Entre les nouvelles conditions d’utilisation de l’application de messagerie WhatsApp et le bannissement du futur ex-Président américain de la majorité des réseaux sociaux, les modalités d’utilisation des plateformes numériques sont remises en cause.

En principe, chaque site Internet qu’il soit marchand ou non, doit se doter de Conditions générales d’utilisation (CGU). Ce document permet de définir et d’encadrer les modalités d’accès et de navigation du site web, de déterminer les droits et obligations de chaque acteur interagissant sur le site ainsi que les sanctions en cas de non-respects des règles prescrites.

Pour rappel, la rédaction de CGU se fait conformément aux dispositions légales en vigueur et ce contrat est opposable aux utilisateurs à condition qu’ils l’acceptent lors de leur visite sur le site. En général, l’acceptation des CGU est effectuée par l’intermédiaire d’une case à cocher, type   « En cochant cette case, vous certifiez avoir lu et accepté sans réserve les présentes ».

Les modalités d’exercice des plateformes numériques semblent poser un réel problème et notamment au regard des libertés fondamentales des individus. On en constate deux exemples à travers le cas de Twitter et WhatsApp.  

Twitter vs Trump : liberté d’entreprendre vs liberté d’expression ?

Après la suppression ce week-end, d’environ 70 000 comptes propageant les idées du mouvement QAnon (une organisation complotiste pro-Trump), c’est au tour du compte officiel du Président américain de se voir bloqué de façon définitive par Twitter.

Célèbre pour ses tweets chocs, Donald Trump a souvent été rappelé à l’ordre pour ses publications. Cependant en tenant des propos incitant à la violence, qui auraient encouragé l’invasion du Capitole, le 6 janvier dernier, perturbant ainsi la certification de la victoire de Joe Biden, les dirigeants de Twitter ont décidé d’agir. Face à ce nouvel excès, l’oiseau bleu a donc bloqué de façon définitive l’accès du protagoniste à son compte, ce qui a conduit Facebook, Instagram ou encore Snapchat à faire de même en suspendant le compte du président américain.

Cependant, depuis, ces géants d’Internet sont accusés de censure privée. Pour beaucoup et notamment la classe politique française, les GAFAM disposent d’un réel pouvoir leur permettant d’outrepasser leurs droits en contrôlant le débat public et même en restreignant la liberté d’expression, fondement de la démocratie.

En effet, selon le Secrétaire d’État de la transition numérique et des communications électroniques, Cédric O même si l’acte de Twitter paraît justifié, la régulation du débat public ne doit pas dépendre de la seule volonté des plateformes numériques.

« La régulation du débat public par les principaux réseaux sociaux au regard de leurs seules conditions générales d’utilisation alors qu’ils sont devenus de véritables espaces publics et rassemblent des milliards de citoyens, cela semble pour le moins un peu court d’un point de vue démocratique ».

Derrière cette position à l’encontre de Twitter, le secrétaire d’État réaffirme la nécessité d’encadrer l’activité des réseaux sociaux, notamment à travers le Digital Services Act, ce règlement européen qui est actuellement en discussion et que le gouvernement français souhaite transcrire au niveau national dans le cadre du projet de loi « confortant les principes de la République ».

Censure arbitraire ou encadrement de la liberté d’expression de la part des plateformes numériques ?

Pour rappel, les réseaux sociaux tels que Twitter, Facebook ou Google sont considérés comme offrants des services d’hébergement définis à l’article 14 de la directive 2000/31/CE, « directive sur le commerce électronique », ainsi ils mettent à disposition un service consistant à « stocker des informations fournies par un destinataire du service ». En droit interne, l’article 6-I-2 de la LCEN, qui transpose cette directive, définit l’hébergeur comme toute personne physique ou morale qui assure « même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images, de sons ou de messages de toute nature fournis par des destinataires de ces services ». Ainsi conformément à ces dispositions, les hébergeurs ne disposent pas d’une obligation générale de surveillance et ne sont donc pas responsables du contenu posté par leurs utilisateurs.

Néanmoins la jurisprudence et les divers politiques les conduisent à changer de positionnement et à contrôler de plus en plus le contenu qu’ils accueillent. De ce fait, ils disposent d’une obligation minimum de surveillance, qui les oblige à retirer les contenus manifestement illicites qui leur ont été signalés.  (CJUE, 3 oct. 2019, Facebook Ireland Limited c/ Eva Glawischnig-Piesczek, aff. C-18/18 )

Au-delà de cette obligation légale, étant des entités privées, les plateformes numériques ont le droit de modérer les publications faites par leurs utilisateurs au regard de leurs conditions d’utilisation. En effet, il s’agit d’entreprises privées ayant des contrats de droit privé, ainsi même si le réseau social Twitter est un fervent défenseur de la liberté d’expression, en cas de non-respect de ses CGU il s’autorise à restreindre la possibilité d’un utilisateur à user de ses services.

