Analyse du droit Français, Européen et Américain sur la e-réputation

droit francais, européen et canadien sur l'e-réputation

L’un des principes du web est le libre-échange des informations entre les utilisateurs. Le web ne connaît pas de frontière. Ainsi, on peut accéder aisément à des informations en consultant aussi bien un site hébergé en France, en Espagne ou aux États-Unis. Viennent alors les questions sur le droit applicable sur Internet et la protection des données personnelles recueillies lors de la consultation de ces sites.

Quelle législation est compétente sur Internet ?

Le droit applicable sur internet est encadré par quatre sources : la loi, la jurisprudence, les contrats et les chartes.

En Europe et en France …

La Loi française pour la Confiance dans l’Economie Numérique (LCEN), du 21 juin 2004, transposant la directive européenne, du 8 juin 2000, pose les bases des règles applicables sur internet en France et en Europe. La LCEN, à travers l’Article 17, précise que « l’activité définie à l’Article 14 [NdR : le commerce électronique] est soumise à la loi de l’État membre sur le territoire duquel la personne qui exerce est établie, sous réserve de la commune intention de cette personne et de celle à qui sont destinés les biens ou services ». En d’autres mots, le droit applicable est celui du pays d’où est édité le site, comme pour Amazon où seul les tribunaux luxembourgeois sont compétents.

Le contrat, l’autre forme d’accord …

Outre les lois, le droit applicable peut également être déterminé dans les contrats. Qu’il s’agisse des mentions légales d’un site, des conditions de vente, d’utilisation, de service, … toutes ces formes de contrats du web peuvent spécifier le droit applicable par le site en cas de litige.

Aux États-Unis …

On retrouve cette procédure notamment aux États-Unis, où le droit applicable est déterminé par les parties, dans le contrat. Cette particularité n’est valable que si la loi applicable est celui de l’État de l’une ou l’autre des parties, ou d’un autre État plus avancé, en matière de loi, que les États respectifs des contractants. C’est le cas, par exemple, du site Wikipédia qui définit les tribunaux du Comté de San Francisco (Californie) comme seule juridiction compétente. Des sites comme Facebook et Google nomment également la juridiction compétente, Californienne dans le cas présent. Ils donnent aussi la possibilité à leurs utilisateurs de recourir aux tribunaux locaux lorsque la loi dudit pays le permet.

Un droit applicable, mais pas toujours …

Le droit applicable peut donc être celui du pays éditeur du site, comme c’est le cas pour les sites européens. Il pourra également être déterminé entre les parties comme pour les États-Unis.

Toutefois, la juridiction compétente définie par les parties, dans un contrat, peut être révoquée par un juge. En effet, lors de son arrêt du 23 mars 2012, la cour d’appel de Pau a débouté Facebook par rapport aux tribunaux compétents pour juger un litige. Le juge a estimé que les tribunaux n’étaient pas identifiés clairement dans les conditions générales d’utilisations du site. Depuis, Facebook a revu son positionnement par rapport à la législation pouvant être compétente.

Du fait de la diversité de législation entre les pays, comment peut-on garantir la protection de nos données personnelles sur internet ?

Protection des données personnelles : droit à la vie privée / droit d’information

La protection des données personnelles est variable en fonction de la législation des pays. Certains prônent le droit à la vie privée, tandis que d’autres favorisent le droit d’information. M. Alex Türk, ancien président de la CNIL a ainsi affirmé : « il y a un fossé abyssal aujourd’hui entre la conception américaine des données personnelles qui sont pour eux des biens marchands et la conception européenne où il s’agit d’attributs de nos personnalités ».

Protection des données en Europe

La notion de protection les données personnelles apparait en 1981 au niveau européen, avec la Convention 108. La législation Européenne, et notamment celle de la France, défend la protection des données personnelles des internautes pouvant faire l’objet d’un traitement automatisé. Dès 1995, la directive du Parlement européen et du Conseil fonde les bases de la protection des données personnelles en Europe. Elle a été abrogée par le Règlement Européen du 27 avril 2016, sur la protection des données personnelles et le droit à l’oubli, qui rentrera en application le 25 mai 2018. L’objectif principal de cette nouvelle réglementation est de « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ». Le respect de la vie privée et la protection des données personnelles sont un droit fondamental majeur en Europe et particulièrement en France, qui va renforcer le droit européen à travers différentes lois.

En France, la notion de la protection de données apparait le 6 janvier 1978, avec la Loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés (dite Loi Informatique et Libertés). Cette notion est renforcée par la Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique. Ce cadre juridique permet de garantir une meilleure protection des données, particulièrement en matière de correspondance numérique ou de droit à l’oubli des mineurs.

Transmission d’information aux États-Unis

A contrario de la politique française ou européenne en matière de protection des données, certains pays ont une vision très différente en la matière. Au lieu de favoriser la vie privée, ils préfèrent valoriser le libre-échange des informations. On ne parle donc plus de droit à la vie privée, mais plutôt de droit à l’information.

Ce principe de droit à l’information est repris par les États-Unis, à travers le Freedom of Information Act (Loi pour la liberté d’information) du 4 juillet 1966, qui favorise la libre circulation de l’information. De plus, les États-Unis n’ont pas d’autorité indépendante pour la gestion de la protection des données. Seule la Commission fédérale du commerce américaine (Federal Trade Commission) peut prétendre avoir autorité en la matière. Mais cette dernière n’est pas, d’une part, spécialisée dans le domaine de la protection des données, et d’autre part, indépendante puisqu’il s’agit d’une agence fédérale. Les lois régissant la protection des données restent spécifiques à certains secteurs : les informations financières, la collecte d’informations des moins de 13 ans…

La conciliation entre vie privée et information

Malgré ces différences de droit, des tentatives d’accords sont mises en place entre la commission Européenne et les autorités américaines. Ces accords permettent la protection des transferts des données personnelles transatlantiques.

Un premier accord est trouvé entre l’ancien et le nouveau continent, le Safe Harbor (sphère de sécurité) créé en 2001. Cet accord permet aux entreprises, établies aux États-Unis, de transférer des données personnelles depuis l’Union Européenne, si elles y ont préalablement adhéré, tout en garantissant une protection équivalente à celles proposée par l’Union Européenne.

Le 6 octobre 2015, l’accord Safe Harbor est invalidé par la Cour de justice de l’Union européenne. La cour estime que les États-Unis ne proposent pas un niveau de protection suffisante des données personnelles envoyées, car les entreprises s’auto-certifient.

Depuis le 1er aout 2016, un nouvel accord entre en vigueur : le Privacy shield (bouclier de confidentialité). Celui-ci reprend les principes de l’accord Safe Harbor, avec la garantie que les États-Unis effectueront des mesures de contrôle efficaces vis-à-vis des entreprises.

Ce dernier accord permet donc de limiter l’utilisation des données provenant de l’Union Européenne et à destination des États-Unis, tout en garantissant une protection des données à caractère personnel au même titre que la réglementation européenne.

Source :

 

Yoann Aparicio

yoann-aparicio-logo

Menu Principal