Memoire Online - Les réseaux sociaux en ligne et la vie privée

Mémoire de Master 2 professionnel de Droit du Multimédia et de l'Informatique.

SOMMMAIRE

Listedes abréviations............................. .....................................................4
LexiqueFacebook................... ...................................................... ............5
Introduction................................................................................................7

CHAPITRE 1 : La protection des utilisateurs contre l'exploitant du site de réseau social ..13

Section préliminaire : L'entreprise qui exploite un site de réseau social est-elle un responsable de traitement de données à caractère personnel ?.. 14

I Les informations sur les utilisateurs de réseaux sociaux sont des données à caractère
personnel....................................................... ............................................. ......15

A Les données à caractère personnel .............................................................................15

B Les données sensibles.................................. ........................................................15

C L'incertitude sur la qualification de donnée personnelle de l'adresse IP........................ ... .16

Le traitement de données à caractère personnel............... ............................................18

Le responsable du traitement du site Facebook............................... ............................19

Section 1 : L'application incertaine de la loi Informatique et Libertés à Facebook 21

I L'application du critère de territorialité de la loi Informatique et Libertés...................... ...... 21

A Le lieu d'établissement du responsable du traitement............................... ......................22

B Le recours à des moyens de traitement situés sur le territoire français................................. 24

II. La loi Informatique et Libertés doit-elle s'appliquer à tout prix ?~~~~~~~~.~~~~~25

A Les solutions à l'application de la loi Informatique et Libertés ......... 26

B. Le droit applicable aux données à caractère personnel des membres français de Facebook en
l'absence d'application de la loi Informatique et Libertés ................................................. .30

Section 2 : Les atteintes causées par Facebook, violant ses obligations de responsable de traitement ...32

I. L'exploitation des données : le système de ciblage publicitaire............................... ..........32

La publicité ciblée sur Facebook ........................................................................ ....33

L'application de la loi Informatique et Libertés à la publicité ciblée sur Facebook...................35

Les solutions pour encadrer la publicité ciblée sur Facebook........................... ......... .....35

Les textes relatifs au droit à l'oubli .........................................................................38

L'absence de droit à l'oubli sur Facebook.................................................... ..............39

Les solutions permettant l'exercice du droit à l'oubli.............................................. ......40

CHAPITRE 2 La protection des utilisateurs contre les autres membres du site de réseau social . .43

Section I. Les atteintes à la vie privée et à l'image sur les réseaux sociaux . 43

I Les atteintes traditionnelles à la vie privée et à l'image sur les réseaux sociaux................ ... ...44 A L'application des règles ordinaires de protection de la vie privée et de l'image ......... ...... .....44 B. L'application de règles spécifiques de protection de la vie privée et de l'image ......... ............52 II. Les atteintes inédites à la vie privée et à l'image sur les réseaux sociaux ...................... .......54 A. La politique de confidentialité de Facebook ............................................................... 55

B. La libre volonté de la personne de dévoiler sa vie privée..................... .............. ............56

I. La constitution des infractions de presse sur les réseaux sociaux............ .... .......................59

L'élément fondamental aux infractions de presse : la publicité .........................................59

Les éléments spécifiques constitutifs de la diffamation et de l'injure....................................61

II. La répression des infractions de presse sur les réseaux sociaux..........................................66

La détermination de la personne responsable sur les réseaux sociaux...................................66

La prescription des infractions de presse commises sur les réseaux sociaux ................... ......67

LEXIQUE DES TERMES PROPRES AU SITE FACEBOOK

Accueil / Actualité / Home : Page d'accueil, accessible à tout moment en cliquant sur l'onglet en haut à gauche de la page Facebook, sur laquelle est générée une liste de toutes les activités récentes des amis par ordre chronologique.

Ami : personne qui a été acceptée comme tel au terme d'une procédure de demande et d'acceptation. Les amis peuvent voir l'intégralité de leur page respective (sauf si la fonction de blocage a été activée).

Application : logiciel ou fonctionnalité activable dans Facebook, utilisant le plus souvent les données renseignées par l'utilisateur.

Bannière : encart affiché sur les pages Facebook contenant un ou plusieurs messages publicitaires.

Configuration du compte / paramétrage du compte : onglet permettant à tout membre de modifier les paramètres d'utilisation de Facebook, tels que la visibilité de son profil, les informations publiées aux autres utilisateurs, l'activation des systèmes de publicité ciblée, etc.

Fonction recherche : fonction permettant de retrouver une personne inscrite sur Facebook en tapant son nom et prénom dans en encart situé en haut à droite des pages Facebook.

Groupe : groupe de personnes ayant choisies de rejoindre un groupe thématique, possédant son propre profil, et permettant d'envoyer des messages aux adhérents via le système de messagerie interne de Facebook.

Mur / Wall : espace personnalisable faisant partie de la page de chaque membre où peuvent être affichés des messages provenant d'amis (ou de la personne elle-même), des vidéos.

Profil : espace personnel réservé à chaque membre inscrit sur Facebook, accessible après avoir renseigné son identifiant et son mot de passe sur la page d'accueil du site sur lequel se trouve les informations données lors de son inscription, son mur, ses photos.

Réseau / Network : groupe Facebook dont l'adhésion nécessite de suivre une procédure particulière d'authentification, permettant à chaque membre de voir le profil des autres membres du même réseau. Cette procédure d'authentification repose sur une adresse électronique liée à ce réseau quant il s'agit d'un réseau sélectif (université, école, entreprise) mais est totalement libre s'agissant des réseaux géographiques (pays, région, ville).

Statut : courte phrase qu'un membre choisit d'afficher sur son profil et visible sur la page d'accueil de ses amis.

Taguer/Marquer une photographie : indiquer le nom de la personne sur une photographie pour que la personne soit identifiée et sache qu'une photo la représentant a été mise en ligne. Dès que le nom de la personne sur la photographie est indiqué, la photographie est visible sur le profil de la personne concernée.

INTRODUCTION

« Internet est avant tout un espace d'expression humaine, un espace international qui transcende les frontières, un espace décentralisé qu'aucun opérateur ni aucun Etat ne maîtrise entièrement, un espace hétérogène où chacun peut agir, s'exprimer et travailler, un espace épris de liberté»¹. Dans ce rapport datant de 1998, l'urgence de protéger les données personnelles et la vie privée des individus dans l'univers numérique se manifestait déjà.

Dix ans plus tard, cet enjeu de protection se pose avec une acuité grandissante avec le développement des réseaux sociaux en ligne.

Les réseaux sociaux en ligne peuvent être définis comme l'ensemble des sites qui permettent de mettre en relation des personnes (ami, connaissance, collègue,)² rassemblés en fonction de centres d'intérêts communs, comme par exemple les goûts musicaux, les passions ou encore la vie professionnelle³.

Les réseaux sociaux s'inscrivent dans le cadre du web 2.0, terme inventé par Dale Dougherty et popularisé en 2004 pour désigner « la nouvelle génération de site Internet et d'internautes qui utilisent des interfaces permettant d'interagir avec le contenu des pages »4 Le passage au web 2.0, web communautaire et interactif, a multiplié les communautés virtuelles en diversifiant les possibilités de connections entre profils d'internautes et les types d'objets mis en partage.

Les réseaux sociaux se sont imposés en l'espace de 6-7 ans pour constituer aujourd'hui de véritables phénomènes de société puisqu'en décembre 2008 près de 64% des internautes français les consultent, soit plus de 21,7 millions de personnes en France⁵. Le leader des

1 J-F Théry, I. Falque-Pierrotin, « Internet et les réseaux numériques », étude adoptée

4 AJ Pénal n° 3/2009 de mars 2009, Dossier Cybercriminalité : morceaux choisis p. 120.

réseaux sociaux dans l'Hexagone est le site Facebook qui enregistre 12 millions de visiteurs soit une progression de 443% en un an entre décembre 2007 et décembre 2008⁶.

Les jeunes de moins de 18 ans étant grands consommateurs de nouvelles technologies, les sites de réseaux sociaux se sont d'abord tournés vers eux⁷. Ainsi le premier réseau social en ligne, classmates.com lancé en 1995, avait pour finalité de mettre en relation des camardes de classes. Il fut suivi en 1997 par sixdegree.com puis par Friendster en 2002 dont le but était de permettre aux membres de ce site de rester en contact avec leurs amis et de faire de nouvelles connaissances. Le concept de réseau social a été réellement popularisé par l'arrivée du site Myspace en 2002, dans lequel l'utilisateur se crée un espace personnel à son image et partage ses passions avec les personnes qu'il a accepté comme « ami »⁸ pour ce site. Facebook, site de réseau social généraliste d'abord réservé aux étudiants d'universités américaines connait aujourd'hui un succès mondial. En février 2009, le site enregistre près de 175 millions d'abonnés à travers le monde⁹.

Les derniers réseaux sociaux en ligne sont davantage tournés vers des sujets spécifiques tels le sport (par exemple the IPL Fan Club, un réseau social pour les fans de criquet), les passions diverses (The Rising, le réseau social de Steven Spielberg pour les fans de science fiction et de phénomènes paranormaux) ou vers les professionnels (Linkedln, Viadeo en sont des exemples).

Dans « L'ère du vide », le philosophe Gilles Lipovetsky¹⁰ décrit l'avènement d'une société postmoderne, hyper-individualiste dans laquelle l'individu, absorbé par lui-même, personnalise ses objets quotidiens dans le but de se distinguer des autres. Ce livre, écrit dans les années 80, pressentait l'arrivée d'une société à l'individualisme exacerbé par deux grandes

7 F Pisani et D Piotet « Comment le web change le monde : l'alchimie des multitudes » éditeur village mondial, 2008 p.17.

¹⁰ G. Lipovetsky « L'ère du vide : essais sur l'individualisme contemporain », édition Gallimard 1983

tendances¹¹ : un processus de subjectivisation, d'extériorisation de soi oü l'individu se définit plus par ses actions que par son moi intérieur ; et un processus de simulation de soi caractérisé par une tension entre l'identité très réaliste de la personne dans la vie physique et une projection, simulation de soi dans l'univers virtuel (qui aujourd'hui est internet).

Les réseaux sociaux en ligne s'inscrivent dans cette recherche de sublimation de l'image de soi: les profils permettent de sculpter l'image que les personnes souhaitent montrer d'elles méme, l'utilisateur cherchant à gérer l'impression qu'il peut avoir sur les autres. Par des photos, des commentaires laissés sur le profil de ses amis, l'individu recherche l'approbation de ses pairs et se met ainsi en scène¹². Toutefois l'identité numérique est aussi complexe que l'identité dans le monde physique. En effet, nous n'avons pas une identité mais des identités qui sont pléthores/multiples en raison de la variété de nos facettes/humeurs, des situations, des personnes auxquelles nous nous adressons. Cette multiplicité de l'identité se retrouve dans l'espace numérique et est relatif : tantôt très visible, tantôt plus obscur.

Selon Dominique Cardon, sociologue au laboratoire Sense d'Orange Labs, on peut classer les réseaux sociaux selon trois grands types de plateforme en fonction du degré de visibilité que chaque site confère au profil de ses membres¹³ : le réseau social paravent est un réseau ouvert dont le modèle type est le site de rencontre. L'identité de la personne est définie par un certain nombre de critères très objectifs le décrivant mais l'individu ne se dévoile pas réellement et se cache derrière un pseudonyme. La personne ne dévoilera son identité civile qu'après un long processus d'interaction progressifs : d'abord sur le site via sa fiche profil, puis par mail, messagerie instantanée, téléphone et enfin par une rencontre dans la vie réelle. Le réseau social clair-obscur se caractérise par la visibilité de l'intimité, du quotidien, de la vie sociale de la personne mais auprès d'une communauté limitée et connue dans la vie réelle. L'utilisateur n'a pas conscience de s'adresser à l'espace public mais à un petit cercle d'amis. Les tiers n'accèdent que difficilement à la fiche de la personne, soit parce que l'accès est limité, soit parce que l'imperfection des outils de recherche sur la plateforme Internet rendent

11 D. Cardon « Le Design de la visibilité. Un essai de cartographie du web 2.0 » dans la revue Réseaux : Communication,-Technologie,-Société Volume 26 n° 152/2008 p.95 &s.

12 D.Boyd « production d'identité dans une culture en réseau » traduction dans Métamorphoses 21 « Culture numérique, Cultures expressives ».

