Cet article constitue la retranscription et le prolongement d’un cours donné à l’Université Paris I le mardi 5 décembre 2017, dans le cadre de l’enseignement assuré par Maître Ronan Hardouin aux étudiants du Master 2 Droit du Commerce Electronique et de l’Economie Numérique (DC2EN), puis le 7 mars 2017 aux étudiants du Master 2 Propriété Intellectuelle et Droit des Affaires Numérique (PIDAN) de l’Université Paris-Saclay.
Ce cours avait pour sujet l’analyse comparative des mesures pouvant être ordonnées à l’encontre des différents intermédiaires techniques à l’heure d’Internet, sur le double fondement de la LCEN et de la réglementation des traitements de données à caractère personnel. Il s’en est issu une réflexion d’ordre plus général sur la compatibilité (ou plutôt l’absence d’incompatibilité) entre ces deux corps de règles.
Les slides de ce cours sont disponibles en libre téléchargement, sous licence Creative Commons CC BY-NC-ND, en cliquant ici.
S’il est une thèse qui m’a semblé gagner de l’écho à l’approche de l’entrée en application du nouveau règlement général sur la protection des données (GDPR), c’est très clairement celle de “l’impérialisme des données personnelles” ; pour l’avoir entendu régulièrement soutenir en des termes à peu près équivalents, il me paraît aujourd’hui possible de la résumer comme suit : la réglementation des traitements de données à caractère personnel, parce qu’elle s’inscrit dans un champ d’application particulièrement peu précis, aurait tendance à étendre ses logiques jusqu’aux terrains d’élection d’autres branches du droit, au point de concurrencer, de dénaturer voire d’évincer complètement les corps de règles plus “traditionnels”. Inutile de préciser que, dans l’esprit et dans le ton des partisans de cette thèse, cet impérialisme n’a rien d’heureux ni de souhaitable.
Les prémisses de cette analyse ne sont en elles-mêmes pas vraiment contestables. Il est vrai que les notions fondamentales de la réglementation, celles de “traitement” et de “donnée à caractère personnel“, reposent sur des définitions extraordinairement accueillantes, et que ces définitions semblent elles-mêmes devoir recevoir l’interprétation la plus large. Il est vrai également que l’objet de cette réglementation, la donnée, est par nature si omniprésente et si valorisée dans la fameuse “société de l’information” que de nombreuses branches du droit ont lieu de s’y intéresser – pour ne citer que les plus immédiatement évidentes : propriété intellectuelle (bases de données), droit de la concurrence, droit de la consommation, ou encore responsabilité civile classique et droit de la presse. Il est vrai, enfin, que dans certains cas l’articulation de cette réglementation et de ces autres branches du droit peut sembler problématique, engendrer certains effets d’opportunité pour le plaideur, et qu’on ne saurait exclure que de leur application cumulée émergent certaines contradictions.
Les données à caractère personnel sont partout, en somme, et selon leur nature et celle de l’utilisation qui en est faite, cette utilisation devra respecter à la fois le GDPR et d’autres normes plus spécifiques, au prix parfois d’un véritable casse-tête – tout ceci n’est, encore une fois, pas contesté. Sans prétendre aucunement avoir fait le tour de la question, il me semble cependant que les conclusions des partisans de la thèse de “l’impérialisme” (selon lesquelles ce cumul des règles applicables se jouerait toujours en faveur du GDPR, c’est-à-dire au détriment de “l’autre règle”) appellent quelques nuances. D’abord (argument mineur), cette expansion de la réglementation des traitements de données à caractère personnel n’est en rien imputable au nouveau règlement, puisqu’il n’a pas modifié les définitions des notions fondamentales précitées, déjà présentes dans la directive 95/46/CE ; la seule évolution du champ d’application portée par le texte est relative à sa dimension territoriale, dans la mesure où il englobe certains responsables de traitement établis hors de l’Union Européenne. De ce point de vue, le partisan de la thèse de “l’impérialisme” n’a donc pas à craindre le GDPR davantage que l’actuelle directive – ou (pour le tourner en un sens qui lui paraîtrait probablement plus exact) peut à bon droit redouter l’actuelle directive tout autant que le GDPR. D’autre part, le GDPR prévoit (peut-être plus, d’ailleurs, que la directive) un grand nombre de connexions et d’articulations avec d’autres corps de règles nationales et unionistes – pour n’en citer, ici encore, que quelques unes : respect des droits de propriété intellectuelle dans le cadre de l’obligation d’information (considérant 63), marges de manoeuvre des Etats membres en matière de droit de la presse (article 85) ou de droit du travail (article 88), et de manière générale tous les cas de “limitations” où le règlement prévoit lui-même de céder face à d’autres dispositions (article 23). On arguera (avec raison) que ces dispositions, purement textuelles, sont trop imprécises pour laisser préjuger du triomphe ou du recul des corps de règles concernés ; leur existence traduit néanmoins un certain souci de cohérence.
