lorsqu‘il s‘agit d‘informer sur les sujets d‘actualité politique et générale ou de les illustrer : il avait même été question de limiter le recours aux bases photo de stocks pour illustrer des sujets d‘actualité dans des titres IPG.
– la transparence des modalités de rémunération des photographes, grâce à un bon de commande normalisé : les conditions et la forme du bon de commande ont été longuement discutées par la commission Brun Buisson. – la régularité des crédits photographiques. Depuis l‘adoption du Code de bonnes pratiques, le GESTE alerte régulièrement ses membres sur l‘importance de limiter le recours à la mention DR. Pour rappel, la mention DR doit être réservée aux rares cas d’identification d‘un auteur ou à défaut d‘une source. Dans ces cas–là, une provision de droits à payer sur ces photographies doit être comptabilisée, en cas de réclamation de l‘agence, du photographe ou de ses ayants droits. Le GCOTC recommande, à titre de bonne pratique, de mentionner a minima la source de la photo (office du tourisme, agence de publicité, service de presse d‘une marque, etc.) lorsque l‘auteur n‘est pas connu.
Le Ministère de la Culture lance ce mois–ci une étude indépendante auprès d‘un échantillon significatif de titres de presse et représentatif de la diversité des publications. Seront examinées de très près, les mentions accompagnant la publication des photographies. Les résultats seront publiés dans la foulée en fin d‘année 2016. L‘étude sera renouvelée ensuite chaque semestre. Toutes ces mesures sont contraignantes pour les éditeurs de presse en ligne ou print mais elles ne font que rappeler le droit (hormis le recours privilégié aux photos d‘agences de presse et aux commandes à des photojournalistes). Les éditeurs ont donc tout intérêt, même s‘ils ne sont pas IPG à respecter les règles minimum : Crédits, DR, justificatifs, bons de commande, délais de paiement.
Point sur la décision « GS Media », CJUE, 8 septembre 2016
Cet arrêt était très attendu, d‘une part en raison de la grande confusion jurisprudentielle qui régnait jusqu‘alors sur le droit de communication au public et, d‘autre part, en raison du projet de directive publié le 21/09. La question préjudicielle posée dans cet arrêt portait sur le point de savoir si le fait de publier un lien renvoyant vers un contenu illicite etait lui–meme constitutit d‘une contrefaçon. Plus precisement, il s‘agissait de savoir si la publication d‘hyperliens vers des images signalées comme manifestement illicites constituait un nouvel acte de communication au public au sens de la directive 2001/29 et était donc soumise à l‘autorisation préalable des ayants droit.
I La décision de la CJUE
A cette question, la CJUE pose des critères. Elle décide en substance qu‘« afin d‘établir si le fait de placer, sur un site Internet, des liens hypertexte vers des oeuvres protégées, librement disponibles sur un autre site Internet sans l‘autorisation du titulaire du droit d‘auteur, constitue une « communication au public » au sens de cette disposition, il convient de déterminer si ces liens sont fournis sans but lucratif par une personne qui ne connaissait pas ou ne pouvait raisonnablement pas connaître le caractère illégal de la publication de ces oeuvres sur cet autre site Internet ou si, au contraire, lesdits liens sont fournis dans un tel but, hypothèse dans laquelle cette connaissance doit être présumée ».
Les implications pratiques de cet arrêt sont encore incertaines. Il est néanmoins possible de relever que la fourniture d‘un lien hypertexte vers une source illicite est en principe interdite, sauf si la personne ayant publié ce lien agissait sans but lucratif et n‘avait pas connaissance du caractère illégal de la publication sur le site ciblé par le lien. A contrario, lorsque le lien est fourni par une personne qui poursuit un but lucratif et que ce lien mène vers un contenu diffusé sans l‘autorisation du titulaire des droits, alors sa responsabilité est susceptible d‘être engagée.
Il est en outre intéressant de relever dans cet arrêt que la Cour de Justice établit de manière claire une liste de critères interdépendants permettant de qualifier un acte d‘acte de communication au public, notamment :
– Le rôle incontournable joué par l‘utilisateur et le caractère délibéré de son intervention.