13 D. Cardon « Le Design de la visibilité. Un essai de cartographie du web 2.0 » dans la revue Réseaux : Communication,-Technologie,-Société Volume 26 n° 152/2008 p.95 &s.

cet accès complexe et difficile. Dans ce type de réseau social, ceux qui se connaissaient déjà dans le monde réel enrichissent, renforcent leur relation par des échanges virtuels qui leur permettent aussi d'entrer en contact avec la nébuleuse des amis d'amis. L'exemple type de ce modèle de réseau social est Skyblog.

Le dernier type de réseau social est le modèle phare qui cumule les deux caractéristiques des modèles précédemment envisagés : les participants rendent visibles de nombreux traits de leur personnalité en donnant des informations sur leurs goûts, leur intimité, leur identité civile (modèle clair-obscur) et leurs profils sont accessibles à tous (modèle paravent). Le but des utilisateurs du modèle phare est de partager des contenus tels que la photo (Flicker par exemple), la vidéo (YouTube par exemple) ou la musique (MySpace par exemple). Les amis sont des moyens de gagner en visibilité sur le site et donc le compteur d'amis est souvent énorme.

Chaque site de réseau social propose donc une politique de visibilité spécifique et cette diversité des visibilités permet aux utilisateurs de montrer sur chaque type de réseau social une partie de leur identité. Toutefois de nouvelles pratiques se développent dans l'univers des réseaux sociaux et font apparaître une interconnexion entre des univers autrefois bien délimités. Facebook est au coeur de cette recomposition puisque les utilisateurs, derrière leur nom propre, mêlent de plus en plus amis, collègues et inconnus.

Facebook s'est propagé à travers le monde à une vitesse impressionnante. Créé en 2004 par un étudiant d'Harvard, Mark Zuckerberg, ce « trombinoscope » (signification du nom Facebook en anglais) était d'abord réservé aux élèves de cet établissement avant de s'ouvrir aux étudiants de grandes écoles ou d'université par vérification de l'adresse électronique de l'étudiant¹⁴. Depuis septembre 2006, le site est ouvert à tous les internautes, ce qui a largement contribué à son succès. Le modèle même du site incite les membres à publier sur le réseau social toujours plus de données, parfois méme sans qu'ils s'en rendent compte : dès l'inscription, le nouvel arrivant est invité à donner des informations sur ses caractéristiques stables et durables (état civil, études, adresse de domiciliation, numéro de téléphone) mais aussi sur ses signes d'identité beaucoup plus mouvants tels que ses opinions politiques, ses préférences sexuelles, ses centres d'intérêts. Il peut également agrémenter son

14 E. Delcroix et A. Martin « Facebook, on s'y retrouve » édition Pearson p 7.

profil d'une photo qu'il pourra modifier ultérieurement par toutes les photos mises en ligne le concernant. Facebook propose des fonctionnalités optionnelles nommées « applications » qui apparaissent à l'affichage de la page de profil de l'utilisateur.¹⁵ Les plus courantes sont la liste de ses amis et des groupes auxquels le membre appartient, un « mur » permettant à ses amis de laisser des messages, vidéos, documents multimédias, un mini-blog nommé « statut » invitant l'utilisateur à décrire son humeur du moment en une phrase qui est visible par tous ses amis. Une boite de réception privée, un chat, une fonction recherche et d'actualité (service permettant de rendre visibles aux utilisateurs et à leurs amis leurs dernières sur Facebook) sont également présents. La politique de confidentialité des données des utilisateurs est minime sur Facebook. Par défaut, les informations publiées par l'utilisateur sur son profil, son mur, sont accessibles à un cercle élargi d'utilisateurs. Il appartient au membre du site de se diriger sur l'onglet confidentialité du site et de décocher les cases relatives aux informations qu'il souhaite ne révéler qu'à ses amis. Les novices des sites de réseaux sociaux apprennent souvent à leurs dépens que les informations qu'ils éditent sont visibles par tous et non uniquement par les personnes de leur liste d'amis.

Pour plus de clarté dans la compréhension des termes propres à Facebook, un lexique de ces termes est disponible au début de ce mémoire.

Un compte Facebook a également été créé spécifiquement afin d'apporter une approche pratique à ce mémoire. Pour y accéder, il vous suffit

- et d'entrer les identifiants et mots de passe suivants dans les champs situés en haut de page :

Le « Panoptique » de Jeremy Bentham, figure architecturale conçue de manière à ce que chaque détenu se trouve dans une cellule d'oü il peut être vu mais d'oü il ne peut voir personne, devient réalité : tout individu peut surveiller les autres utilisateurs du réseau sans qu'ils ne s'en rendent comptent¹⁶. La planète est réduite à la dimension de « village »¹⁷, la

surveillance devient participative. Cette intrusion publique peut être préjudiciable au niveau familial, amical voire professionnel.

Faut-il pour autant éviter les sites de réseaux sociaux ou se désinscrire de ces sites afin de ne rien publier sur internet ?

Le boycott des sites de réseaux sociaux n'est pas la solution. En effet, s'il est essentiel d'éviter de s'exhiber sur internet, de surveiller les éléments de sa réputation numérique, il est également important voire primordial d'avoir une existence numérique, une vitrine. En effet Olivier Zara¹⁸ explique dans un chapitre de son livre consacré à la réputation numérique qu' « Avoir une réputation numérique, c'est être transparent, c'est montrer votre capacité à partager l'information, à exprimer des idées ou des opinions, à utiliser les technologies de l'information qui sont aujourd'hui au coeur de la performance des organisations, et votre sens du risque ou votre esprit d'initiative. » Ne pas figurer sur internet serait maintenant suspect et pourrait être un facteur d'exclusion selon le milieu dans lequel évoluent certaines personnes. En quelque sorte, ne pas être référencé serait encore pire que de l'être. Se pose ainsi le problème de la frontière vie privée, vie publique, qui devient opaque, poreuse.

Ce mémoire, consacré aux réseaux sociaux et aux risques d'atteinte à la vie privée, utilisera Facebook comme principal exemple. Ce mémoire ne recherche pas l'exhaustivité mais analysera les principales atteintes dont peuvent être victimes les membres des réseaux sociaux pour comprendre si le droit en vigueur permet de sanctionner correctement ces atteintes.

En l'absence de jurisprudence sur les atteintes portées par Facebook, il s'agit ici d'identifier les régimes applicables par défaut et de formuler des propositions d'adaptation à ce nouveau représentant du Web 2.0.

Nous aborderons les deux principaux types d'atteintes susceptibles d'être commises sur les sites de réseaux sociaux ainsi que leur protection par le droit positif. L'étude se scindera en deux parties avec, d'une part, la protection des utilisateurs contre l'exploitant du site de réseau social (Chapitre1) et, d'autre part, la protection des utilisateurs contre les autres membres du site de réseau social (Chapitre 2).

17 Expression tirée du livre de M. Mac Luhan « Message et massage, un inventaire des effets » 1968 dans lequel M. Mac Luhan explique que les nouveaux moyens de communication permettent de relier les individus partout dans le monde pour ne devenir qu'un village, un « village planétaire ».

18 O. Zara « Réussir sa carrière grâce au Personnal Branding », chapitre 8 L'impact de notre vie numérique sur notre identité et notre réputation professionnelles éditeur Eyrolles.

Chapitre 1 : La protection des utilisateurs contre
l'exploitant du site de réseau social

Les exploitants des sites de réseaux sociaux pourraient se voir appliquer deux qualifications : celle de responsable de traitement et celle d'hébergeur. Nous aborderons succinctement la qualification d'hébergeur pour mieux nous concentrer sur la qualification de responsable de traitement.

Les sites de réseaux sociaux permettent aux utilisateurs de mettre en ligne toutes sortes de contenus, dont des vidéos. Certains de ces contenus peuvent être protégés par un droit de propriété intellectuelle, de sorte que les ayants droits attaquent les exploitants de sites de réseaux sociaux (tout particulièrement Youtube, Dailymotion qui sont des modèles phare de réseaux sociaux) lorsque des oeuvres dont ils sont titulaires sont mis en ligne. Les sites de réseaux sociaux affirment de leur côté bénéficier de la qualité d'hébergeur au sens de l'article 6-I-2 de la loi pour la confiance en l'économie numérique (LCEN) et jouir ainsi de la responsabilité limitée dérogatoire au droit commun qui en découle. En effet, aux termes de l'article 6-I-7 de la LCEN, les hébergeurs ne sont soumis à aucune obligation générale de surveillance des informations qu'ils transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites. Dès lors, leur responsabilité ne peut être engagée que lorsqu'ils ont pris connaissance de manière effective du contenu illicite, ils n'ont pas agit promptement pour le retirer (article 6-I-2 de la LCEN). Les sites de réseaux sociaux n'étant pas dotés d'un statut légal spécifique, les juges ont du les rattacher à une catégorie préexistante¹⁹, souvent de manière contradictoire, même si depuis peu le régime semble s'être stabilisé. Comme il n'existe aucune décision de justice impliquant spécifiquement Facebook, il convient de se tourner vers les décisions impliquant Myspace, autre site de réseau social, ainsi que Youtube et Dailymotion, qui sont des sites de partage de contenu dont la problématique est identique à celle de Facebook. Les dernières décisions rendues qualifient ces sites d'hébergeur²⁰et, par analogie, en l'état actuel de la jurisprudence, Facebook serait donc qualifiable d'hébergeur. Nous n'entrerons pas plus en détail pour nous intéresser en priorité à la protection des données à caractère personnel.

19 C. Féral-Schuhl « Cyberdroit, le droit à l'épreuve de l'Internet », 5^e édition, p. 799.

20 TGI Paris 10 avril 2009 Zadig productions contre Dailymotion; CA Paris Paris 6 mai 2009 Dailymotion contre Nord Ouest Production et autres, TGI Paris 14 novembre 2008 Jean Yves Lafesse contre Youtube ; TGI Mulhouse 17 mars 2008 Société anonyme d'Économie Mixte Solea contre Youtube ; TGI Paris Ordonnance de référé 09 février 2009 Kimberley P. contre Myspace et autres 09/02/2009.

Après avoir envisagé la qualification d'hébergeur des sites de réseaux sociaux, il conviendra de déterminer si les entreprises exploitant ces sites peuvent se voir imposer la qualité de responsable du traitement de données à caractère personnel ainsi que les obligations en découlant.

La loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés dite loi Informatique et Libertés, a été adoptée en réaction au projet de fichier SAFARI élaboré dans les années 1970. Ce projet gouvernemental avait pour objet d'identifier chaque citoyen par un numéro et d'interconnecter sur la base de cet identifiant tous les fichiers de l'administration. Afin de protéger les personnes physiques contre les dangers de la mémoire informatique, potentiellement perpétuelle en plus d'être réutilisable, et donc susceptible de menacer les libertés individuelles des individus, la loi Informatique et Libertés impose des obligations aux personnes qualifiées de responsable du traitement²¹. Nous démontrerons donc, dans un premier temps, que les exploitants de site de réseaux sociaux sont des responsables du traitement de données à caractère personnel (Section préliminaire). Par voie de conséquence, nous démontrerons dans un deuxième temps que Facebook entre dans le champ d'application territorial de la loi Informatique et Libertés (Section 1). Partant de ce postulat, nous aborderons enfin la protection offerte par la loi Informatique et Libertés aux membres de réseaux sociaux, qui revient à imposer un certain nombre d'obligations à la charge des responsables de traitements (Section 2).

Section préliminaire L'entreprise qui exploite un site de réseau social est-elle un responsable d'un traitement de données à caractère personnel ?

Les principes de base de la loi Informatique et Libertés sont posés dans ses articles 2 et 3. Après avoir rappelé ce que recouvre la notion de donnée à caractère personnel (I), nous identifierons ce que constitue un traitement de données à caractère personnel (II) pour démontrer que la société exploitant le site Facebook est susceptible de se voir reconnaître la qualité de responsable de traitement (III).

21 L'article 3-I de la loi Informatique et Libertés dispose que « Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les dispositions législatives ou réglementaires relatives à ce traitement, la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens».

I Les informations sur les utilisateurs de réseaux sociaux sont des données à caractère personnel

Nous allons nous se demander si les informations des utilisateurs sont des données à caractère personnel (A), voire des données à caractère personnel sensibles (B). La controverse concernant la qualification de l'adresse IP de donnée à caractère personnel sera également abordée (C).