« Nous nous réservons le droit de supprimer tout Contenu qui violerait l’Accord d’utilisation, parce qu’il constituerait – par exemple - une violation de droits d’auteur ou de marques de commerce ou tout autre détournement de la propriété intellectuelle, une appropriation illicite de droits de propriété intellectuelle, une usurpation d’identité, une conduite illicite ou un harcèlement. »

En effet, les réseaux sociaux ont permis la création d’une zone libre et « gratuite » d’échanges entre utilisateurs sur Internet, permettant l’exercice de leur liberté d’expression (article 11 de la Déclaration des Droits de l’Homme et du Citoyen et 10 de la Convention européenne des Droits de l’Homme). Généralement c’est sur ce principe même de liberté d’expression que jouent les plateformes numériques pour offrir leurs services aux internautes. Cependant n’étant pas considéré comme un droit absolu, la liberté d’expression peut être restreinte dans certains cas, notamment :

-          en cas de provocations aux crimes et délits, de diffamation et d’injure (article 23 et s. de la loi sur la liberté de la presse du 29 juillet 1881) ;

-          en cas d’atteintes portées à la vie privée ou à la présomption d’innocence (art. 9 et 9-1 du Code civil).

Il pourrait être donc logique de voir un réseau social user de son pouvoir de modération pour supprimer ou bloquer un contenu contrevenant à une des dispositions légales citées, qui sont pour la plupart reprises dans les CGU de la plateforme numérique.

Outre-Atlantique, les plateformes de la Silicon Valley disposent d’une plus grande liberté dans la modération de leur contenu conformément au texte fédéral section 230 du Communications Decency Act. Alors que l’alinéa c.1 dispose qu « aucun fournisseur ou utilisateur d’un service informatique interactif ne doit être traité comme l’éditeur ou l’auteur d’une information provenant d’un autre fournisseur de contenu informatif ».

Le second alinéa exonère de toute responsabilité, les fournisseurs de « toute mesure prise volontairement et de bonne foi pour restreindre l’accès ou la disponibilité de matériel que le fournisseur ou l’utilisateur considère comme obscène, obscène, lascif, dégoûtant, excessivement violent, harcelant ou autrement répréhensible, que ce matériel soit ou non protégé par la constitution ».

Par conséquent, la suspension du compte du Président sortant par Twitter pourrait de ce point de vue et malgré les contestations, être légitime. 

Mais les opérateurs privés sont-ils légitimes à porter ce type de responsabilité ? S’ils retirent ça ne va pas, s’ils ne retirent pas ça ne va pas … voilà un métier bien compliqué qui doit sans aucun doute composer au regard des évolutions de la société dans laquelle il opère… la liberté d’expression est un droit qui s’apprécie à l’aune du pays, de son histoire, de sa culture …

WhatsApp : de nouvelles conditions dangereuses pour les données ?

À partir du 8 février 2021, les utilisateurs de l’application WhatsApp vont devoir accepter les nouvelles CGU et politique de confidentialité afin d’accéder au service de la messagerie.

En effet, certaines données comme par exemple les noms, numéros de téléphone des utilisateurs et de leurs contacts, photos de profil ainsi que le statut indiquant la dernière connexion, l’adresse IP seront partagées avec les autres entités du géant Facebook, notamment Instagram et Messenger. Le groupe précise néanmoins, que disposant d’une messagerie chiffrée de bout en bout, le contenu des messages c’est-à-dire texte, photos et vidéos, seront exclus de ce partage.

Cette pratique n’est pas nouvelle, car depuis 2016 le partage de ces données entre la maison-mère et la filiale était possible cependant WhatsApp donnait le choix aux utilisateurs de s’opposer ou non au partage de ces informations.

Face à cette annonce un vent de panique a soufflé sur les utilisateurs de l’application, les poussant à télécharger massivement d'autres applications de messagerie afin de préserver la confidentialité de leurs données personnelles. L’application Signal s’est ainsi retrouvée en haut du classement des applications les plus téléchargée en France et dans le reste de l’Union européenne, car elle assure ne partager aucune des données personnelles de ses utilisateurs à l’exception des numéros téléphoniques.