L’ambition de cet article n’est pas d’envisager globalement, et encore moins branche par branche, les possibilités d’atteindre en pratique cette cohérence dans l’ensemble des hypothèses de cumul précitées. Plutôt, il s’agit de se concentrer, comme à titre d’exemple, sur le cas spécifique de l’articulation des règles du GDPR et du principe de responsabilité limitée des intermédiaires techniques prévu par la loi pour la confiance dans l’économie numérique (LCEN), issue de la transposition de la directive dite “Commerce électronique”, afin de démontrer que les premières ne trahissent ni ne permettent a priori de contourner le second.
Le moteur de recherche au coeur du débat
L’origine des craintes en cette matière est souvent associée au très symptomatique arrêt Costeja c. Google Spain (CJUE, 13 mai 2014, C-131/12), qui a, pour l’ensemble de l’Union, qualifié un moteur de recherche comme responsable du traitement consistant dans l’indexation des résultats de recherche, là où la jurisprudence la plus récente (en France du moins) s’est finalement accordée à y voir, sur le versant LCEN, un hébergeur.
Pour rappel, l’article 6-I.2 de la LCEN dispose que :
Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d’un destinataire de ces services si elles n’avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l’accès impossible.
L’alinéa précédent ne s’applique pas lorsque le destinataire du service agit sous l’autorité ou le contrôle de la personne visée audit alinéa.
Sous réserve de la précision d’interprétation apportée par le Conseil constitutionnel dans sa décision n°2004-496 DC du 10 juin 2004 (point 9), ces dispositions peuvent être reformulées comme imposant à l’hébergeur, simple prestataire de stockage de contenus fournis par ses utilisateurs, vis-à-vis desquels il n’exerce aucun contrôle ni aucune connaissance préalable, une obligation de retrait de ces seuls contenus manifestement illicites ou qualifiés comme tels par une décision de justice (voir Hardouin, R. et Aulas, A., “La responsabilité des intermédiaires techniques de l’Internet”, Etude n°464 in Lamy droit des médias et de la communication). Il en résulte pour cet hébergeur une responsabilité dite “limitée” car d’engagement repoussé dans le temps : l’hébergeur n’est jamais responsable a priori du stockage d’un contenu illicite, mais uniquement, a posteriori, d’un défaut de diligence dans le retrait de ce contenu dès lors qu’il avait été mis en connaissance de cause de son illicéité, soit (i) par la présentation d’une décision de justice constatant cette illicéité, soit (ii) par la démonstration de motifs suffisants à établir cette illicéité de façon “manifeste“.
Ce régime, conçu à la fois pour refléter la réalité des pratiques (l’hébergeur, ne fût-ce que pour la viabilité de son modèle économique, n’exerce ni n’a vocation à exercer aucun contrôle préalable sur les contenus qu’il permet de stocker) et pour garantir la liberté d’expression sur Internet (les contenus ne sauraient disparaître de la toile que sur présentation de preuves suffisantes de leur illicéité), oblige ainsi dans la majorité des cas le demandeur à obtenir une décision de justice portant injonction de procéder au retrait du contenu litigieux, tant il est vrai que les hypothèses véritablement indiscutables d’illicéité manifeste sont rares, et que les hébergeurs sont (naturellement) réticents à se faire eux-mêmes juges de cette illicéité. Le droit français a d’ailleurs heureusement prévu un fondement spécifique pour ce type d’actions, en la lettre de l’article 6-I.8 de la LCEN, selon lequel “[l’]autorité judiciaire peut prescrire en référé ou sur requête, à [l’hébergeur] ou, à défaut, [au fournisseur d’accès], toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne“.
C’est très précisément cet équilibre, fondé sur l’intervention en principe d’un juge (le retrait de contenus manifestement illicites, sans décision de justice, ne s’avérant en pratique, on l’aura compris, qu’une exception réservée aux cas les plus extrêmes d’abus de la liberté d’expression), que la réglementation des traitements de données à caractère personnel, selon ses contempteurs, viendrait mettre à mal, dans la mesure où elle fournit un outil alternatif pour obtenir le retrait de certains contenus illicites : le fameux “droit à l’oubli“.