A Les données à caractère personnel

L'article 2 alinéa 2 de la loi Informatique et Libertés, modifiée par la loi n° 2004-801 du 6 août 2004 transposant la directive 95/46/CE du 24 octobre 1995 du Parlement européen et du Conseil relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, définit les données à caractère personnel (ou « donnée personnelle ») comme : « Toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres. Pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès le responsable du traitement ou toute autre personne. »

Avant la réforme opérée par la loi du 6 août 2004, la loi Informatique et Libertés ne visait pas expressément la notion de données à caractère personnel mais celles « d'informations nominatives ». Ce changement terminologique marque un élargissement de la notion puisqu'il permet d'étendre la protection de la loi à la voix et à l'image des personnes concernées²².

Sur Facebook, le candidat à l'inscription doit obligatoirement fournir certaines informations telles que son prénom, son nom de famille, son adresse électronique, son mot de passe, son sexe et sa date de naissance. D'autres informations concernant ses centres d'intérêts, sa formation et ses expériences professionnelles peuvent également être publiées sur son profil lors de l'inscription ou à tout moment. Ces informations étant « des informations relatives à une personne physique identifiée »²³, elles peuvent être qualifiées des données à caractère personnel.

D'autres informations, dites sensibles, sont susceptibles d'être publiées sur Facebook (B).

22 Jurisclasseur administratif, fascicule 274 « Informatique. Traitement de données à caractère personnel » paragraphe 38.

B Les données sensibles

L'utilisateur a également la possibilité de fournir lors de son inscription ou à tout moment des informations très intimes comme sa situation amoureuse, ses préférences sexuelles, ses opinions politiques, sa religion.

Ces informations pourraient être considérées comme des informations sensibles au sens de la loi Informatique et Libertés, dont le traitement est soumis à davantage de restrictions, voire est interdit dans certains cas.

En effet, l'article 8 I de la loi Informatique et Libertés interdit de « collecter ou de traiter des données à caractère personnel qui font apparaître, directement ou indirectement, les origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie sexuelle de celles-ci ». L'article 8 II pose des limites à cette interdiction en fonction de la finalité du traitement.

L'interdiction peut ainsi être levée par le « consentement exprès » de la personne concernée (article 8 II 1°), de sorte que le traitement portant sur ces données dites sensibles sera licite. Cette exception permet de responsabiliser l'individu en lui permettant de consentir à ce que la loi par principe lui interdit²⁴. Le consentement de la personne devient la pierre angulaire de la loi Informatique et Libertés puisque par sa libre volonté, tout individu peut dévoiler toute sa vie privée. Pour savoir si Facebook peut collecter ces données sensibles en ayant recueilli le consentement de ses utilisateurs, il convient d'approfondir cette notion de consentement.

La loi Informatique et Libertés ne précisant pas ce que recouvre la notion de consentement, il est nécessaire de se reporter à la directive du 24 octobre 1995. Le droit français devant être interprété au regard de l'objectif à atteindre de la directive.

L'article 2 (h) de la directive du 24 octobre 1995 définit le consentement comme « toute
manifestation de volonté, libre, spécifique et informée ». Pour être valable, le consentement

24 Cours de Madame A. Lepage de 2008-2009 du Master 2 Droit du Multimédia et de l'Informatique de Paris II.

comprend trois critères cumulatifs que sont la liberté du consentement, la spécificité du consentement et l'information.

On peut considérer que le consentement de l'utilisateur qui fournit de telles informations sur Facebook a été librement donné puisque l'utilisateur du site de réseau social a le choix de délivrer ou non cette information. Le consentement est également spécifique puisqu'il porte sur une question précise et non sur un ensemble de questions, de sorte que l'utilisateur a la possibilité de ne répondre qu'à certaines questions, indépendamment des autres. L'exigence d'information, dernier critère cumulatif, n'est toutefois pas incontestable. En effet, il n'est pas certain que la personne ait été correctement informée des conséquences que la délivrance de cette information pourrait avoir, comme par exemple du fait que cette information serait collectée par le responsable du traitement et puisse être par la suite utilisée pour proposer de la publicité ciblée.

La politique de confidentialité de Facebook, dont la dernière mise à jour date du 26 novembre 2008, précise que « Lorsque vous vous connectez sur Facebook, nous enregistrons le type de votre navigateur et votre adresse IP ».

En dernier lieu de ce I, une incertitude entoure le cas d'enregistrement de l'adresse IP par Facebook : constitue-elle une donnée à caractère personnel ? (C).

C L'incertitude sur la qualification de donnée personnelle de l'adresse IP

L'adresse IP (Internet Protocol) est une «Série de quatre nombres (compris entre 0 et 255) servant à identifier un ordinateur connecté à Internet»²⁵. L'enjeu de la qualification de l'adresse IP comme donnée à caractère personnel est primordial. En effet, si l'adresse IP est une donnée personnelle, sa collecte et son enregistrement seront soumis à l'ensemble des règles édictées par la loi Informatique et Libertés. Lors d'un procès, une personne ne pourrait utiliser l'adresse IP comme moyen de preuve si elle n'a pas préalablement procédé aux formalités de déclaration auprès de la CNIL imposées par la loi Informatique et Libertés. En effet, le traitement de l'adresse IP sans déclaration étant illégal, ce moyen de preuve serait rejeté par le tribunal²⁶.

²⁵AJ Pénal n° 3/2009 de mars 2009, « Dossier Cybercriminalité : morceaux choisis » p. 120. 26 O. Itéanu « L'identité numérique» p.16.

La doctrine et la jurisprudence sont encore divisées sur la qualification de l'adresse IP. Les juges du fond restent réfractaires à la reconnaissance de l'adresse IP comme une donnée à caractère personnel, faisant valoir que l'adresse IP ne permettrait pas d'identifier indirectement des personnes physiques, dans la mesure oü elle ne se rapporte qu'à une machine et non à un individu²⁷.

La Commission nationale Informatique et Libertés (CNIL), ainsi que l'ensemble des autorités de protection des données personnelles européennes, considère que l'adresse IP est une donnée à caractère personnel²⁸ car derrière l'ordinateur auquel est attribué l'adresse IP se trouve un propriétaire qui est donc indirectement identifié.

La Cour de cassation, dans un arrêt du 4 avril 2007²⁹, considère indirectement que l'adresse IP est une donnée à caractère personnel puisqu'elle reconnaît qu'il est nécessaire que la collecte de ce type de donnée ait reçu une autorisation de la CNIL. Si l'on suit la position dominante, il est donc raisonnable de considérer que l'adresse IP constitue une donnée à caractère personnel. Le site Facebook est donc censé déclarer l'enregistrement de ces adresses IP qu'il enregistre, celles-ci constituant un traitement de données à caractère personnel. Le législateur semble suivre la position de la Cour de cassation puisque très récemment, le Sénat s'est prononcé en faveur de la qualification de l'adresse IP comme données personnelle³⁰.

Les informations des utilisateurs constituent donc des données à caractère personnel, voire des données sensibles. Pour que la loi Informatique et Libertés s'applique, ces données doivent aussi faire l'objet d'un traitement (II).

II Le traitement de données à caractère personnel

L'Article 2 alinéa 3 de la loi Informatique et Libertés dispose que « Constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification,

28 Avis n°4/2007, le concept de données à caractère personnel du 20 juin 2007, WP 136. p18.

l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction». L'objectif de la loi est d'inclure dans la notion de traitement la moindre opération effectuée sur les données personnelles.

La politique de confidentialité de Facebook indique qu'il collecte les informations personnelles que l'utilisateur a volontairement choisi de révéler et les données relatives à l'utilisation du site Internet. Le site Facebook indique également qu'il enregistre l'adresse IP de ses membres et qu'il conserve un certain nombre de données sur les utilisateurs³¹. La collecte, l'enregistrement et la conservation d'informations étant comprises dans la notion de traitement, les opérations effectuées sur les données à caractère personnel publiées sur le site Facebook constituent un traitement de données à caractère personnel.

Il reste à déterminer qui est le responsable du traitement auquel il appartient de déclarer le traitement de données à caractère personnel (III).

III Le responsable du traitement du site Facebook

L'article 3-I de la loi Informatique et Libertés dispose que « Le responsable d'un traitement de données à caractère personnel est, sauf désignation expresse par les

dispositions législatives ou réglementaires relatives à ce traitement, la personne, ^l'autoritépublique, le service ou l'organisme qui détermine ses finalités et ses moyens ». Le guide

« Transferts de données vers des pays non membres de l'Union européenne » élaboré par la CNIL en juin 2008 précise que la qualification de responsable du traitement se caractérise par son « autonomie dans la mise en place et la gestion d'un traitement »

En l'espèce, la société exploitant Facebook détermine les finalités et les moyens des traitements des données à caractère personnel qu'elle reçoit des différents pays dans lesquels son site est accessible. La société exploitant Facebook serait donc le responsable du traitement.

31 Extrait de la politique de confidentialité du site Facebook « vous pouvez actualiser votre profil personnel, vos relations, envoyer des messages, effectuer des recherches et envoyer des invitations, créer des groupes, mettre à jour des événements, ajouter des applications, ainsi que transmettre des informations de diverses manières. Nous conservons ces informations afin de vous offrir un service et des fonctions personnalisés. Dans la plupart des cas, nous les conservons ».

Mais cette société est-elle le seul responsable du traitement ? La société exploitant Facebook pourrait affirmer qu'elle offre seulement les moyens du traitement mais ne détermine pas les finalités du traitement. En effet, seul l'utilisateur choisit de publier des données à caractère personnel voire des données sensibles. Il publie ces informations de sa propre initiative et n'est pas obligé de délivrer ces informations. Pour étayer cette argumentation, il est possible de se fonder sur une délibération de la CNIL de 2005 dans laquelle l'autorité a considéré les auteurs de blogs comme des responsables du traitement bien qu'elle les a dispensé de la formalité de déclaration depuis 2005³². Même si la notion de co-responsables du traitement n'est pas prévue par loi Informatique et Libertés, cette notion apparaît à l'article 2 d) de la directive du 24 octobre 1995, qui définit le responsable du traitement comme « La personne physique ou morale, l'autorité publique, le service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les finalités et les moyens du traitement de données à caractère personnel».

Il serait possible de s'inspirer de la décision de la Commission belge de protection de la vie privée (CPVP) qui, dans l'affaire SWIFT, a considéré que les banques au sein de la société Swift formaient une « communauté d'intérêts »³³ ad hoc, qui avait investie la société Swift d'une véritable délégation de fait par défaut. Cette communauté était donc un responsable du traitement. Un raisonnement similaire pourrait être appliqué à la communauté d'utilisateurs du site Facebook. L'adoption de ce type de raisonnement permettrait de responsabiliser les utilisateurs afin qu'ils soient davantage acteurs du sort de leurs données à caractère personnel. Toutefois, on peut valablement penser que seule la société exploitant le site de réseau social sera reconnue comme responsable du traitement, l'objectif de la loi Informatique et Libertés étant la protection des droits et libertés des individus. En outre, reconnaître que les utilisateurs sont également des responsables du traitement poserait de sérieux problèmes d'application de la loi Informatique et Libertés à tous les membres de Facebook. C'est la raison pour laquelle

32 Délibération n°2005-284 du 22 novembre 2005 décidant la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en oeuvre par des particuliers dans le cadre d'une activité exclusivement personnelle.

la CNIL a dispensé de déclaration les auteurs de blogs personnels³⁴, tout en adoptant une recommandation sur la mise en oeuvre de ces sites³⁵.

La mise en oeuvre d'un réseau social peut donc être considérée comme un traitement de données à caractère personnel, opéré par la société exploitant le site de réseau social en tant que responsable du traitement. La qualification de traitement de données à caractère personnel s'appliquant aux réseaux sociaux, le régime de la loi Informatique et Libertés s'applique en conséquence, sous réserve que cette loi soit applicable (Section 1). Ce point est important, car il conditionne l'application de la Loi Informatique et Libertés à la société exploitant Facebook.

Section 1 L'application incertaine de la loi Informatique et Libertés à Facebook

En dehors de l'Espace Economique européen (EEE)³⁶, il n'existe pas de texte international relatif à la protection des données à caractère personnel qui ait une valeur contraignante.³⁷ Cette absence de textes révèle la difficulté de trouver un accord au niveau mondial pour harmoniser les différentes législations et concilier la libre circulation des données avec le respect de la vie privée³⁸. Le responsable du traitement, même établi hors de l'EEE, doit dans certaines hypothèses appliquer la loi Informatique et libertés. La loi Informatique et Libertés telle que modifiée comporte une disposition spécifique permettant de déterminer son champ d'application territorial. Avant la transposition de la directive européenne de protection des données à caractère personnel, la loi applicable était déterminée par le droit international de droit commun, la loi Informatique et Libertés de 1978 ne prévoyant aucune disposition relative à son champ d'application territorial³⁹. La directive a

34 Délibération n°2005-284 du 22 novembre 2005 décidant la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en oeuvre par des particuliers dans le cadre d'une activité exclusivement personnelle.