Derrière cette évolution, se cache une réelle volonté économique de monétiser l’application afin que les annonceurs aient la possibilité de contacter leurs clients via la messagerie et même d’y vendre directement leurs produits. En effet, seules les données répondant à un objectif professionnel c’est-à-dire avec des entreprises utilisant l’application tel un moyen de communication avec leurs clients seront soumises à ce partage de données. Néanmoins, chaque utilisateur devra tout de même accepter la nouvelle politique d’utilisation de WhatsApp.

Réel changement pour les citoyens européens ?

Alors que le business des données personnelles des utilisateurs est l’essence même des géants du numérique, le Règlement général sur la protection des données assure la protection de la vie privée des citoyens européens.

Selon le texte européen, le partage de données à caractère personnel est autorisé entre une filiale et sa maison-mère à condition que l’utilisateur en ait été informé mais surtout y consent librement. Alors que l’article 4 du texte européen précise que le consentement doit être « libre, éclairé, spécifique et non univoque », le Comité européen de la protection des données rappelle que « Si le consentement est présenté comme une partie non négociable des conditions générales, l’on considère qu’il n’a pas été donné librement ». En l’espèce, sans acceptation des CGU, pas d’accès à la messagerie pour les utilisateurs.

Ainsi si le consentement n’est pas le fondement juridique utilisé, il semblerait que le groupe Facebook se soit fondé sur l’intérêt légitime pour procéder au partage des données de ses utilisateurs. Pour ce faire il doit trouver un juste équilibre entre ses intérêts au traitement des données et les droits et intérêts des utilisateurs sur les données traitées. C’est ce qui explique qu’une simple demande d’acceptation des CGU est suffisante et qu’en retour WhatsApp ne fournisse pas le service « business » aux personnes n’ayant pas accepté.

Cependant pas sûr, que les autorités de contrôle valident les CGU et on peut s’attendre à une nouvelle opposition entre Facebook et les gendarmes des données personnelles.

En dehors de l’Union européenne et du Royaume-Uni, les utilisateurs WhatsApp seront dans l’obligation d’accepter les CGU et donc le partage de leurs données au sein du groupe Facebook. Ils craignent ainsi la revente de leurs données à des annonceurs publicitaires aux fins de création de profils ciblés.

Il est peut-être là le prix à payer de ces applications « gratuites » … une utilisation en contrepartie de nos données. Si ce n’est certes pas nouveau, l’acculturation constante de la population sur la question du sort des données personnelles commence peut-être à avoir des effets…

Sources :

Conditions générales d’utilisation de Twitter

Conditions générales d’utilisation de WhatsApp

Siècle digital : La suspension de Trump sur les réseaux sociaux soulève une question fondamentale

QueChoisir.org

NextInpact : DSA, plateformes et moteurs : le projet d'amendement du gouvernement

Règlement général sur la protection des données

Directive 2000/31/CE (« directive sur le commerce électronique »)

Loi pour la confiance dans l’économie numérique

CJUE, 3 oct. 2019, Facebook Ireland Limited c/ Eva Glawischnig-Piesczek, aff. C-18/18

Section 230 du Communications Decency Act

Le Comité européen de la protection des données (CEPD) vient de publier son projet de lignes directrices 07/2020 sur le concept de responsable de traitement et de sous-traitant au sens du RGPD.

Ce projet est soumis à une consultation publique jusqu’au 19 octobre 2020.

L’objectif : clarifier les rôles et responsabilités de chaque entité amenée à traiter des données personnelles au sens du RGPD.

L’enjeu : avoir une visibilité sur l'attribution du rôle de responsable de traitement pour garantir la responsabilité « accountability » ainsi qu’une protection efficace et effective des données personnelles.

Des définitions illustrées :

Le responsable de traitement est celui qui détermine les moyens et finalités de traitement :

• Ce rôle peut lui être attribué par voie législative ou réglementaire

Exemple : le droit national du pays A prévoit l'obligation pour les autorités municipales de fournir des prestations sociales telles que des paiements mensuels aux citoyens en fonction de leur situation financière. Afin d'effectuer ces paiements, l'autorité municipale doit collecter et traiter les données relatives à la situation financière des demandeurs. Même si la loi n’indique pas explicitement que les autorités municipales sont les responsables de ce traitement, cela se déduit implicitement de leurs obligations légales.