–La notion de « public » vise un nombre indéterminé de destinataires potentiels et, par ailleurs, un nombre de personnes assez important. – Pour être qualifiée de « communication au public >> une oeuvre protégée doit être communiquée selon un mode technique spécifique, différent de ceux jusqu‘alors utilisés ou, à défaut, auprès d‘un « public nouveau », c‘est à dire un public n‘ayant pas été déjà pris en compte par les titulaires du droit d‘auteur lorsqu‘ils ont autorisé la communication initiale de leur ceuvre au public.
–Le caractère lucratif d‘une communication au public : dans l‘arrêt GS Media, le caractère lucratif de la publication d‘un lien hypertexte devient déterminant pour présumer de la responsabilité du poseur de lien.
I Point sur le critère du but lucratif
De nombreuses interrogations persistent s‘agissant du caractère lucratif de la fourniture de liens hypertexte. Tout d‘abord s‘agissant de la cohérence jurisprudentielle de la Cour de justice, celle–ci s‘est montrée hésitante sur la portée à donner au critère du but lucratif. Dans les autres arrêts rendus, à commencer par l‘arrêt Premier League, la Cour a jugé que le caractère lucratif de la communication n‘était pas dénué de pertinence. Ce critère présente l‘inconvénient d‘être très imprécis. Comment déterminer ce « but lucratif » ? La Cour de justice n‘y répond pas. La publicité sur le site, l‘existence d‘un abonnement aux publications pourraient être des indices d‘intention lucrative, ou du moins faire partie d‘un faisceau d‘indices permettant de la déterminer. En d‘autres termes, avoir un but lucratif consisterait à avoir ou espérer avoir les moyens de financer par quelle que source que ce soit le service que l‘on met en place. Toutefois, le seul fait de ne pas « gagner d‘argent >> ne consiste pas à ne pas poursuivre un but lucratif. Par ailleurs, un service gratuit peut également poursuivre un but lucratif.
I Une présomption de responsabilité réfragable
D‘un point de vue pratique, selon la Cour de justice, le placement d‘un lien hypertexte dans un but lucratif entraîne une présomption de responsabilité du poseur du lien lorsque ce lien renvoie vers une source illicite : « Il y a lieu de présumer que ce placement est intervenu en pleine connaissance de la nature protégée de ladite oeuvre et de l‘absence éventuelle d‘autorisation de publication sur internet par le titulaire du droit d‘auteur ». Du point de vue purement pratique, l‘éditeur d‘un site peut placer un lien vers un contenu librement accessible sur un autre site web à tous les internautes sans restriction. En revanche, tel n‘est pas le cas par exemple lorsque le contenu en question est réservé aux abonnés du site.
Le Professionnel a l‘obligation de vérifier que les activités qu‘il met en place ne sont pas illégales et ne mènent pas vers des contenus qui seraient diffusés sans l‘accord du titulaire des droits. Il doit pour cela développer des moyens raisonnablement accessibles à sa disposition pour pouvoir anticiper le risque de faire un lien vers une ceuvre dont la re–communication n‘est pas interdite par le titulaire des droits. Les diligences attendues de la personne publiant des liens hypertexte dans un but lucratif consisteraient à effectuer « les vérifications nécessaires pour s‘assurer que l‘oeuvre concernée n‘est pas illégalement publiée sur le site auquel mènent lesdits liens hypertexte ». En d‘autres termes, lorsqu‘il s‘agit d‘un professionnel poursuivant un but lucratif ou d‘un non professionnel poursuivant un but lucratif, le juge présumera qu‘il est responsable car il est chargé de faire les vérifications nécessaires.
La Cour de justice ne donne aucune indication sur le type de vérifications à effectuer. Nous pouvons présumer qu‘il s‘agira de contacter l‘éditeur du site vers lequel le lien renvoie, voire de contacter directement les ayants droit. La fiabilité du site source pourrait également être un indice : le renvoi vers le site d‘un photographe serait ainsi un indice de la légalité de la publication des photographies du photographe sur ce site.
La polarisation but lucratif / non lucratif n‘est toutefois qu‘un des critères étudiés car le fait de publier un lien non lucratif ne signifie en rien que l‘éditeur d‘un lien contraifaisant est exonéré de sa responsabilité. Il peut y avoir un caractère illicite sans poursuivre un but lucratif. Tout réside dans le régime de la preuve qui a changé.