D’abord consacré en la forme d’un droit au déréférencement opposable aux moteurs de recherche, avant que d’être étendu au débit de l’ensemble des responsables de traitement par l’article 17 du GDPR, celui-ci permettrait en somme, selon les partisans de la thèse de “l’impérialisme” toujours, d’exiger d’un hébergeur le bénéfice d’un retrait que la LCEN se serait montrée plus récalcitrante à lui assurer. Exemple paradigmatique : le moteur de recherche, bien que “protégé” sur un flanc par le régime de responsabilité limitée associé à son statut d’hébergeur, serait ainsi d’un autre côté directement responsable, depuis l’arrêt Costeja c. Google Spain précité, de la bonne exécution des obligations du GDPR, et notamment de celle de répondre aux demandes d’exercice du droit à l’oubli.
“Manifestement illicite” contre “motifs légitimes”
Les contenus diffamatoires, notamment, constituent un bon cas d’école (ou d’université, comme c’est le cas de le dire) : infraction prévue par l’article 29 de la loi du 29 juillet 1881, en tant que telle indiscutablement “illicite“, la diffamation consiste, dans un langage propre à la réglementation des traitements de données à caractère personnel, en la diffusion de données “inexactes” à l’origine d’un dommage pour la personne concernée, laquelle pourrait s’en prévaloir comme d’un “motif légitime” pour exercer son droit d’opposition au traitement, puis son droit à l’effacement par application de l’article 17.1.c du GDPR.
Notons au passage, en effet, que l’opposition au traitement (laquelle n’est recevable, hormis dans le cas d’un traitement à fin de prospection commerciale, qu’en tant qu’elle est fondée sur les fameux “motifs légitimes”) n’est que l’un des six cas d’ouverture du droit à l’effacement prévu par l’article 17.1 du GDPR : ce dernier prévoit que l’effacement peut être obtenu lorsque la conservation des données n’est plus nécessaire pour la finalité poursuivie (article 17.1.a), lorsque la personne concernée retire son consentement au traitement (article 17.1.b), lorsque le traitement ne satisfait à aucune condition de licéité prévue par le texte (article 17.1.d), lorsque la loi applicable ordonne l’effacement des données (article 17.1.e), ou enfin lorsque les données concernent un mineur et ont été collectées par le biais d’un service de la société de l’information (article 17.1.f). Ceci étant précisé, l’exercice du droit d’opposition reste néanmoins en principe la voie privilégiée pour obtenir le déréférencement de certains liens auprès d’un moteur de recherche, puisque le traitement consistant dans le référencement n’est pas a priori assorti d’une durée précise de conservation des données, n’est pas fondé sur le consentement de la personne concernée, et sera en général reconnu comme licite dans son ensemble. Les cas d’effacement de données ordonné par la loi applicable ne sont pas à exclure, mais ne suscitent pas en eux-mêmes de difficulté particulière pour les hébergeurs, que la LCEN n’a jamais dispensé de déférer aux injonctions de l’autorité judiciaire ou administrative ; l’effacement des données de mineurs, bien que d’application relativement restreinte, pourrait en revanche, lui, s’avérer épineux, dans la mesure où il ne repose sur aucun critère de “motifs légitimes”.
Ici apparaît donc le noeud du problème, source de toutes les inquiétudes : le droit à l’effacement permettrait de forcer un moteur de recherche, de même que tout hébergeur responsable de traitement, à supprimer certains contenus sur le fondement de simples “motifs légitimes”, notion vague et qu’aucun lien, surtout, ne permet de rattacher à l’exigence d’un caractère manifeste, qui seul, ainsi que décrit ci-avant, permet selon la LCEN d’obtenir le retrait d’un contenu sans ordonnance d’un juge. Autrement dit, dans le cas qui nous occupe : le caractère diffamatoire d’un contenu, alors qu’il ne revêt pas en règle générale un caractère suffisamment manifeste pour permettre d’agir directement sur le fondement de la LCEN, serait à l’inverse assez qualifié, à l’aune des plus faibles exigences du GDPR, pour entraîner l’effacement forcé des données, c’est-à-dire le retrait de ce contenu (dans le cas d’un moteur de recherche : le déréférencement du lien). L’hébergeur se retrouverait ainsi placé dans la situation dont son statut d’intermédiaire technique avait vocation à le préserver : devoir décider seul de la légitimité des motifs avancés par le demandeur, au risque, en cas de refus, d’engager sa responsabilité ; il en résulterait par ailleurs, du point de vue des intérêts collectifs, le risque d’un arbitraire difficilement conciliable avec les impératifs de la liberté d’expression et d’information.