35 Délibération n°2005-285 du 22 novembre 2005 portant recommandation sur la mise en oeuvre par des particuliers de sites web diffusant ou collectant des données à caractère personnel dans le cadre d'une activité exclusivement personnelle.

36 L'Islande, le Liechtenstein et la Norvège, membres de l'Association Européenne de Libre Echange (AELE) ont du transposé la directive 95/46 dans leur droit national en application des obligations imposées par l'accord sur l'Espace économique européen (EEE) (guide CNIL « Transferts de données à caractère personnel vers des pays non membres de l'Union européenne » de juin 2008 p 14).

37 Les seuls textes internationaux traitant de la question des données personnelles sont les lignes directrices de l'OCDE du 23 septembre 1980, de l'Assemblée générale des Nations Unies du 14 décembre 1990 et des dispositions de l'Organisation du commerce et de l'Organisation internationale du travail.

38 Jurisclasseur administratif, fascicule 274 : Informatique. Traitement de données à caractère personnel pargaraphe .12.

donc introduit une règle de conflit⁴⁰ en la matière. Après avoir envisagé l'application du critère de territorialité relatif de la loi Informatique et Libertés (I), nous nous demanderons si la loi Informatique et libertés doit nécessairement s'appliquer (II).

I L'application du critère de territorialité de la loi Informatique et Libertés

L'article 5-I de la loi Informatique et libertés fixe deux critères alternatifs à son champ d'application territorial : le lieu d'établissement du responsable du traitement (A), ou le recours à des moyens de traitement situés sur le territoire français (B).

A Le lieu d'établissement du responsable du traitement

L'article 5-I-1°de la loi Informatique et Libertés dispose que lorsque le responsable du traitement de données à caractère personnel est établi sur le territoire français, la loi Informatique et Libertés s'applique à ce traitement. Le responsable du traitement de Facebook est situé en Californie, aux Etats-Unis, lieu de son siège social.

La même disposition précise que le responsable du traitement est considéré comme établi en France « dès lors qu'il exerce une activité sur le territoire français dans le cadre d'une installation, quelle que soit sa forme juridique ».

L'article 4 1-a) de la directive du 24 octobre 1995 dispose que lorsque le responsable du traitement est établit sur le territoire d'un Etat membre, le droit de la protection des données à caractère personnel de l'Etat membre s'applique dès lors que le traitement est effectué dans « le cadre des activités d'un établissement du responsable de traitement ».

La notion d'établissement permet de pallier à l'absence de présence physique du responsable de traitement sur le territoire d'un Etat membre. La notion d'établissement sous-entend « l'exercice effectif d'une activité économique au moyen d'une installation stable dans un autre État membre pour une durée indéterminée »⁴¹. Le groupe de travail de l'article 29 dit G29 (groupe de travail établi en vertu de l'article 29 de la directive du 24 octobre 1995 regroupant toutes les autorités de protection des données à caractère personnel de la

40 « Règle de droit législative ou jurisprudentielle qui, tenant compte des liens qu'une situation présente avec plusieurs systèmes juridiques, prescrit l'application à cette situation, ou à tel ou tel de ses éléments, d'un de ces systèmes, de préférence aux autres». , G. Cornu, Dictionnaire de vocabulaire juridique, association Henri Capitant. Quadrige édition PUF 7^e édition.

Communauté européenne.) a précisé dans un avis adopté le 4 avril 2008 WP 148 sur les aspects de la protection des données liées aux moteurs de recherche, que l'établissement doit jouer « un rôle significatif » dans l'opération de traitement en cause. Le raisonnement juridique du G29 s'applique également aux sites de réseaux sociaux. Le G29 relève trois cas d'activité effective lorsque :

« -Un établissement est chargé des relations avec les utilisateurs du moteur de recherche dans une juridiction donnée ;

-un fournisseur de moteur de recherche établit dans un bureau dans un Etat membre qui joue un rôle dans la vente de publique ciblée aux habitants de cet Etat ;

-l'établissement d'un fournisseur de moteur de recherche se conforme aux décisions des tribunaux et/ou répond aux demandes d'application de la loi aux autorités compétentes d'un Etat membre à l'égard des données d'utilisateur»⁴².

Dans un autre avis WP 56 sur l'application internationale du droit de l'UE en matière de protection des données au traitement des données à caractère personnel sur Internet par des sites web établis en dehors de l'UE du 30 mai 2002, le G29 indique que le lieu d'établissement d'une société qui fournit des services par le biais d'un site Internet n'est pas le lieu oü est située la technologie qui supporte son site web ni le lieu d'accès au site web mais le lieu où elle exerce son activité⁴³.

Il faut donc déterminer si des établissements du site Facebook, sont situés sur le territoire d'un État membre et jouent un rôle effectif et réel pour que la loi Informatique et Libertés soit applicable. En l'occurrence, le site societe.com mentionne qu'une entreprise Facebook UK LTD est établie en France sous la forme d'une société étrangère immatriculée au RCS⁴⁴. On ne sait pas si cette société exerce un rôle effectif dans le traitement des données à caractère personnel des utilisateurs français, le site societe.com indiquant seulement qu'elle s'occupe des « portails internet ».

Les tribunaux français interprètent de manière restrictive la notion d'activité effective. Nous
traiterons à plusieurs reprises dans cette section 1 de l'affaire Bénédicte S contre Google car
les faits de l'espèce traduisent la difficulté d'application de la loi Informatique et Libertés à

42 Avis WP 148 sur les aspects de la protection des données liées aux moteurs de recherche adopté le 4 avril 2008.

43 Avis WP 56 sur la protection des données au traitement des données à caractère personnel sur Internet par des sites web établis en dehors de l'UE du 20 mai 2002.

une entreprise américaine dont le siège social est établie en dehors de l'EEE. Dans cette affaire, une internaute demandait l'application des dispositions de la loi Informatique et Libertés à Google Incorporated et à sa filiale Google France. Dans l'ordonnance de référé du Tribunal de grande instance de Paris du 14 avril 2008 Bénédicte S. contre Google⁴⁵, le président du tribunal a décidé que la filiale Google France ne répondait pas aux conditions d'établissement car elle constituait une simple agence commerciale intervenant dans la gestion du service du moteur de recherche.

En l'absence d'indication précise du rôle de la société Facebook UK LTD, on ne peut savoir
avec certitude si la loi Informatique et Libertés serait applicable sur le fondement de l'article

Nous allons donc envisager le deuxième critère alternatif sur le droit applicable au traitement de données à caractère personnel, le critère de localisation des moyens de traitement utilisés (B).

B le recours à des moyens de traitement situés sur le territoire français

L'article 5-I-2° de la loi Informatique et Libertés dispose que ladite loi est applicable dès lors que « le responsable, sans être établi sur le territoire français ou sur celui d'un autre Etat membre de la Communauté européenne, recourt à des moyens de traitement situés sur le territoire français à l'exclusion des traitements qui ne sont utilisés qu'à des fins de transit sur ce territoire ou sur celui d'un autre Etat membre de la Communauté européenne ». Aucune définition du terme « moyen » n'est apportée par la loi Informatique et Libertés. Dans ses avis WP 56⁴⁶ et WP 148⁴⁷ précités, le groupe de l'article 29 considère comme des moyens utilisés sur le territoire français, l'existence d'une base de données, d'ordinateurs personnels, de terminaux ou de serveurs, ou encore l'utilisation de cookies.

En suivant l'avis du G29, les ordinateurs des membres de Facebook pourraient être considérés comme des moyens de traitement. Les ordinateurs des membres français de Facebook étant situés sur le territoire français, la loi Informatique et Libertés serait donc applicable à Facebook.

Toutefois, dans l'affaire précitée Bénédicte S contre Google⁴⁸, le président du Tribunal de grande instance a décidé que le critère des moyens de traitement était inopérant car aucun serveur dédié au service n'était situé sur le territoire français. Le juge n'a pas relevé que les ordinateurs personnels d'internautes français pouvaient être considérés comme des moyens de traitement.

En s'appuyant sur le raisonnement de cette ordonnance, pour que le deuxième alinéa de l'article 5-I de la loi Informatique et Libertés s'applique à Facebook, il serait nécessaire de prouver que l'entreprise exploitant Facebook utilise des serveurs sur le territoire français mais également que ces serveurs ne sont pas utilisés uniquement à des fins de transit. Si certains articles expliquent que la majorité des serveurs de la société Facebook sont implantés aux Etats-Unis⁴⁹, il n'existe en revanche aucune information à l'heure actuelle permettant de savoir si Facebook utilise des serveurs situés en France. En l'absence de démonstration de l'existence de serveurs sur le territoire français, le second critère de l'article 5 de la loi Informatique et Libertés serait inefficace.

Deux possibilités s'offrent donc à nous : soit suivre l'avis du G29, selon lequel les ordinateurs des membres de Facebook sont des moyens de traitement permettant l'application de la loi Informatique et Libertés, soit suivre le raisonnement du président du Tribunal de grande instance de Paris dans l'affaire Bénédicte S. auquel cas seuls les serveurs seront considérés comme des moyens de traitement et la loi Informatique et Libertés ne sera pas applicable à Facebook.

Dans l'hypothèse oü aucun critère d'application territorial de la loi Informatique et Libertés ne serait retenu, Facebook échapperait à l'application de la loi française. La loi Informatique et Libertés doit-elle s'appliquer à tout prix ? (II).

II La loi Informatique et libertés doit-elle s'appliquer à tout prix ?

Le problème majeur en terme de loi applicable à un traitement de donnée personnelle est que « Les lois restent nationales alors que les phénomènes qu'elles doivent appréhender est d'une autre ampleur »⁵⁰. Il existe des moyens juridiques permettant l'application de la loi Informatique et Libertés (A). Toutefois, si aucune des solutions proposées n'est retenue et que

48 Ordonnance de référé du Tribunal de grande instance de Paris du 14 avril 2008 Bénédicte S. c/ Google

50 M. Vivant « Les transferts internationaux de données dans I a I oi de 2004 », RLDI 2005/9, n° 270 p.64-68.

la loi Informatique et Libertés n'est pas applicable, il convient d'envisager la protection dont bénéficierait les données à caractère personnel des membres français de Facebook (B).

A Les solutions à l'application de la loi Informatique et Libertés

Deux solutions sont envisageables pour permettre l'application de la loi Informatique et Libertés : la désignant la loi française comme loi de conflit (1), la reconnaissance de la loi Informatique et Libertés comme loi de police (2).

1) La désignation de la loi française comme loi de conflit

La première solution envisageable à l'application de la loi Informatique et Libertés serait l'application d'une convention internationale qui désignerait la loi française comme règle de conflit. Les délits civils et autres faits juridiques sont généralement régis, soit par la loi du lieu du fait générateur du dommage (lex loci delicti), soit par la loi du lieu du lieu où le dommage est survenu (lex loci damni).

Concernant Facebook, la loi du fait générateur est la loi du lieu de localisation du siège social de l'entreprise, c'est-à-dire la loi californienne, et la loi de réalisation du dommage est la loi Informatique et Libertés si les données collectées sont celles d'un internaute situé sur le territoire français. Si une convention internationale désigne la loi du lieu où le dommage est survenu, les membres français de Facebook pourraient obtenir l'application de la loi Informatique et Libertés.

Le règlement (CE) n°864/2007 du Parlement européen et du Conseil sur la loi applicable aux obligations non contractuelles dit Rome II du 11 juillet 2007 prévoit que la loi applicable est la loi du pays où le dommage survient ou est susceptible de survenir. Une telle règle permettrait d'appliquer la loi Informatique et Libertés à Facebook. .Toutefois, le règlement exclut formellement de son champ d'application les obligations non contractuelles découlant d'atteintes à la vie privée et aux droits de la personnalité⁵¹. En l'absence de convention internationale, il convient d'appliquer le droit commun.