I Les diligences raisonnables
Le professionnel de l‘information a un devoir de bon père de famille, il doit tenir compte de cette nouvelle obligation de diligence. Il est donc tenu de vérifier que le lien mène vers un contenu qui ne montre pas à l‘évidence le caractère illicite de la publication. Pour les professionnels, une des premières mesures à envisager, à la suite de cet arrêt, est de se doter de règles de bonnes pratiques, de bons sens, sur les contenus vers lesquels on mène et en informer toute son équipe. Ils pourront ainsi être à même de se prémunir des notions de but lucratif, de connaissance raisonnable du caractère illicite de la publication. L‘éditeur en tant que titulaire des droits sur le contenu peut aussi être la victime de ce type de liens qui contrefont ses contenus. Mais en qualité de demandeur, il doit convaincre le juge que la personne ne pouvait pas ignorer que le contenu est illicite, qu‘elle poursuive un but lucratif ou non.
Le professionnel ne peut pas invoquer son droit à l‘information car il est tenu de disposer des ressources lui permettant d‘éviter de commettre une contrefaçon qui aurait pu être raisonnablement évitée s‘il avait effectué les diligences raisonnables.
Dans le cas d‘une vidéo avec un code embed publié par l‘éditeur de la vidéo, il y a des bonnes chances de pouvoir considérer que le titulaire des droits a donné un accord tacite car les manifestations de volonté en droit d‘auteur ne sont pas systématiquement écrites.
Pour l‘heure, il n‘existe pas d‘accord ou de charte autorisant mutuellement un groupe d‘éditeurs à publier des liens hypertexte qui pointent réciproquement vers leurs contenus. Ce type de pratiques, qui améliorent le référencement des éditeurs, relève du « fair use », d‘usages tacites. Mais il n‘existe aucun obstacle juridique à la mise en place d‘une telle charte sous l‘égide du GESTE. Il s‘agirait alors d‘une démarche volontaire des éditeurs.
I Les implications de la décision
Désormais, il n‘incombe plus à un tiers de prouver que le professionnel a posé un lien en connaissance de cause du caractère illicite du contenu. Il appartient au professionnel de démontrer qu‘il a fait les diligences nécessaires, en se servant des moyens mis à sa disposition, pour pouvoir déterminer si ce contenu était illicitement accessible par le support vers lequel il lie. Différents cas de figure sont envisageables.
vers des contenus indistincts: l‘accusation est relativement complexe dans le cas où le lien mène vers des contenus indistincts. Lorsque le professionnel lie vers une page toute entière composée de différents éléments (courriers des lecteurs, article principal, espaces publicitaires, sources agrégées externes etc.), il faudra au préalable savoir de quoi le professionnel est accusé avant de savoir s‘il avait les moyens raisonnables de connaitre le caractère illicite du contenu litigieux.
– Faire un lien vers un contenu spécifique : il s‘agit du cas de figure dans lequel le lien hypertexte mène vers un contenu particulier (photo, vidéo), et qui serait un objet identifiable unique. Dans certains cas, le libellé même du lien renseigne l‘utilisateur sur le contenu vers lequel il pointe : dans ce cas, le professionnel a lui–même manifesté son intention de pointer vers le contenu en question. Exemple : « voir cet article intéressant... ». Dans cette hypothèse on pourrait reprocher au professionnel d‘avoir omis de prendre les diligences minimales nécessaires pour renverser la présomption de responsabilité.
Réforme du droit d‘auteur : les propositions de la Commission européenne
Dans la proposition de directive présentée le 14 septembre 2016, Jean–Claude Juncker propose une réforme du droit d‘auteur dont les nouveautés se déclinent en trois axes:
I Un plus grand choix et un accès amélioré, et transfrontière, aux contenus en ligne (proposition sur la portabilité transfrontière des services de contenu en ligne)
La Commission Européenne vise deux objectifs généraux dans sa proposition de directive : d‘une part renforcer la protection des ayants droit, et d‘autre part adapter le droit d‘auteur aux évolutions technologiques qui rentrent difficilement dans le champ d‘application de la directive actuelle.