Cette lecture me paraît devoir être corrigée à plusieurs égards. D’abord, les conditions d’exercice du droit à l’effacement, bien qu’effectivement peu précises dans la lettre du texte, ont reçu un éclairage bienvenu, en matière d’activité des moteurs de recherche du moins, au moyen de lignes directrices du Groupe de travail de l’article 29 (G29) : celles-ci clarifient notamment l’appréhension du “motif légitime” lorsque celui-ci consiste dans des faits pénalement qualifiés, en déclinant la compétence des autorités de contrôle telles qu’en France la Commission Nationale de l’Informatique et des Libertés (CNIL) vis-à-vis de telles qualifications ; en pareille situation, l’autorité ne saurait ainsi se substituer au juge pénal, et devrait en principe renvoyer devant ce dernier la personne ayant souhaité exercer son droit à l’effacement. A plus forte raison, puisque ce qu’autorité ne peut, responsable de traitement le peut encore moins, le second ne devrait donc pas être tenu de juger lui-même du bienfondé d’une telle demande – tout comme, hormis face à un contenu manifestement illicite, il est loisible à l’hébergeur, en vertu de la LCEN, de ne pas trancher lui-même, et de s’en remettre à la seule décision d’un juge. L’hébergeur responsable de traitement n’est par conséquent pas plus menacé, en matière de diffamation, par une demande d’exercice du droit à l’oubli que par une demande de retrait du contenu façon LCEN. Cette position est même d’autant mieux assurée qu’elle se reflète, très naturellement, dans le régime de responsabilité prévu par le GDPR, comme avant ce dernier par la loi Informatique & Libertés : le responsable de traitement n’est jamais responsable que d’un non-respect des droits des personnes concernées, en ce compris le droit à l’effacement ; en d’autres termes, sa responsabilité ne saurait être engagée que pour autant que, face à une demande suffisamment qualifiée pour justifier l’effacement des données, il n’a pas donné les suites requises à cette demande – tout comme, ici encore, l’hébergeur, dont la responsabilité ne peut naître que d’un défaut de réponse à une demande de retrait valablement fondée.
Pour le moteur de recherche en particulier, ces conclusions doivent paraître rassurantes – et pour cause : elles confirment que ce cumul, certes contre-intuitif, des deux qualifications d’hébergeur et de responsable de traitement, loin d’entraîner une périlleuse schizophrénie, demeure parfaitement cohérent avec sa position intermédiaire vis-à-vis des contenus référencés ; il n’y aura engagement de sa responsabilité civile et/ou pénale, en somme, qu’à défaut de réponse prompte et satisfaisante face à un contenu répondant de façon flagrante aux qualifications du corps de règles invoqué, ou soumis à ces qualifications par une décision expresse de l’autorité judiciaire. Tel semble bien le sens, en dernière analyse, de l’article 2.4 du GDPR, lequel précise que ce dernier “s’applique sans préjudice de la directive 2000/31/CE [la directive “Commerce électronique”, dont est issue la LCEN], et notamment de ses articles 12 à 15 relatifs à la responsabilité des prestataires de services intermédiaires“. Ajoutons à cela que le législateur européen, à l’instar de la CJUE avant lui, a inséré dans le réglement un certain nombre d’exceptions à l’exercice du droit au l’effacement, au premier rang desquelles “[le] droit à la liberté d’expression et d’information” (article 17.3.a), consolidant ainsi par le texte les conditions d’une mise en balance qui, dans l’application de la LCEN, n’est encore en revanche qu’implicite.
Ni lâche ni justicier : la seule ligne de conduite conforme à l’Etat de droit
Osons d’ailleurs l’affirmer : cette dernière exception en particulier devrait, selon toute vraisemblance si l’objectif est bien d’éviter la justice privée, être comprise comme s’adressant essentiellement au régulateur et non au responsable de traitement, dont on ne saurait exiger, pas plus qu’on ne saurait lui confier, le contrôle non seulement d’une éventuelle qualification pénale, mais encore de la mise en balance du motif légitime qui en découle avec les principes fondamentaux de la liberté d’expression et d’information. Un tel contrôle, qui comme on l’a vu est même perçu par le G29 comme excédant dans certains cas les prérogatives d’une “simple” autorité régulatrice, ressortit à l’évidence à la compétence d’une juridiction étatique, en principe contradictoire, en tous cas seule autorisée à dire le droit.
De ce point de vue, la position prévue pour les intermédiaires techniques ne doit pas être mal interprétée, dans la mesure où elle consiste en une forme de statu quo, ou plus exactement d’épochè vis-à-vis des cas non flagrants : il s’agit non pas de promouvoir la lâcheté ou l’impunité, mais bien d’éviter de placer entre les mains d’entreprises (majoritairement) privées des pouvoirs que, pour des raisons distinctes, ni elles-mêmes ni aucun citoyen raisonnable ne souhaiteraient y voir. La réglementation des traitements de données à caractère personnel, pour tentaculaire qu’elle soit, n’a pas oublié d’être harmonieuse, et encore moins d’être réaliste.