Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

LEXPOSIA : le droit de la Vie privée et l’e-reputation

décembre 2011 par Emmanuelle Lamandé

Pas un jour ne passe sans que les limites de la vie privée ne soient repoussées sur Internet, notamment sur les réseaux sociaux. L’e-reputation de nombreuses entreprises ou personnes connues se trouve constamment sur la sellette, et peut être ruinée à chaque instant sur ces médias. Que peut-on faire face à ce phénomène ? Quelles sont les précautions à prévoir pour préserver sa e-reputation ? Comment faire retirer un contenu préjudiciable ? Pourquoi la voie pénale reste à ce jour peu utilisée ? Quelles sont les conditions à remplir en cas de transfert des données à caractère personnel en dehors de l’Union européenne ? Autant de questions abordées lors d’une conférence orchestrée par Eric Caprioli, Avocat à la Cour, Caprioli & Associés, société d’avocats, à l’occasion du salon LEXPOSIA.

Réseaux sociaux, entreprises et vie privée

D’un point de vue juridique, les réseaux sociaux sont « des plateformes de communication en ligne permettant à des personnes de créer des réseaux d’utilisateurs partageant des intérêts communs » (Définition du Groupe de « l’article 29 »).

Comme l’explique François Coupez, Avocat à la Cour, associé, Caprioli & Associés, société d’avocats, les réseaux sociaux permettent aux internautes d’interagir, de communiquer, d’échanger, mais aussi bien souvent de se montrer, de se faire connaître et reconnaître. La protection des données à caractère personnel est d’ailleurs quelque peu paradoxale à ce niveau, puisque le fondement même d’un réseau social est d’échanger de l’information.

Les réseaux sociaux forment des images et des réputations numériques (coordonnées, avis, hobbies, connaissance, consommation, profession, avatars, expression, publication…). Une personne peut avoir différentes identités et personnages sur Internet. On parle alors d’hétéronymat. Toutefois, certains méta-moteurs de recherche permettent de plus en plus de faire le lien entre ces différentes informations et ces différentes identités.

Ce phénomène d’agrégat de données peut poser certains problèmes sur la toile, comme par exemple créer une identification à partir d’un mixte de plusieurs homonymes. Cette confusion peut sérieusement porter atteinte à l’image d’un individu, ne serait-ce que pour l’employeur potentiel qui va vous « googliser ».

Toutefois, un réseau social peut aussi s’avérer être un outil marketing pour le candidat, qui peut se créer un profil « parfait » sur le net. D’où l’importance pour un employeur de vérifier les références professionnelles évoquées dans le CV. Mais pas sur les réseaux sociaux professionnels bien sûr, car ceux-ci n’apportent aucune garantie de la véracité de telle ou telle information.

Autre phénomène relatif aux réseaux sociaux : de plus en plus d’individus, de salariés se moquent ouvertement de tierces personnes (clients, collègues…). Est-ce sanctionnable ? Quelle responsabilité pour l’auteur du contenu ? Au mois de novembre 2010, le Tribunal de Prud’Hommes de Boulogne Billancourt a conclu au licenciement de salariés ayant dénigré leur employeur sur Facebook. Une sanction qui démontre que les réseaux sociaux n’ont rien à ce jour de sphères privées.

Concernant le « droit à l’oubli » sur Internet et sur ces réseaux, on se souviendra en 2011 de l’affaire « PagesJaunes », qui a reçu un avertissement public de la CNIL pour avoir aspiré plusieurs millions de profils issus de différents réseaux sociaux. La révision de la Directive européenne évoluera peut-être dans le sens d’un droit à l’oubli, Viviane Reding ayant exprimé sa volonté de créer un droit au retrait du consentement.

Face à ces différents enjeux, un réseau social ne peut se passer, pour lui, d’une expertise juridique, dès l’origine de tout projet, afin de répondre aux différentes interrogations concernant, par exemple, la modération, les droits des auteurs, le contrôle de l’activité…

L’e-reputation en question…

L’e-reputation, c’est l’image d’une personne physique ou morale façonnée par l’ensemble des opinions émises sur les réseaux numériques. Cette évaluation sociale va permettre d’évaluer si vous êtes digne de confiance ou non. Comme l’explique Gérard Haas, Avocat à la Cour, il ne faut toutefois pas confondre « image numérique » et « identité numérique » que le droit ne traite pas de la même manière.

En la matière, les réseaux sociaux peuvent poser des problèmes divers et variés. Injure, diffamation, spam, corruption de mineurs, atteinte à la représentation de la personne, collecte de données à caractère personnel… autant d’atteintes qui peuvent venir ternir votre e-reputation. D’autant qu’il est beaucoup plus facile de mettre un contenu sur Internet que le supprimer. La mémoire est infaillible sur Internet. « Il faut 20 ans pour construire une réputation, 5 minutes pour la détruire » (Warren Buffet).

Le rôle de l’’avocat est se demander comment faire pour effacer cela. Il n’y a pas que les outils techniques. Le droit peut également faire quelque chose, mais cela prend du temps au niveau juridique. Faire disparaître une information en ligne est un processus souvent long et compliqué.

Comment défendre sa e-réputation ?