La jurisprudence française considère que l'action en réparation d'un dommage est soumise à
la loi du lieu « où le fait dommageable s'est produit⁵² ». Elle précise que « ce lieu s'entend

aussi bien de celui du fait générateur du dommage que du lieu de réalisation de ce dernier⁵³ ». Le juge bénéficie donc de l'option entre la loi du lieu du fait générateur du dommage et la loi où le dommage est survenu.

Si le juge décidait de recourir à la loi de réalisation du dommage, la loi Informatique et Libertés serait donc applicable. Le droit commun extracontractuel international permettrait donc, dans une certaine mesure, d'obliger les entreprises exploitant les réseaux sociaux à se conformer à la loi Informatique et Libertés dès lors que les réseaux sociaux concernent des internautes situés sur le territoire français.

Plusieurs obligations de la loi Informatique et Libertés sont sanctionnées pénalement aux articles 226-16 et suivants du code pénal. Or, en matière répressive, le principe de la solidarité des compétences législative et juridictionnelle prévoit que la compétence des juridictions françaises détermine l'application de la loi française. Les principales règles de compétence des juridictions pénales françaises sont le principe de territorialité⁵⁴, le principe de la personnalité active⁵⁵ et de personnalité passive⁵⁶. Le principe de territorialité, en vertu duquel toute infraction commise sur le territoire de la République justifie la compétence des tribunaux français et par conséquent l'application de la loi pénale française, constitue le lien de rattachement essentiel. Or, en matière de délits commis sur Internet, les tribunaux français ont une conception large du critère de localisation de l'infraction. Ils considèrent que la possibilité d'accéder depuis le territoire français à un contenu litigieux sur Internet, sanctionné pénalement par la loi française, constitue un critère de rattachement suffisant justifiant la compétence de la loi nationale⁵⁷. On peut reprocher à la théorie de l'accessibilité d'être un critère de rattachement excessif en ce qu'il consacre la compétence universelle des juridictions françaises en matière de délit commis sur Internet⁵⁸, mais cette théorie permettrait d'appliquer à Facebook les obligations prévues et sanctionnés pénalement par loi Informatique et Libertés.

La dernière possibilité consisterait à reconnaître à la loi Informatique et Libertés la valeur d'une loi de police, obligeant ainsi le juge à l'appliquer de plein droit au litige (2).

53 Cass. Civ. 1^e 14 janvier 1997 Gardon, Bull. n° 14 ; 11 mai 1999 Bull. n° 153.

55 Article 113-6 du code pénal : l'auteur de l'infraction est de nationalité française.

56 Article 113-7 du code pénal : la victime de l'infraction est de nationalité française.

57 TGI Paris 13 novembre 1998 UNADIF contre Faurisson cité dans le Jurisclasseur communication fascicule 3000 « conflit de lois et compétence internationale des juridictions françaises », paragraphe 73.

⁵⁸A. Huet, « Le droit pénal international et internet », LPA, 10 novembre 1999 n° 224, p. 39.

2) La reconnaissance de la loi Informatique et Libertés comme loi de police

Selon l'article 3 du code civil, « les lois de police et de sûreté obligent tous ceux qui habitent sur le territoire». Le concept de loi de police est un concept assez flou puisque le texte ne dispense aucun critère sur ce que constituent les lois de polices et ne donne pas de liste indicative de celles-ci. Comme il n'existe pas de définition légale dans l'ordre juridique interne, il est nécessaire de se reporter à la définition de loi de police donnée par la Cour de Justice des Communautés Européennes (CJCE) dans l'affaire C-369/96 du 23 novembre 1999, Arblade⁵⁹ « il convient d'entendre cette expression comme visant des dispositions nationales dont l'observation est jugée cruciale pour la sauvegarde de l'organisation politique, sociale ou économique de l'État au point d'en imposer le respect à toute personne se trouvant sur le territoire national de cet Etat membre ou à tout autre rapport juridique localisé dans celuici ».

Dans l'affaire Bénédicte S⁶⁰, le président du Tribunal de grande instance de Paris a refusé de reconnaitre à la loi Informatique et Libertés le caractère de loi de police au motif que l'application de la loi française ne s'imposait pas sans contestation possible pour la sauvegarde de l'organisation socioéconomique de la communauté nationale.

Tout d'abord, la valeur des données personnelles sur Internet : les données à caractère personnel sont non seulement un moyen d'identification de la personne mais ont également une valeur économique en raison du système de ciblage publicitaire⁶¹. Il est donc important que la loi Informatique et Libertés s'applique pour que ces données soient protégées.

Ensuite, d'autres textes de droit français protégeant les mémes intéréts ont valeur constitutionnelle : l'article 8 de la Convention européenne de sauvegarde des droits de l'Homme et des Libertés fondamentales (CESDH)⁶² relative au droit au respect de la vie privée et familiale, et l'article 9 du Code civil⁶³ relatif au respect de la vie privée. Le Conseil constitutionnel a de plus clairement reconnu la loi Informatique et Libertés comme assurant la

60 Ordonnance de réfóé du Tribunal de grande instance de Paris du 14 avril 2008 Bénédicte S. c/ Google.

61 E. Caprioli « Impunité de Google en matière de vie privée sur le territoire français » CCE n°10, Octobre 2008, commentaire 119.

protection d'un principe à valeur constitutionnelle, la liberté individuelle⁶⁴, qui est elle-même un principe fondamental garanti par les lois de la République⁶⁵.

Par ailleurs, au niveau communautaire, la Charte des droits fondamentaux⁶⁶ et le traité de Lisbonne consacrent expressément le droit à la protection des données à caractère personnel. Vingt deux des vingt sept Etats membres de la communauté européenne ont intégré le droit au respect de la vie privée dans leur constitution. Parmi eux, treize Etats ont déjà reconnu le droit à la protection des données personnelles comme principe à valeur constitutionnelle. L'environnement européen est donc propice à reconnaître à la loi Informatique et Libertés la valeur de loi de police.

Enfin, le président de la CNIL, Alex Türk, s'est prononcé, lors de la présentation du 28ème rapport d'activité de la CNIL en mai 2008, en faveur de l'inscription dans le préambule de la constitution de la protection des données personnelles⁶⁷. Par la suite, Alex Türk et l'ensemble des membres de la CNIL ont réitéré ce souhait de modification du préambule de la constitution souhait en décembre 2008. Un tribunal pourrait donc se fonder sur l'un de ses nombreux arguments et reconnaître, dans un contentieux opposant Facebook à un membre de ce site que la loi Informatique et Libertés est applicable.

L'application de la loi Informatique et Libertés aux données à caractère personnel françaises de Facebook semble donc possible. Les juges français pourraient néanmoins décider de se retrancher derrière l'ordonnance du président du Tribunal de grande instance de Paris et décider que la loi Informatique et Libertés est inapplicable. Dans cette hypothèse, il convient d'envisager la protection dont bénéficieraient les données à caractère personnel françaises (B).

64 Décision n° 2004-499 DC du 29 juillet 2004 Loi relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés.

67 Le Monde du 16 mai 2008 « La CNIL veut inscrire dans la constitution la protection des données personnelles ».

B Le droit applicable aux données à caractère personnel françaises de Facebook en l'absence d'application de la loi Informatique et Libertés

Facebook étant une entreprise américaine dont le siège social est établit en Californie et membre du Safe Harbor, le droit californien et les principes du Safe Harbor lui seraient applicables.

La politique américaine de protection des données à caractère personnel diffère beaucoup de la conception française et européenne : les Etats-Unis n'ont pas adopté au niveau fédéral de loi générale protégeant les données à caractère personnel d'une personne et il n'existe que des lois sectorielles en la matière. S'il est vrai que la constitution de l'Etat de Californie reconnaît expressément le droit au respect de la vie privée⁶⁸, cette garantie n'est pas comparable à la loi Informatique et Libertés⁶⁹.

Pour compenser ce manque de règles protectrices par rapport au droit européen, la Commission Fédérale du Commerce des Etats-Unis (Federal Trade Comission ou FTC) a élaboré le Safe Harbor ou « Sphère de sécurité » qui est une solution d'auto réglementation des entreprises américaines par laquelle les entreprises établies aux Etats-Unis certifient volontairement adhérer à une série de principes relatifs à la protection de données à caractère personnel publiés par la Commission Fédérale du Commerce des Etats-Unis des Etats-Unis⁷⁰.

Les entreprises adhérentes s'engagent à respecter les principes de protection des données à caractère personnel fondés en grande partie sur ceux de la directive du 24 octobre 1995: information des personnes, possibilité de s'opposer au transfert à des tiers ou à une utilisation des données pour des finalités différentes, consentement explicite pour les données sensibles, droit d'accès, sécurité⁷¹.

Dans son article intitulé « Les Safe Harbor Principles-Une protection adéquate ? »⁷², Yves
Poullet met en exergue plusieurs points importants contenus dans le Safe Harbor montrant que

68 Article 1 section 1 de l'Etat de Californie « All people are by nature free and independent and have inalienable right. Among these are enjoying and defending life and liberty, acquiring, possessing, and protecting property, and pursuing and obtaining safety, happiness, and privacy».

69 Experties août-septembre 2008 « Affaire « Bénédicte S. », Variation sur la détermination de la loi applicable à Google » Richard Montbeyre p.296-300.

70 CNIL, guide relatif aux transferts de données à caractère personnel vers des pays non membres de l'Union Européenne juin 2008 p16.

71 Le Monde « Le problème, c'est que ce sont des sociétés américaines » Question à Sophie Tavernier (CNIL) par Cécile Ducourtieux article du 11 novembre 2007.

72 Yves Poullet, « Les Safe Harbor Principles-Une protection adéquate ?», Juriscom.net, 17 juin 2000, texte présenté lors du colloque de l'IFLCA à Paris les 15 et 16 juin 2000.

ce système n'offre pas une protection analogue à celle proposée par la directive du 24 octobre 1995 de la Communauté européenne.

-le champ d'application rationae personae du Safe Harbor, qui ne concerne que les données d'origine européennes, le Safe Harbor ne s'appliquant pas aux données à caractère personnel d'origine américaine. Ce manque d'uniformité peut faire craindre un manque d'effectivité de ce principe, les entreprises américaines devant appliquer une réglementation différente en fonction de l'origine de la donnée⁷³ ;

-l'absence de définition précise des concepts de base tels que la notion de donnée à caractère personnel, de tiers, de consentement ou encore du principe de finalité légitime (qui exige que les données soient traitées pour une finalité déterminée et légitime).

-En outre, le droit d'accès prévu dans le Safe Harbor souffre de nombreuses exceptions⁷⁴.

Malgré la mise en évidence de ces carences de protection, la Commission européenne a adopté une décision d'adéquation le 26 juillet 2000 reconnaissant que les principes du Safe Harbor assurent une protection adéquate pour les transferts de données à caractère personnel⁷⁵.

Facebook est membre du Safe Harbor depuis le 10 mai 2007⁷⁶. Les données des membres français de Facebook, n'étant pas des données d'origine américaine, les données à caractère personnel françaises seraient donc soumises au principe du Safe Harbor.

Si la loi Informatique et Libertés venait à être considérée comme inapplicable, les données à caractère personnel des membres français de Facebook seraient protégées par la loi californienne et par les principes du Safe Harbor. Or, aucun de ces deux régimes n'assure réellement une protection équivalente à la loi Informatique et Libertés.

En raison de l'incertitude quant à l' applicabilité de la loi Informatique et Libertés à Facebook, il est nécessaire qu'une convention internationale relative aux données à caractère personnel, déterminant clairement la loi applicable, soit adoptée. Ce problème a été mis en exergue puisque différentes initiatives voient le jour afin de moderniser la directive

⁷³Yves Poullet, « Les Safe Harbor Principles-Une protection adéquate ?» p.6-7.

74 Yves Poullet, « Les Safe Harbor Principles-Une protection adéquate ?» p.9-10.

communautaire 95/46/CE du 24 octobre 1995 sur la protection des données à caractère personnel et afin d'établir une norme internationale en la matière.

Dans l'hypothèse oü la loi Informatique et Libertés serait applicable aux sites de réseaux sociaux, il convient d'envisager à présent les atteintes causées par l'entreprise exploitant Facebook qui violerait ses obligations de responsable de traitement (Section 2).