Pour mettre en oeuvre ces objectifs, la Commission a fait le choix de se centrer sur la portabilité transfrontière des services de contenu en ligne. Elle propose « un mécanisme juridique qui permettra aux radiodiffuseurs d‘obtenir plus facilement les autorisations dont ils ont besoin auprès des titulaires des droits pour pouvoir diffuser des programmes en ligne dans d‘autres Etats membres de l‘UE ».
En effet, de plus en plus d‘Européens utilisent des supports numériques pour consulter des programmes en direct ou en différé. Les radiodiffuseurs sont, eux, soumis au principe de territorialité, c‘est–à–dire qu‘un contenu numérique produit dans un pays ne pourra être diffusé à l‘étranger que si les titulaires de droit ont consenti à cette diffusion dans un autre pays. En conséquence, les programmes diffusés sur Internet – et notamment sur les sites internet de chaînes de télévision – ne sont dans la majorité des cas pas accessibles en dehors du pays d‘origine. Les utilisateurs souhaitant accéder à ces programmes depuis l‘étranger se voient opposer une formule du type « ce contenu n‘est pas disponible depuis votre zone géographique ».
Pour remédier à cette difficulté, la Commission souhaite faire application du principe du pays d‘origine aux contenus numériques. En vertu de ce dernier, l‘acquisition des droits sur un contenu dans le pays d‘origine de l‘émission permettra au radiodiffuseur de le distribuer sur l‘ensemble du territoire de l‘UE.
Plusieurs professionnels de l‘audiovisuel et notamment les télévisions privées se sont élevés contre cette mesure, au nom de la sauvegarde de la territorialité qui est un principe structurant dans l‘économie audiovisuelle et cinématographique. L‘Association des télévisions privées en Europe a critiqué une telle disposition. Selon elle, elle risquerait de mettre en péril les investissements dans les oeuvres audiovisuelles. Cette baisse d‘investissement impactera à plus ou moins long terme la diversité culturelle en Europe. Par ailleurs, la problématique des versions linguistiques n‘est pas prise en compte dans la réflexion de la Commission. Cette dernière n‘entend cependant pas remettre en cause les principes assurant le fonctionnement de l‘économie audiovisuelle et cinématographique, et ne vise dans la proposition de directive que les contenus diffusés en ligne. Dans le projet de règlement dévoilé par la Commission en mai dernier, l‘ayant droit conserve la possibilité de géo bloquer le contenu.
Il serait préférable d‘anticiper le fait que cette européanisation des droits est en marche, et que sa mise en oeuvre concrète pourrait ne pas obliger les professionnels à négocier des droits à grande échelle pour tout le territoire européen. Pour ce faire, le professionnel pourrait envisager de mettre en place des mécanismes d‘attraction de ses utilisateurs qui lui permettraient par exemple de considérer ces derniers comme des utilisateurs français lorsqu‘ils sont à Dublin, et donc de leur donner accès aux contenus parce que la relation a été ouverte dans un environnement national. Il s‘agirait en d‘autres termes de donner une nationalité à l‘utili contenus, en « suivant » l‘utilisateur.
I Un régime de droits d‘auteur plus favorable pour l‘enseignement, la recherche, le patrimoine culturel et l‘inclusion des personnes handicapées
Le projet de directive vise « l‘amélioration des règles en matière de droit d‘auteur dans les domaines de la recherche, de l‘éducation et de l‘inclusion des personnes handicapées ». Il prévoit notamment une nouvelle exception en vue de permettre aux établissements d‘enseignement d‘utiliser des matériaux à des fins d‘illustration dans leurs activités pédagogiques fondées sur des outils numériques et dans le cadre des cours en ligne transfrontières. Enfin, le projet de directive vise également à permettre aux chercheurs dans l‘ensemble de l‘Union d‘utiliser plus facilement les technologies de fouille de textes et d‘exploration de données («text and data mining») pour analyser de gros volumes de données. Ce mécanisme a toutefois déjà été instauré en France par la loi pour une République numérique.