Pour Maître Haas, il faut dans un premier temps identifier les risques :
 les risques liés à l’information : diffusion de fausses informations, rumeurs, dénigrement, avis négatifs…
 ceux liés à l’identité : détournement de logos, usurpation ou contournement de marque, usurpation d’identité, contrefaçons de marques…
 et les risques techniques : cybersquatting, piratage de site, phishing, vishing, smishing, Flogs/Splogs…

Avant de vous lancer tête baissée dans une quelconque action, vous devez au préalable anticiper, en conservant un maximum d’éléments de trace de l’atteinte. Il peut s’agir d’obtenir une date certaine de publication, mais surtout d’assurer la matérialité des faits en raison de la volatilité du Web. Vient ensuite l’identification de l’auteur des faits illégaux, qui peut être facilitée par l’application de l’article 6-II de la loi pour la confiance dans l’économie numérique (LCEN).

L’article 6-IV de la LCEN vous octroie, quant à lui, un droit de réponse. L’entreprise peut ainsi explicitée sa position au travers d’une communication officielle. Toutefois, il faut rester très vigilant à ce sujet, car le droit de réponse est une arme très difficile et peut s’avérer sans fin.

Enfin, en fonction du type d’atteinte (droit des marques, diffamation, dénigrement, injure, usurpation d’identité…), différentes réglementations s’appliquent, avec pour conséquence des sanctions plus ou moins lourdes.

Atteintes à la vie privée sur Internet : quelle répression pénale ?

En 2010, 1498 atteintes à la dignité et à la personnalité commises sur Internet ont été enregistrées par les services de police et de gendarmerie, soit une hausse de 23% par an, souligne Myriam Quemener, Magistrate. Parmi ces atteintes, 245 étaient relatives aux droits de la personne ou résultant de traitements ou fichiers informatiques (infraction de la loi 1978). Ce chiffre ne reflète toutefois pas la réalité, puisque beaucoup de personnes hésitent encore à porter plainte, craignant pour leur e-reputation.

Un arsenal juridique permet pourtant d’engager la responsabilité pénale de l’auteur d’un faux profil, ou autre, et de mettre en œuvre son droit d’indemnisation pour préjudice. On peut citer, entre autres :
 L’article 226-8 du code pénal, pour tout ce qui porte atteinte à la représentation de la personne,
 L’article 226-15 du code pénal concernant l’atteinte au secret des correspondances ;
 L’article 226-3 du code pénal et l’ordonnance du 24 août 2011 pour ce qui touche à la vie privée ;
 La diffamation et l’injure sont sanctionnées, respectivement par les articles 29 al. 1 et 29 al. 2 de loi de la presse
 Ou encore l’article 226-4-1 du code pénal, créé par la LOPPSI 2, pour ce qui est de l’usurpation d’identité.

Malgré ses limites, l’existence d’une répression pénale a une fonction dissuasive. L’existence du dispositif incite souvent les auteurs potentiels à la prudence. D’ailleurs, l’actualité judiciaire peut avoir une certaine incidence sur les agissements des cybercriminels. Néanmoins le recours à la voie pénale ne doit se faire que s’il n’y a pas d’autres alternatives, si les propos diffamants n’ont pas été retirés après requête par exemple.

L’objectif de cet arsenal juridique est d’assurer une meilleure protection de l’intimité numérique, mais au-delà des réponses pénales, la prévention et la sensibilisation sont également essentielles pour les entreprises et ses acteurs, souligne-t-elle. De plus, l’art de la guerre, c’est avant tout d’anticiper, au travers de mesures de sécurité adaptées (traces, logs…) et d’une bonne organisation. En outre, il faut être bien préparé avant de porter plainte et de s’engager dans une procédure pénale.

Les transferts internationaux de données à caractère personnel

La CNIL a fait son cheval de bataille en 2011/2012 de courser les entreprises qui transfèreraient des données à caractère personnel de manière illégale à l’étranger. Mais de quoi parle-t-on exactement ? Comme l’explique Isabelle Cantéro, Juriste sénior, Caprioli & Associés, société d’avocats, on parle de transfert de données personnelles lorsque des données personnelles sont transférées depuis le territoire européen vers des pays situés en-dehors de l’Union européenne.

Ces transferts sont interdits, sauf :
 Si le transfert a lieu vers un pays reconnu comme « adéquat » par la Commission européenne. C’est le cas du Canada, de la Suisse, de l’Argentine, des territoires de Guernesey, de Jersey et de l’Isle de Man ;
 Si des clauses contractuelles types, approuvées par la Commission européenne, sont signées entre deux entreprises ;
 Si des Règles internes d’entreprises (BCR) sont adoptées au sein d’un groupe ;
 Si dans le cas d’un transfert vers les États-Unis, l’entreprise destinataire a adhéré au Safe Harbor ou ;
 Ou enfin, si l’une des exceptions prévues par l’article 69 de la loi Informatique et Libertés est invoquée.

Toutes les règles prescrites par la loi Informatique et Libertés sont applicables au transfert de données. C’est-à-dire que l’entreprise a pour obligation de respecter le principe de proportionnalité de la collecte des données, de garantir leur sécurité et leur confidentialité, d’y associer un droit d’accès, de rectification… Les entreprises sont également tenues de mettre en place des procédures de durée de conservation des données en fonction des différentes législations. Enfin, le transfert des données hors Union Européenne nécessite au préalable une demande d’autorisation de la CNIL. Des sanctions pénales sont encourues en cas de transferts illicites, selon les Articles 226-16, 226-16 A et 226-22-1 du Code pénal.


Voir les articles précédents

    

Voir les articles suivants