Section 2 Les atteintes causées par Facebook violant ses obligations de responsable de traitement

Le chapitre V de la loi Informatique et Libertés énonce les obligations incombant aux responsables du traitement. Les principales obligations sont le droit à l'information de la personne dont les données à caractère personnel ont été collectées⁷⁷, le droit d'accès⁷⁸ et de rectification de ces données⁷⁹. Ces obligations semblent respectées par le site Facebook en ce qui concerne les données personnelles publiées sur le profil de l'internaute. En effet, le membre de Facebook a la possibilité de modifier à tout moment les informations de son profil. Néanmoins, les conditions générales de Facebook stipulent expressément que « l'utilisateur concède une licence à Facebook sur tout le contenu qu'il a apporté ». Cette clause pose deux types de problèmes : d'une part, celui de l'exploitation des données personnelles de l'utilisateur (I); d'autre part, la question de la conservation des données à caractère personnel, le droit américain ne connaissant pas le système européen du « droit à l'oubli »⁸⁰ (II). Nous restreindrons notre étude à ces deux principales atteintes.

I L'exploitation des données : le système ciblage publicitaire

La publicité dite « ciblée » est un mode de marketing publicitaire qui s'est développé il y a une quinzaine d'années et a atteint aujourd'hui son point culminant grace aux possibilités technologiques offertes par Internet. L'annonceur ne cherche plus à attirer le consommateur vers son site mais observe le comportement de l'internaute sur la toile pour lui proposer par la suite des produits en adéquation avec ses centres d'intérêts déduits, par exemple, des sites parcourus.

80 I. Daviaud RLDI mars 2009 n° 47 « Données personnelles : des données personnelles à l'identité numérique » p.90.

Dans son rapport de février 2009 intitulé « la publicité ciblée en ligne », la CNIL relève trois niveaux de publicité ciblée sur Internet⁸¹. La publicité personnalisée classique qui est « choisie en fonction des caractéristiques connues de l'internaute » qu'il a lui méme fourni en s'enregistrant sur un site en ligne; la publicité contextuelle qui est « choisie en fonction du contenu immédiat fourni à l'internaute » c'est à dire en fonction de la page visitée par l'internaute, cette page permettant de se renseigner sur les goûts présumés de l'utilisateur et de produire de la publicité en lien avec le contenu ; et la publicité comportementale qui est « choisie en observant le comportement de l'internaute à travers le temps ». Les sites de réseaux sociaux en ligne s'inscrivent dans cette logique de publicité ciblée. Après avoir analysé le fonctionnement de la publicité ciblée sur Facebook (A), nous verrons si la loi Informatique et Libertés est applicable (B) pour ensuite aborder les diverses solution pour encadrer ce type de publicité (C).

A La publicité ciblée sur Facebook

En offrant un accès gratuit à son service, Facebook utilise en contrepartie les données récoltées sur son site en vue de les analyser à des fins de prospection commerciale. En effet, le modèle économique d'un certain nombre de sites de réseaux sociaux repose sur la commercialisation des données à caractère personnel, l'essentiel de leur financement provenant des revenus publicitaires. Lors de la procédure d'inscription, l'utilisateur doit fournir un certain nombre d'informations détaillées le concernant. A cet égard, les profils offrent une description assez fine des centres d'intérêts des utilisateurs. En outre, les multiples applications proposées par la plate-forme Facebook mais aussi par les tiers développeurs poussent les utilisateurs à révéler spontanément et directement leurs goûts⁸². Toutes ces données, constituent une base de données inestimable sur les goûts des individus, et les annonceurs sont prêts à payer le prix nécessaire pour toucher la cible visée⁸³.

Facebook propose plusieurs types de publicité, dont les deux plus intéressants retiendront notre attention : « Social Ads » (ou « Annonces sociales ») (1) et « Beacon »(2).

82 X.Wauthy. Regard économiques, publication de l'UCL de mai 2008 n°59 « No free lunch sur le web 2.0 ! Ce que cache la gratuité apparente des réseaux sociaux numériques » ;

83 W. J. Maxwell, T. Zeggane et S. Jacquier.CCC n° 6 de juin 2008, étude 8 « Publicité ciblée et protection du consommateur en France, en Europe et aux Etats-Unis ».

Beacon est un système de publicité comportementale qui emploie la logique de recommandation des amis en matière d'achat de service ou de produits. Dès lors qu'un membre de Facebook effectue des achats sur des sites Internet tiers, ces actions (achat, publication d'un avis sur un forum) sont indiquées à ses amis Facebook⁸⁵. Seuls les sites Internet ayant conclu un accord de partenariat avec Facebook bénéficient de cette publicité. Lors de sa présentation en novembre 2007, le système Beacon a été vivement critiqué car il fonctionnait à l'époque selon le système de l'opt-out (c'est-à-dire du consentement présumé de l'internaute). Il appartenait donc à l'utilisateur de décocher la case « Beacon », placée dans la page affichant la politique de confidentialité du site, pour ne pas participer à ce programme. A la suite de nombreuses protestations et d'une pétition signée par 50 000 utilisateurs, dénonçant le caractère intrusif de ce système, la fonction de Beacon a été modifiée un mois plus tard en décembre 2007 et fonctionne désormais sur le système de l'opt-in⁸⁶. A l'heure actuelle, l'utilisateur doit donc donner son accord préalable pour que l'historique de son activité sur les sites marchands partenaires de Facebook soit utilisé par le programme Beacon et soit donc visible par ses amis sur le site de réseau social.

84 CNIL rapport du 9 février 2009 « La publicité ciblée en ligne » de la CNIL p.15.

A coté des avantages considérables que représente la publicité ciblée, qui propose une publicité proche des goûts et intérêts de la personne ciblée, des menaces sur le plan des libertés et du respect de la vie privée existent, telles que le risque de « profilage systématique des internautes, qui plus est, à leur insu, ainsi qu'un risque de marchandisation des profils individuel entre les fournisseurs de contenus et les annonceurs »⁸⁷. Les données collectées à des fins de publicité constituent-elles des données à caractère personnel (B)?

B L'application de la loi Informatique et Libertés à la publicité ciblée sur Facebook

Les fournisseurs de contenus qui affichent les publicités d'annonceurs, tels que les réseaux sociaux, affirment que les données utilisées sont non-identifiantes en ce qu'elles ne peuvent pas être rapprochées de l'identité de l'individu. Le G29, dans son avis WP 136 considérait à cet égard que « la possibilité d'identifier une personne n'implique plus nécessairement la faculté de connaître son identité »⁸⁸. La CNIL en a conclu dans son rapport sur la publicité ciblée en ligne qu'il «est possible de considérer que les données qui sont dans les profils comme l'age, le sexe ou la localisation sont des données à caractère personnel dans la mesure où elles sont liées à cet identifiant »⁸⁹. La CNIL suit ainsi la position retenue par le G29, WP 148 sur les aspects de la protection des données liées aux moteurs de recherche. De ce fait, la CNIL revendique l'application des mesures protectrices de la loi Informatique et libertés aux systèmes de publicité ciblée. La loi Informatique et Libertés serait donc applicable à la publicité ciblée sur Facebook et les membres du site pourraient donc bénéficier des droits qui leur sont reconnus dans cette loi qui sont autant de solutions pour encadrer la publicité ciblée sur Facebook (C).

C Les solutions pour encadrer la publicité ciblée sur Facebook

L'article 7 de la loi Informatique et Libertés dispose qu'un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée pour être mis en place. Les exceptions prévues au même article permettant de passer outre le consentement de la personne ne semblent pas applicables aux réseaux sociaux qui proposent de la publicité ciblée.

87 Rapport du 9 février 2009 « La publicité ciblée en ligne » de la CNIL p. ??

88 Avis n°4/2007, 20 juin 2007, relatif au concept de données à caractère personnel WP 136. p15.

89 CNIL, rapport du 9 février 2009 « La publicité ciblée en ligne » de la CNIL p. 26.

Comme nous m'avons vu dans la section préliminaire, ce consentement doit être libre, spécifique et informé. On constate que les conditions concernant le consentement sur Facebook ne sont pas remplies : en effet, le consentement n'est pas libre car la personne ne peut refuser la publicité ciblée.

Le consentement n'est pas spécifique car la personne ayant adhéré à Facebook n'a pas donné son accord à l'utilisation de ces données à des fins de prospection commerciale.

L'information sur l'utilisation des données à caractère personnel par Facebook à des fins de publicité ciblée n'est également pas respectée. Si la possibilité d'utilisation des données à des fins de publicité ciblée est indiquée dans la politique de confidentialité du site, cette information n'est pas facile d'accès dans ma mesure oü la politique de confidentialité est un document très long et difficilement compréhensible par des non-juristes. De plus, peu de membres de réseaux sociaux lisent les conditions générales et la politique de confidentialité du site ou se soucient de ce qu'il advient de leurs données.

Dans son rapport relatif à la publicité ciblée, la CNIL réclame la mise en place d'une meilleure information de l'internaute. Dans un souci de transparence, les sites de réseaux sociaux devraient clairement indiquer que toutes les informations publiées sur le site sont susceptibles d'être utilisées pour proposer de la publicité ciblée. La mise en place d'une politique de confidentialité accessible et pédagogique serait un moyen d'obtenir le réel consentement des membres de Facebook.

Des dispositions spécifiques relatives à la prospection commerciales par voie électronique sont inscrites dans le code des postes et des communications électroniques. L'article L 34-5 du code des postes et des communications électroniques alinéa 1⁹⁰ prévoit que la prospection commerciale par automate d'appel, par télécopieur ou par courrier électronique à destination de consommateurs est subordonnée à l'accord préalable de la personne démarchée (principe de « l'opt-in »). Comme il s'agit d'une disposition pénale et que le droit pénal est d'interprétation stricte⁹¹, on ne peut a priori appliquer par analogie cette obligation aux bannières publicitaires de Facebook. De ce fait, la prospection commerciale sur Facebook serait donc soumise au principe de l'opt-out c'est-à-dire à la possibilité de s'opposer à l'utilisation des données à des fins de prospection commerciale.

90 Modifié par l'article 10 de la loi n° 2004-669 du 9 juillet 2004 transposant la directive 2002/58 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Ce principe est similaire à celui du droit d'opposition prévu à l'article 38 alinéa 2 de la loi Informatique et Libertés.

Le droit d'opposition n'est pas respecté par Facebook à l'heure actuelle puisque l'utilisateur n'a pas la possibilité de refuser les encarts publicitaires qui sont intégrés aux pages Facebook. La seule possibilité dont dispose l'utilisateur est de cliquer sur la flèche située sous la publicité afin qu'une autre publicité prenne la place de la précédente. Le non-respect du droit d'opposition de la personne dont les données à caractère personnel font l'objet d'un traitement est un délit sanctionné pénalement⁹², et le non respect du principe de l'opt-in de l'article L34- 5 du code des postes et des communications électroniques est puni par une amende de 750 euros par message envoyé. Il conviendrait donc que Facebook prévoit dans sa politique de confidentialité un moyen permettant à l'internaute de s'opposer à cette prospection commerciale.

Pour lutter contre les pratiques irrespectueuses de la loi Informatique et Libertés, La CNIL sollicite l'adoption de codes de bonnes pratiques par les professionnels et d'une procédure de labellisation⁹³. La Commission européenne travaille ainsi depuis 2007 sur le projet de label « Europrise », délivré aux sites respectant la réglementation européenne de protection des données à caractère personnel. De son coté, la Commission Fédérale du Commerce des Etats-Unis a publié un ensemble de principes, reposant sur l'autoréglementation pour encadrer la pratique des publicités ciblées⁹⁴. On y retrouve un certain nombre de principes déjà proposés par la CNIL, comme la transparence dans la collecte des données et dans l'information de l'utilisateur, la possible opposition des consommateurs à l'utilisation de leurs données dans le cadre de la publicité ciblée ou encore la conservation limitée dans le temps des données.

La publicité ciblée et incontournable sur Facebook pose donc un véritable problème dont la résolution appellerait une réponse uniforme au niveau européen.

92 Article 226-18-1 du code pénal : « Le fait de procéder ou de faire procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, [...] est puni de cinq ans d'emprisonnement et de 300 000 € d'amende ».

93 CNIL, rapport du 9 février 2009 « La publicité ciblée en ligne » p. 32.

94 F. Gilbert, gazette du Palais, 24 avril 2008 n°115, p. 17 « Le FTC américain propose des principes pour encadrer la publicité comportementale sur Internet ».

L'autre difficulté importante liée aux réseaux sociaux concerne la conservation des données à caractère personnel (II).

II La conservation des données : le droit à l'oubli

Il convient d'envisager d'abord les textes relatifs au droit à l'oubli (A), pour constater ensuite que ce droit n'est pas respecté sur Facebook (B) et enfin proposer plusieurs solutions pour encadrer ce type de publicité (C).