I Un marché plus équitable et plus viable pour les créateurs, le secteur de la création et la presse
Le projet de directive vise d‘abord à faire peser sur certaines plateformes, comme YouTube ou Dailymotion, une obligation de filtrage automatisée. Pour citer la Commission, « ces plateformes seront tenues de déployer des moyens efficaces tels que des technologies permettant de détecter automatiquement des chansons ou des oeuvres audiovisuelles identifiées par les titulaires de droits et devant etre soit autorisées, soit supprimées ». Cette proposition vise à remettre en partie en cause le statut de ces hébergeurs, prévu par la directive Commerce électronique, en ne leur imposant pas seulement une obligation de retrait a posteriori mais en leur imposant également d‘agir a priori par la mise en place de filtres. Cette obligation de filtrage constituera une obligation de moyens, selon l’état de l‘art des technologies de filtrage. Un tel mécanisme a été critiqué en raison des limites qu‘il présente. Il est particulièrement onéreux et pourrait constituer une barrière à l‘entrée pour les start ups. Il serait, de plus, dangereux pour la liberté d‘expression.
Le projet de directive propose également de mettre en place un nouveau droit voisin destiné à permettre aux éditeurs de presse, d‘une part, de négocier l‘utilisation de leurs contenus avec les services en ligne qui les utilisent ou en permettent l‘accès et, d‘autre part, de lutter contre le piratage. Ce droit « auxiliaire » est comparable à celui qui existe déjà dans le droit de l‘Union pour les producteurs de films, les producteurs de disques et les autres acteurs des industries créatives tels que les radiodiffuseurs. Le droit spécifique que la Commission propose d‘accorder aux éditeurs de presse viserait donc à reconnaître « le rôle important que jouent les éditeurs de presse en termes d‘investissements et de contribution à la création de contenus journalistiques de qualité » en étant « juridiquement reconnus comme des titulaires de droits ». Cette approche doit permettre à l‘ensemble des acteurs de disposer d‘un cadre juridique clair pour l‘octroi de licences à des fins d‘utilisation numérique de contenus, et contribuera au développement de modèles économiques innovants au profit des consommateurs. Par cette mesure, la Commission entend doter les éditeurs de presse d‘un « droit voisin » afin qu‘ils puissent mieux négocier une rémunération avec les acteurs qui recensent leurs contenus et en tirent, indirectement, des revenus publicitaires.
Cette disposition s‘inscrit dans le conflit qui oppose depuis plusieurs années les professionnels de la presse aux acteurs d‘Internet, à travers notamment les « taxes Google ». Ces dernières ont toutefois abouti jusqu‘à présent sur des résultats contreproductifs, Google ayant notamment menacé de fermer Google News en Espagne, faisant redouter aux éditeurs une perte du trafic amené par le moteur de recherche sur leurs sites. S‘agissant de la mise en oeuvre du droit voisin, à date rien n‘interdit de confier la gestion des licences que les éditeurs pourront conclure, à une société de gestion collective. Le projet de directive oblige, par ailleurs, les éditeurs et les producteurs à être transparents et à informer les auteurs ou les artistes interprètes des bénéfices qu‘ils réalisent avec leurs oeuvres. Cette transparence, qui est la contrepartie du nouveau droit voisin, pourrait faire naître une possible renégociation des droits d‘auteur avec les journalistes, mais l‘impact de cette obligation de rendre des comptes devrait être limité lorsque les revenus générés sont peu élevés.
La proposition de directive instaure aussi un mécanisme destiné à aider les auteurs et les artistes interprètes à obtenir une rémunération juste lorsqu‘ils négocient avec les producteurs et les éditeurs. La confiance de tous les acteurs dans la chaîne de valeur numérique devrait dès lors s‘en trouver renforcée
« Privacy shield » : le nouveau cadre des échanges de données UE/US
Il y a transfert de données à caractère personnel au sens de la réglementation dans deux cas de figure :
– Une donnée qui est dans l‘UE est déplacée hors de l‘UE; – L’information reste hébergée dans l‘UE mais elle est accessible depuis un pays hors de l‘UE.