• Ce rôle peut lui être attribué par des éléments factuels 

Exemple : la société ABC engage un cabinet d'avocats pour la représenter dans un litige. Le cabinet doit traiter des données à caractère personnel liées au litige. Le traitement est justifié par le mandat du cabinet d'avocats pour représenter le client devant le tribunal. Ce mandat n'est toutefois pas spécifiquement destiné au traitement des données à caractère personnel. Le cabinet d'avocats agit avec un degré important d'indépendance, par exemple pour décider quelles informations utiliser et comment les utiliser, et il n'y a pas d'instructions de la société cliente concernant les données personnelles traitées. Le traitement que le cabinet d'avocats effectue pour remplir la mission de représentant de l'entreprise est donc lié au rôle fonctionnel du cabinet d'avocats, de sorte qu'il doit être considéré comme responsable de ce traitement.

Le sous-traitant est une entité distincte du responsable de traitement, qui traite des données pour le compte du responsable de traitement :

• Une entité distincte : un département d’une entreprise ne peut pas être considéré comme tel, en revanche une filiale le peut.

• Pour le compte : le sous-traitant traite des données sur instructions du responsable de traitement ; il ne sert pas ses propres intérêts.

Exemple : Service de taxi

Un service de taxi offre une plate-forme en ligne qui permet aux entreprises de réserver un taxi pour transporter des employés ou des invités à l'aéroport et à l'extérieur. Lors de la réservation d'un taxi, l'entreprise ABC indique le nom de l'employé qui doit être récupéré à l'aéroport afin que le chauffeur puisse confirmer l'identité de l'employé au moment de la prise en charge. Le service de taxi traite les données personnelles de l'employé dans le cadre de son service à la société ABC, mais le traitement en tant que tel n'est pas la cible du service. Le service de taxi a conçu la plate-forme de réservation en ligne dans le cadre du développement de sa propre activité commerciale de fourniture de services de transport, sans aucune instruction de la part de la société ABC. Le service de taxis détermine également de manière indépendante les catégories de données qu'il collecte et la durée de leur conservation. Le service de taxi agit donc en tant que responsable de traitement à part entière, nonobstant le fait que le traitement ait lieu à la suite d'une demande de service de la société ABC.

Exemple : Centre d'appel

La société X sous-traite son assistance à la société Y qui met à disposition un centre d'appel afin d’aider les clients de la société X à répondre à leurs questions. Le service d'assistance aux clients signifie que l'entreprise Y doit avoir accès aux bases de données des clients de la société X. L'entreprise Y ne peut accéder aux données que pour fournir le soutien que l'entreprise X a obtenu et la société Y ne pas traiter les données pour d'autres fins que celles indiquées par la société X. La société Y doit être considérée comme un sous-traitant et un accord de protection des données doit être conclu entre la société X et Y.

L’exigence d’un accord de protection de données

Le CEPD rappelle qu’un accord de protection de données doit obligatoirement être signé entre le responsable de traitement et le sous-traitant au sens du RGPD. Les parties peuvent se reposer sur des clauses contractuelles types (comme celles de la Commission européenne par exemple) pour former leur accord mais peuvent également choisir de négocier toute autre forme librement.

L’accord de protection de données ne devra pas se contenter de reprendre simplement les dispositions du RGPD. Il devra inclure des informations plus spécifiques et concrètes sur le niveau de sécurité requis pour le traitement des données, sur les obligations de chaque partie et sur leurs rôles respectifs en pratique.

Le CEPD recommande vivement aux responsables de traitement de documenter leurs instructions en établissant une procédure en annexe de l’accord de protection de données.

Le cas spécifique de la responsabilité conjointe

Le CEPD recommande aux responsables de traitement conjoints de définir clairement « qui fait quoi ? » afin de déterminer les rôles et responsabilités de chacun en matière de conformité au RGPD. Le but de cette répartition est d’assurer une mise en œuvre effective du RGPD.

Même si le RGPD énonce que la forme de l’accord entre les responsables de traitement est libre, le CEPD recommande de formaliser l’accord par un contrat afin de documenter les rôles et responsabilités de chacun de manière claire, précise et transparente et ainsi d’éviter tout conflit ou contestation ultérieure : qui sera le point de contact pour l’exercice des droits des personnes concernées ? qui sera le point de contact de l’autorité de protection des données ?

En ce sens, le CEPD recommande également aux parties d’inclure des informations générales sur le traitement conjoint, telles que les finalités, la durée de conservation, le type de données, les catégories de personnes concernées.

Pour plus d’informations, n’hésitez pas à parcourir le projet de lignes directrices (disponible uniquement en langue anglaise pour le moment).