A Les textes relatifs au droit à l'oubli

L'article 6, 5° de la loi Informatique et Libertés dispose que les données « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées». En application de l'article 6, 5° de la loi Informatique et Libertés, l'État comme les entreprises ne doivent conserver les données personnelles collectées et stockées que pour une durée limitée en adéquation avec la finalité légitime de leur traitement. C'est la raison pour laquelle le principe de conservation limitée des données à caractère personnel est alternativement dénommé « droit à l'oubli », méme si ce terme n'existe pas en tant que tel dans la loi Informatique et Libertés. Le droit à l'oubli peut être défini comme « une limitation dans le temps de la conservation des données à caractère personnel stockées dans la mémoire des ordinateurs»⁹⁵. En effet, en raison des capacités quasi-infinies de la mémoire informatique, permettre une conservation perpétuelle des informations stigmatiserait les individus et les empécherait d'évoluer par rapport aux erreurs du passé. Le plan « France Numérique 2012 », présenté par Eric Besson en octobre 2008 expose l'importance de la protection des données à caractère personnel et, dans son action n° 45, ce dernier insiste sur l'importance du droit à l'oubli et sur l'importance du droit dont dispose l'internaute de garder le contrôle des informations qu'il diffuse⁹⁶.

La loi Informatique et Libertés donne également la possibilité à toute personne faisant l'objet d'un traitement de données à caractère personnel de demander à être radiée d'un fichier dans lequel ses données seraient enregistrées à l'article 40 alinéa 1 : « Toute personne physique justifiant de son identité peut exiger du responsable d'un traitement que soient, selon les cas,

95 Jurisclasseur communication fascicule 4735 Protection des données à caractère personnel --Vie privée et communication électronique de M-P. Fenoll-Trousseau et G. Haas de 2005 p37.

96 Plan « France Numérique 2012 » p. 38, disponible sur www.francenumerique 2012.fr.

rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l'utilisation, la communication ou la conservation est interdite ».

Internet met à l'épreuve ce droit à l'oubli car on constate qu'il est plus facile de diffuser des informations sur Internet que de les enlever définitivement.

Les principes du Safe Harbor, auxquels la société Facebook a adhéré, ne prévoient pas de durée de conservation des données. Il appartient donc à chaque entreprise américaine de fixer elle-même la durée de conservation des données à caractère personnel qu'elle traite. Une entreprise américaine peut même garder indéfiniment des données à caractère personnel car aucune autre législation américaine n'encadre la durée de conservation.

Seule la loi Informatique et Libertés prévoit que les données à caractère personnel doivent être conservées pendant une période limitée proportionnée à la finalité du traitement.

Cette obligation de conserver les données à caractère personnel pendant une durée limitée n'est pas appliquée sur Facebook (B).

B L'absence de droit à l'oubli sur Facebook

Concernant la suppression définitive d'un compte Facebook, la politique de confidentialité mentionne uniquement le droit de résiliation. Lors du processus de désinscription, le membre du site doit obligatoirement indiquer les motifs de résiliation de compte. Toutefois, le compte Facebook n'est pas réellement supprimé mais seulement mis en veille et pourra être réactivé à tout moment par l'ancien membre du réseau social.

Cette difficulté d'effacement total des données du profil, mais aussi des informations secondaires liées à ce profil tels que les commentaires publics publiés sur le site, a été mise en exergue dans de nombreux rapports.

Le rapport n°1 de l'Agence européenne chargée de la sécurité des réseaux et de l'information (ENISA) intitulé « Security Issues and Recommendations for Online Social Network »97 d'octobre 2007 suggère que les réseaux sociaux donnent la possibilité aux utilisateurs d'effacer facilement leur profil ainsi que tout contenu ou information qu'ils ont publiés sur le site.

De même, lors de la trentième conférence mondiale des Commissaires à la protection des
données et de la vie privée, qui réunissaient les autorités homologues de la CNIL de 60 pays

autour de la thématique « Protéger la vie privée dans un monde sans frontières », les 15 et 17 octobre 2007, une résolution sur la protection de la vie privée dans les services de réseaux sociaux a été adoptée⁹⁸. Elle préconise la possibilité pour les membres de réseaux sociaux d'effacer totalement leur profil ou toute information qu'ils ont publiés sur le réseau social.

Il est intéressant de constater que la problématique de la conservation excessive de données à caractère personnel des réseaux sociaux concerne également les moteurs de recherche. Ainsi, dans son avis relatif aux moteurs de recherche, le G29 recommande que les données à caractère personnel enregistrées par les moteurs de recherche soient effacées dès que possible ou que la durée de conservation n'excède pas 6 mois⁹⁹. La même durée de conservation après la fin des relations de l'utilisateur avec Facebook pourrait être appliquée, à savoir une suppression des données à caractère personnel 6 mois au plus tard après que l'utilisateur ait quitté Facebook.

Dans une interview publiée le 14 février 2008, Chris Kelly, le vice président et « chief officer » de Facebook, explique que la suppression seulement temporaire des profils répondrait à l'attente de la majorité des utilisateurs du site¹⁰⁰. Il ajoute que la suppression définitive est possible par l'envoi d'un email à cette fin. Enfin, la société examinerait la proposition européenne de supprimer définitivement les données au bout de 18 mois en cas de désactivation du compte par l'utilisateur.

A l'heure actuelle, un membre du site Facebook ne pourra donc pas exercer son droit de suppression des données à caractère personnel concernant son profil d'utilisateur alors méme qu'il aurait suivi la procédure décrite sur le site pour résilier son compte. Celui-ci devra écrire un courrier électronique à Facebook expliquant qu'il souhaite obtenir la suppression de son compte. Après l'envoi de ce courrier électronique, l'utilisateur devra attendre un certain temps pour que son compte soit réellement désactivé. Ce dispositif n'est donc pas conforme à la loi Informatique et Libertés, puisque la possibilité de suppression des données à caractère personnel n'est pas garantie. Toutefois plusieurs solutions sont d'ores et déjà envisageables

C. Les solutions permettant l'exercice du droit à l'oubli

Si les réseaux sociaux décident de ne pas se conformer aux recommandations des différents organismes étudiés supra (cf. B de ce paragraphe), ces avis n'ayant pas force obligatoire, il existe d'autres solutions pour qu'un réel droit à l'oubli puisse être exercé.

Le plan France numérique 2012 ¹⁰¹ propose que soient adoptées des recommandations au plan européen et international, voire des standards, définissant une durée de conservation maximale des données personnelles détenues par les moteurs de recherche. Il serait opportun que de tels standards de durée de conservation soient adoptés au niveau international pour qu'ils aient une réelle effectivité et qu'ils soient étendus aux réseaux sociaux et donc à Facebook.

Aux Etats-Unis, d'autres pistes sont proposées pour limiter la durée de conservation des données. Viktor Mayer-Schonberger, professeur de droit public à l'université d'Harvard suggère que « les sites web devraient se doter de logiciels capables d'autoprogrammer l'effacement des données à l'expiration d'un délai légal de conservation. Le dispositif pourrait s'appliquer uniformément dans le monde. Dans tous les cas, il faut associer la loi à la technique. »¹⁰². Le moteur de recherche américain Ask.com propose aux internautes ayant navigué sur sa page d'effacer leurs données personnelles en cliquant sur une fonction intitulée « ask eraser ».

Si cette technique permet réellement d'effacer efficacement les données à caractère personnel par un simple click, il serait judicieux que Facebook utilise cette méthode d'effacement des données à caractère personnel pour les personnes ne souhaitant plus être membre de Facebook.

On observe donc que la politique de conservation des données à caractère personnel de Facebook n'est pas pleinement respectueuse des modalités prévues dans la loi Informatique et Libertés et ce particulièrement en ce qui concerne la publicité ciblée et la durée de conservation des données à caractère personnel.

101 Plan « France Numérique 2012 » p. 38, disponible sur www.francenumerique 2012.fr.

CONCLUSION DU CHAPITRE 1

L'étude de l'application de la loi Informatique et Libertés à Facebook a fait apparaître que la société exploitant le site de réseau social est responsable d'un traitement de données à caractère personnel au sens de la loi Informatique et Libertés, mais aussi de la directive 95/46/ CE du 24 octobre 1995. La loi française de protection des données à caractère personnel lui est potentiellement applicable si une application extensive du champ d'application de la loi Informatique et Libertés est reconnue. On constate une différence importante entre les obligations théoriques incombant au responsable de traitement et l'application pratique de ces obligations, un certain nombre de droits reconnus aux utilisateurs des membres du réseau social étant floués. Cette absence de conformité aux principes de protection des données à caractère personnel fait l'objet de discussion au niveau de la commission européenne qui a tenue une conférence à ce sujet les 19 et 20 mai 2009.

D'autres atteintes peuvent intervenir de la part d'autres personnes que le réseau social : les membres du réseau social peuvent voir leur vie privée atteinte par les utilisateurs du même site de réseau social auquel il est inscrit (chapitre 2).

CHAPITRE 2 : La protection des utilisateurs contre
les autres membres du site de réseau social

Les réseaux sociaux sont un espace de communication sur lesquels les membres échangent beaucoup d'informations relatives à leur vie privée. La facilité de publier des informations sur tout et n'importe quoi, associée au sentiment de déconnexion par rapport au monde réel, peut provoquer des abus.

L'apparition d'Internet a démultiplié le contentieux relatif aux abus de liberté d'expression. En 2004, le nombre d'abus de liberté d'expression ont augmenté de 114% et la plupart des infractions sont des diffamations ou des injures¹⁰³. Les internautes, cachés derrière leurs écrans, ont une sensation de totale liberté et n'hésitent pas à exprimer ce que bon leur semble sans avoir conscience des limites juridiques de la liberté d'expression. Méme si à l'heure actuelle on ne recense pas de jurisprudence française spécifique aux abus de liberté d'expression commis sur les sites de réseaux sociaux, ces sites constituent néanmoins un vivier potentiel de contentieux. Nous envisagerons donc l'application de la loi du 29 juillet 1881 sur la liberté de la presse aux sites de réseaux sociaux (Section 2).

La divulgation d'un nombre sans cesse plus important d'informations est susceptible de ne pas concerner que la personne à l'origine de la publication. Ces informations peuvent être des éléments relatifs à la vie privée d'un autre membre du site ou prendre la forme d'une photographie de cet autre membre. Sans forcément le savoir, la personne porte ainsi atteinte à la vie privée et ou à l'image de la personne. Contrairement à la jurisprudence traditionnelle relative à la vie privée ou au droit à l'image, l'auteur de l'atteinte n'est pas un journaliste et la victime n'est pas nécessairement une célébrité. Il convient donc d'envisager les atteintes aux droits de la personnalité (Section 1).

Section 1 Les atteintes à la vie privée et à l'image sur les réseaux sociaux

Les atteintes dont peut être victime un membre d'un réseau social sont de deux types. Un tiers peut révéler sur un site de réseau social un aspect de la vie privée d'un membre de ce réseau que ce dernier ne souhaitait pas divulguer. Un tel préjudice n'est pas nouveau en soi et le droit sanctionne ces atteintes commises sur les supports traditionnels. On envisagera donc les atteintes traditionnelles à la vie privée réalisées sur les réseaux sociaux (I). Un membre de réseau social peut également être victime d'une divulgation relative à sa vie privée dont il est

103 Cours de Madame A. Lepage de 2008-2009 du Master 2 Droit du Multimédia et de l'Informatique de Paris II.

lui-méme à l'origine. En effet, les membres des réseaux sociaux dévoilent des aspects très importants de leur vie intime qui peuvent leur porter préjudice aussi bien dans leur vie personnelle que professionnelle. Ces atteintes particulières, inédites jusqu'à présent, seront étudiées (II).

I Les atteintes traditionnelles à la vie privée et à l'image sur les réseaux sociaux

Les atteintes traditionnelles à la vie privée et à l'image peuvent être résolues par deux séries de règles : les règles ordinaires de protection de la vie privée et de l'image applicables sur tous les supports (1) mais également par des règles spécifiques au support de diffusion qu'est Internet (2).