En octobre 2015, la CJUE a invalidé l‘accord Safe Harbor qui avait été conclu en 2001 entre la Commission européenne et les Etats–Unis, estimant qu‘il était insuffisamment protecteur des droits et libertés fondamentaux des personnes, car le Patriot Act et son application concrète permettaient de faire une surveillance de masse pour des fins décidées par la loi américaine. Les négociations ont abouti à l‘adoption du Privacy shield : désormais sous le contrôle de la Federal Trade Commission (FTC) les sociétés américaines qui reçoivent des données de la part de sociétés européennes peuvent recourir à cet accord qui remplace le Safe Harbour. Le Privacy shield reprend les grands principes figurant dans la directive de 1995 sur les données à caractère personnel et dans le nouveau règlement européen qui entrera en vigueur en mai 2018 (principes d‘information des personnes, de transparence, de droit d‘opposition, de finalités etc.). Une entreprise américaine peut demander à adhérer au Privacy shield auprès de la FTC. Elle doit dans le cadre de cette démarche volontaire prouver qu‘elle a obtenu de la part de consultants privés un document certifiant qu‘elle respecte les principes du Privacy shield. Un audit annuel de ce mécanisme d‘auto–certification est prévu.
Il existe, en dehors du Safe Harbor, trois autres pistes :
– le contrat de transfert de données ; –les Binding Corporate Rules (un groupe d‘entreprises s‘engagent à respecter des principes validés par un régulateur européen);
– lorsque le transfert des données est nécessaire à l‘exécution d‘un contrat passé avec la personne (le recours à cette option a été limité au maximum par les régulateurs européens).
Les professionnels peuvent toujours recourir à ces trois mécanismes, même si le Privacy shield, entré en vigueur le 1er/08/2016 les remplace de manière pratique devant la FTC. 257 entreprises ont adhéré à ce mécanisme réglementaire qui permet de fluidifier le transfert des données.
Données personnelles/cookies I Extension des contrôles au–delà des éditeurs de sites En mars dernier, la Présidente de la CNIL évoquait un moratoire sur l‘exigence des cookies publicitaires. 8 éditeurs et une quarantaine de sites web étaient concernés. Les contrôles menés par deux équipes de la CNIL ont repris fin juillet : ils visent désormais les régies des éditeurs et les intermédiaires de publicité, notamment les DMP (Criteo, 1000mercis, Weborama etc.). Les adservers n‘ont pas encore été contrôlés. L‘enjeu pour la CNIL est de clarifier les responsabilités de chaque acteur.
C‘est dans un communiqué de presse en date du 27/07 que la CNIL a annoncé le lancement des contrôles auprès des professionnels non éditeurs qui émettent des cookies (annonceurs, régies ...). Il s‘agit de vérifier la conformité vis–à–vis de plusieurs points de la recommandation du 5 décembre 2013 relative aux cookies et autres traceurs, notamment le consentement préalable de l‘internaute, le consentement révocable, la limitation de la durée de conservation des données... Cette vague de contrôle a pour objectif de promouvoir une solution globale de conformité sur l‘ensemble de la chaîne de la publicité en ligne. En effet, la CNIL admet que « les éditeurs ne peuvent, à eux seuls, porter l‘entière responsabilité de l‘application des règles relatives aux traceurs considérés comme des « cookies tiers » car provenant de sociétés tierces ». Dans son communiqué de presse, la CNIL rappelle donc le principe de partage de la responsabilité et affirme le principe du scroll comme valant acceptation de l‘internaute.
Pour l‘heure, le fait de déposer un cookie sans attendre un acte de navigation n‘a jamais été sanctionné. Les CNIL européennes ne sont pas encore parvenues à un accord sur le sujet en raison de la position de l‘Information Commissioner UK.
Trois recommandations très importantes sont portées à l‘attention des membres du GESTE:
–La CNIL a publié le 21/07 dernier une nouvelle norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects (NS–048): la première version datait de 1992. Plusieurs évolutions ont été introduites dans cette nouvelle version : la CNIL consacre la théorie d‘un consentement préalable au dépôt d‘un cookie, les durées de conservation sont moins favorables mais plus claires. La CNIL durcit le régime de la NS–048. L‘éditeur qui ne veut pas recourir à cette norme peut désigner un Correspondant Informatique et Libertés (CIL), en prévision de l‘entrée en vigueur du nouveau réglement européen. Le CIL est chargé de faire l‘inventaire des traitements de données à caractère personnel dans l‘entreprise. Les éditeurs sont vivement encouragés, a minima, à créer cette fonction.
–La formule d‘information des personnes, recommandée initialement par la CNIL, pour le bandeau cookies, est insuffisante. La CNIL impose également aux éditeurs de site d‘informer l‘utilisateur sur les fonctionnalités de cookies de réseaux sociaux présents sur le site. A titre d‘exemple : « En poursuivant votre navigation sur ce site, vous acceptez nos CGU et l‘utilisation de cookies afin de réaliser des statistiques d‘audiences et vous proposer une navigation optimale, la possibilité de partager des contenus sur des réseaux sociaux ainsi que des services et offres adaptés à vos centres d‘intérêts. Pour en savoir plus et paramétrer les cookies... >
– Les équipes chargées des contrôles pour la CNIL recommandent aux éditeurs, dans leurs « cookies policy », de lister les cookies stables dont ils ont connaissar sont présents sur leurs pages. Il s‘agit d‘indiquer le nom du cookie, sa finalité (« mesure d‘audience », « analytics », « publicité »), idéalement le type de données qui sont associées au cookie, et enfin un lien d‘opposition (par exemple le lien à disposition par Weborama, la plateforme de l‘IAB Your online choices, ou un tag manager). A défaut, le paramétrage du navigateur reste la dernière solution, mais la CNIL estime que c‘est insuffisant depuis 2015.
La nouvelle loi pour une République numérique fait passer le plafond des sanctions prononcées par la CNIL de 150 000 euros à 3 millions d‘euros. En cas de contrôle, il y aura donc une discussion sérieuse sur la date des faits constatés, sur la rétroactivité de la loi pénale plus dure. Entre mi–octobre 2016 et le 25/05/2018, la Cnil peut sanctionner une entreprise à hauteur de 3 millions d‘euros. A partir de 2018, la CNIL pourra prononcer des amendes d‘un montant de 2% jusqu‘à 4% du chiffre d‘affaires annuel mondial de l‘entreprise, ou 10 à 20 millions d‘euros pour les autres organismes. Bruno Lemaire, Nicolas Sarkozy et Alain Juppé, dans leurs programmes politiques, préconiseraient un renforcement des pouvoirs et de moyens de la CNIL.
I Point sur les récentes délibérations de la CNIL (Facebook, Windows et Brandalley) Décision Brandalley, 07/07/2016
La société Brandalley a été sanctionnée par la CNIL pour de nombreux manquements à la loi Informatique et Libertés. La formation restreinte a prononcé une sanction de 30.000 €, rendue publique, à l‘encontre de cette société. La CNIL a effectué, en janvier 2015, un contrôle sur place afin de vérifier les traitements qu‘elle mettait en oeuvre, en particulier ceux relatifs à la gestion des clients (plusieurs millions de comptes clients concernés) et des prospects. Ce contrôle a permis de relever de nombreux manquements à la loi Informatique et Libertés, ce qui a conduit la Présidente de la CNIL à adopter une mise en demeure à l‘encontre de Brandalley. Début 2016, de nouveaux contrôlos ont permis de constater la persistanco do manquements à la loi, ce qui a conduit la Présidente de la CNIL à désigner un rapporteur afin que soit engagée une procédure de sanction. Sur la base des constatations effectuées, la formation restreinte a notamment relevé que la société n‘avait pas :
– procédé à une demande d‘autorisation auprès de la CNIL pour la mise en oeuvre d‘un traitement ayant pour finalité la prévention de la fraude à la carte bancaire et ainsi susceptible d‘exclure des personnes, ni pour le transfert des données vers des sous–traitants situés en dehors de l‘Union européenne (le Maroc et la Tunisie);
– fixé de durée de conservation des données des clients et des prospects, et ainsi n‘avait pas procédé à la purge de sa base de données ;
– correctement informé les internautes des moyens de paramétrage des cookies afin notamment d‘accepter ou refuser leur dépôt et lecture sur leur ordinateur ;
– mis en oeuvre de moyens suffisants pour assurer la sécurité et la confidentialité des données personnelles des internautes. En effet, la société n‘avait pas mis en oeuvre de protocole « https » sécurisé sur les pages de son site sur lesquelles transitaient des données personnelles.
La sanction prononcée à l‘encontre de Brandalley a été rendue publique en raison du nombre de personnes concernées par les traitements en cause.
Consulter la délibération de la CNIL
Décision Facebook, 26/01/2016
A la suite de l‘annonce par Facebook de la modification de sa politique de confidentialité, la CNIL a effectué des contrôles sur place, sur pièces et en ligne pour vérifier la conformité du réseau social à la loi Informatique et Libertés. Ces vérifications ont permis de relever plusieurs manquements:
–La CNIL a constaté que Facebook est en mesure de suivre la navigation des internautes, à leur insu, sur des sites tiers alors même qu‘ils ne disposent pas de compte Facebook
– Facebook ne recueille pas le consentement exprès des internautes lors de la collecte et du traitement des données relatives à leurs opinions politiques, ou religieuses, et à leur orientation sexuelle. De même, aucune information n‘est délivrée aux internautes sur leurs droits et sur l‘utilisation qui sera faite de leurs données sur le formulaire d‘inscription au service.
– Le site dépose sur l‘ordinateur des internautes des cookies à finalité publicitaire, sans les en avoir au préalable correctement informés ni avoir recueilli leur consentement.
– Pour afficher de la publicité ciblée à ses membres, Facebook procède à la combinaison de toutes les données personnelles qu‘il détient sur eux, sans leur proposer un mécanisme d‘opt out.
– Facebook transfère les données personnelles de ses membres aux US sur la base du Safe Harbor, ce qui n‘est plus possible depuis la décision de la CJUE du 6 octobre 2015.
La Présidente de la CNIL a donc décidé de mettre en demeure les sociétés FACEBOOK INC. et FACEBOOK IRELAND de se conformer à la loi dans un délai de 3 mois. Ce délai a été renouvelé et la date limite a été fixée au 09/08. La mise en demeure a été rendue publique notamment en raison de la gravité des manquements constatés ot du nombre de personnes concernées par le service Facebook (plus de 30 millions d‘utilisateurs en France).
Consulter la délibération de la CNIL
Décision Microsoft, 30/06/2016
Dans le contexte du lancement du nouveau système d‘exploitation Windows 10 en juillet 2015, la CNIL a effectué 7 contrôles en ligne en avril et juin 2016 et a interrogé Microsoft sur certains points exposés dans sa politique de confidentialité afin de vérifier la conformité de Windows 10 à la loi Informatique et Libertés. Ces contrôles ont révélé plusieurs manquements :
–Des données collectées non pertinentes ou excessives. Afin d‘identifier des problèmes, de les résoudre et d‘améliorer les produits, Microsoft traite par exemple des données d‘usage des applications Windows et du Windows Store, qui permettent notamment d‘avoir connaissance de toutes les applications téléchargées et installées sur le système par un utilisateur et du temps passé sur chacune d‘elles. Ce faisant, elle se livre à une collecte excessive, la CNIL considérant que ces données n‘étant pas nécessaires au fonctionnement du service.
–Un défaut de sécurité. La société permet aux utilisateurs de choisir un code PIN de 4 chiffres pour s‘authentifier pour l‘ensemble de ses services en ligne et notamment pour l‘accès à leur compte Microsoft, qui recense les achats effectués sur le store et les moyens de paiement utilisés. Or, le nombre de tentatives de saisie de ce code PIN n‘est pas limité, ce qui n‘assure pas la sécurité et la confidentialité des données des utilisateurs.
–Une absence de consentement des personnes. Il apparaît également qu‘un identifiant publicitaire est activé par défaut lors de l‘installation de Windows 10. II permet à des applications Windows et des applications tierces de suivre la navigation des utilisateurs et de leur proposer des publicités ciblées sans que le consentement des utilisateurs n‘ait été recueilli.
–Une absence d‘information et de possibilité de s‘opposer au dépôt de cookies. La société dépose sur les terminaux des utilisateurs des cookies publicitaires, sans les en avoir au préalable correctement informés, ni mis en mesure de s‘y opposer.
–La persistance de transferts internationaux sur la base du Safe Harbor.
La CNIL a mis en demeure Microsoft de se conformer à la loi dans un délai de 3 mois. Cette mise en demeure a été rendue publique notamment en raison de la gravité des manquements constatés et du nombre de personnes concernées (plus de dix millions d‘utilisateurs de Windows 10 en France).
Consulter la délibération de la CNIL
Cookies Droit voisin Photojournalisme CNIL Recommandation relative aux cookies et autres traceurs US–UE Privacy Shield Données personnelles