A. L'application des règles ordinaires de protection de la vie privée et de l'image Le droit à la vie privée et à l'image sont des droits de la personnalité. Les droits de la

personnalité peuvent être définis comme « les droits inhérents à la personne humaine ^quiappartiennent de droit à tout personne physique (innés et inaliénables) pour la protection de

ses intérêts primordiaux »¹⁰⁴ La notion de droits de la personnalité est assez récente. En effet, l'apparition de la protection de la vie privée a été introduite dans le code civil à l'article 9 dudit code par la loi du 17 juillet 1970¹⁰⁵. Nous envisagerons tout d'abord la protection civile de la vie privée et de l'image (a) puis leur protection pénale (b). Dans cette partie ne seront abordés que les aspects extrapatrimoniaux des droits de la personnalité des personnes majeures sur Facebook, (les personnes victimes d'atteinte aux droits de la personnalité dans les réseaux sociaux étant majoritairement des personnes lambda.)

1) La protection civile de la vie privée et de l'image sur Facebook

Nous verrons successivement le droit au respect de la vie privée (a) et le droit à l'image (b) sur Facebook.

a/ Le droit au respect de la vie privée

La vie privée est un droit fondamental reconnu dans de nombreux textes nationaux et internationaux.

Au niveau national, l'article 9 alinéa 1 du code civil dispose que « Chacun à droit au respect
de sa vie privée ». Le Conseil Constitutionnel, par une décision n° 99-416 DC datant du 23

104 Définition du dictionnaire Vocabulaire juridique de l'Association Henri Capitant, édition PUF, 7^e édition.

juillet 1999, a considéré que le droit à la vie privée était une composante de l'article 2 de la Déclaration des Droits de l'Homme et du Citoyen. Il lui a donc reconnu une valeur constitutionnelle.

Au niveau international, deux textes importants protègent la vie privée. Tout d'abord, l'article 12 de la Déclaration Universelle des Droits de l'Homme adoptée par l'Assemblée générale des Nations Unies le 10 décembre 1948 prévoit que « nul ne fera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteinte à son honneur ou à sa réputation ». Ce principe a été repris et détaillé à l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales (CESDH) adoptée le 4 novembre 1950 et ratifiée par la France le 3 mai 1974 selon lequel « toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance ». Si le premier des deux textes n'a qu'une valeur déclarative, le second a force obligatoire et peut être directement invocable par les particuliers lors d'un procès¹⁰⁶. On remarque donc le souci qu'ont les différentes organisations internationales de vouloir protéger la vie privée.

Ces textes s'appliquent aux atteintes au droit à la vie privée commises sur Internet en raison du principe de neutralité technologique. En vertu de ce principe, issu des travaux de la Commission des Nations Unies pour le droit commercial international (CNUDCI), aucune discrimination ne doit être faite dans l'application du droit selon le support technologique utilisé. Les solutions proposées par la jurisprudence pour les atteintes commises sur support papier ont vocation à s'appliquer aux atteintes qui se sont produites sur Internet et donc sur les réseaux sociaux. Ainsi la diffusion sur un site Internet d'un article consacré à la vie familiale et sentimentale d'un chanteur a été considérée comme portant atteinte à sa vie privée et à son droit à l'image¹⁰⁷.

Le droit au respect de sa vie privée signifie que toute personne est en droit de garder secrètes les informations concernant sa vie privée et donc de s'opposer à toute révélation la concernant. Comme la personne est maître de ses révélations, elle peut donc a fortiori décider quelles informations relatives à sa vie privée elle souhaite divulguer. Appliquées à Facebook, ces règles signifient que seul un membre du réseau social a le droit de divulguer sur le site des informations relatives à sa vie privée.

107 TGI Paris référé 2 avril 2008, RLDI 2008/37 n° 1145, observations L. Costes

L'article 9 du code civil ne précisant pas quelles informations constituent des informations privées, les tribunaux ont du déterminer le contenu de la sphère privée. Un inventaire exhaustif de ces éléments n'étant ni possible (les informations étant très nombreuses et ayant variées dans le temps), ni le sujet de ce mémoire, il est préférable d'analyser les informations postées sur les réseaux sociaux qui pourraient être protégées par le droit à la vie privée. Les informations susceptibles d'être protégées sur les réseaux sociaux sont diverses : la vie affective¹⁰⁸, l'adresse du domicile d'une personne¹⁰⁹, l'état de santé¹¹⁰, l'image de la personne¹¹¹, la religion¹¹², la vie familiale¹¹³. La notoriété de la personne titulaire du droit au respect de la vie privée est indifférente à l'application du texte.

L'atteinte à la vie privée ne nécessite pas la réunion des trois éléments de la responsabilité civile de l'article 1382 du code civil qui sont une faute, un préjudice et un lien de causalité. Depuis un arrêt rendu par la première Chambre civile de la Cour de cassation le 5 novembre 1996¹¹⁴, réaffirmé à plusieurs reprises depuis, « la seule constatation de l'atteinte à la vie privée ouvre droit à réparation ».

Le droit à la vie privée peut entrer en conflit avec la liberté d'expression prévue à l'article 10 de la CESDH et être limité par celle-ci. Ces deux droits ayant une valeur normative identique, il appartient aux tribunaux de déterminer selon le cas d'espèce lequel des deux droits doit prévaloir sur l'autre. La solution sera fonction des circonstances, les juges devant mettre en balance les différents intérêts invoqués. Néanmoins, la jurisprudence a dégagé trois critères généraux permettant de passer outre le consentement de la personne.

Le premier critère susceptible d'être mis en oeuvre est l'information du public ou la contribution à un débat d'intérêt général. Si la vie privée d'une personne est impliquée dans un événement d'actualité, ou si la révélation d'informations intimes contribue à un débat d'intérêt général, l'importance de l'information légitime la divulgation de sa vie privée. Par exemple, la Cour de cassation a jugé que la révélation de l'appartenance à la francmaçonnerie d'un certain nombre d'élus d'une municipalité était licite car la révélation

s'inscrivait dans le contexte d'une actualité judiciaire et permettait l'information du public sur un débat d'intérêt général¹¹⁵. Appliqué à Facebook, ce moyen de défense a peu de chance de prospérer étant donné que les membres victimes de révélations sont généralement des personnes anonymes. La personne à l'origine de la divulgation aura la difficile tâche de prouver que l'information qu'elle a publiée participe soit à un débat d'intérêt général, soit que l'élément divulgué sur la vie privée de la personne est un événement d'actualité.

Le caractère anodin de l'information divulguée chasse également l'atteinte au respect de la vie privée. La révélation de la grossesse d'une princesse a par exemple été considérée comme licite car anodine¹¹⁶. Ce critère est difficile à manier car très subjectif, ce qui est anodin pour une personne peut ne pas l'être pour une autre. Ce critère joue également pour les personnes anonymes et les personnes vulnérables telles que les mineurs mais seulement s'ils sont impliqués dans un fait d'actualité¹¹⁷. En effet, pour faire sortir la révélation de la sphère privée, il faut que le public ait un intérêt à connaître cet élément¹¹⁸. Sur Facebook, le prévenu devra donc non seulement prouver que l'intéressé est concerné par un événement d'actualité mais également que l'élément dévoilé est bénin.

Enfin, les faits déjà rendus publics sortent de la sphère privée de la personne et peuvent être librement divulgués¹¹⁹. La personne ayant donné son autorisation à la révélation ne peut pas à l'heure actuelle bénéficier automatiquement du droit à l'oubli¹²⁰. Le droit à l'oubli n'est plus qu'un argument parmi d'autres que le juge prendra en considération dans la balance des intérêts en jeu¹²¹. Seules les circonstances de l'espèce peuvent conduire les juges à estimer que la rediffusion de ces informations est fautive. Sur Facebook, si une personne rappelle des faits déjà divulgués, elle pourra bénéficier de cette exception. Toutefois, comme les propos sur Facebook peuvent constituer des données à caractère personnel, (cf. infra B 2), la loi Informatique et Libertés pourrait diminuer la force de cette exception.

118 Cass. Civ. 2^e 25 novembre 2004 ; D. 2005 p. 2643, A. Lepage, L. Marino, C. Bigot.

119 Cass. Civ. 2^e 3 juin 2004; D. 2005 p. 2643, A. Lepage, L. Marino, C. Bigot.

120 Cass. Civ. 1 20 nov. 1990, JCP 1992. II. 21908, obs. Ravanas : arrêt rendu à propos du rappel, dans un livre, d'une condamnation pénale. A cette occasion, la Cour de cassation a refoulé le droit à l'oubli comme règle générale du droit.

121 T. Hassler « Droits de la personnalité : rediffusion et droit à l'oubli » D. 2007 p. 2829.

Toutes ces exceptions s'appliquent sous réserve du respect de la dignité de la personne humaine¹²². Une image ou des propos choquants diffusés sur Facebook seraient donc sanctionnés pour atteinte à la vie privée sans que l'auteur des propos ou de l'image ne puisse valablement invoquer la liberté d'expression.

L'atteinte à la vie privée sur les réseaux sociaux est souvent réalisée par la mise en ligne d'une photographie pour laquelle la personne représentée n'a pas donné son consentement. Cette atteinte au droit à l'image doit donc être abordée (b).

b/ Le droit à l'image

La protection civile de l'image est une création prétorienne fondée sur l'article 9 du code civil. Dès 1982, la Cour d'appel de Paris affirme que « le droit au respect de la vie privée permet à toute personne, fut-elle artiste du spectacle, de s'opposer à la diffusion, sans son autorisation expresse, de son image, attribut de sa personnalité »¹²³. Le droit à l'image permet à toute personne de s'opposer à la reproduction et à la diffusion de son image sans autorisation. Pour que la personne puisse bénéficier de cette protection, elle doit être identifiée ou identifiable¹²⁴, le droit à l'image ayant pour principale finalité d'assurer la protection de l'identité physique¹²⁵.

Les règles de droit commun s'appliquent de la méme manière lorsque l'atteinte à l'image a
lieu sur Internet : l'article 9 du code civil s'applique indifféremment au support sur lequel est
publié l'image. Cette neutralité technologique a été très tôt consacrée par la

jurisprudence dans les affaires Estelle Halliday¹²⁶ et Lynda Lacoste¹²⁷ : sauf ^nécessitéd'information du public, l'autorisation de la personne doit toujours être recueillie pour diffuser une information la concernant ou une photographie la représentant.

Sur Facebook, il est possible de « taguer » (« marquer » dans la version française de Facebook) une personne c'est-à-dire d'indiquer son nom sur une photographie pour que la personne soit identifiée et reçoive une notification sur la mise en ligne d'une nouvelle photographie la représentant. Dès que le nom de la personne sur la photographie est indiqué,

124 Cass. Civ. 1^e 21 mars 2006 ; D. 2006 p. 2702, A. Lepage, L. Marino, C. Bigot.

126 CA Paris 10 février 1999 ; CCE 2000 commentaire n° 34, observations R. Desgorces.

127 CA Versailles 8 juin 2000 ; CCE 2000 commentaire n° 81, observations J-C Galloux.

la photographie est visible sur le profil de la personne concernée. 27% des 18-24 avouent avoir publié des informations ou des photos de personnes sans leur consentement¹²⁸. La seule possibilité offerte à la personne est de supprimer son nom de la photo. La politique de confidentialité du site Facebook encourage les personnes à régler entre elles leur problème¹²⁹ et refuse d'intervenir si la photo n'est pas choquante¹³⁰. Il serait souhaitable que le site Facebook empéche de marquer si la personne sur la photo n'a pas préalablement donné son consentement. Si le membre à l'origine de la publication de la photo refuse de retirer la photographie du site, le recours à l'intervention judiciaire pour violation du droit à l'image sera l'unique solution.

La jurisprudence a une conception très protectrice du droit à l'image. L'autorisation de la personne photographiée doit être expresse et spéciale, c'est-à-dire qu'elle doit préciser chaque mode de diffusion¹³¹. L'autorisation est strictement interprétée par les tribunaux et toute image utilisée en dehors du cadre de l'autorisation constitue une violation du droit à l'image de la personne¹³². Contrairement au droit à la vie privée, où un fait déjà divulgué ne peut plus constituer une atteinte à la vie privée¹³³, l'image rendue publique ne peut pas être réutilisée sans l'autorisation de la personne¹³⁴. L'image bénéficie donc d'une plus grande protection.

Sur Facebook, il est donc nécessaire d'obtenir l'autorisation de la personne pour publier la photographie même si la personne a consenti à être photographiée ou si la photographie est publiée sur un autre site Internet.

La jurisprudence reconnaît depuis peu l'existence d'autorisations tacites d'utilisation d'images pour certaines personnes, telles qu'un chauffeur de taxi participant à un documentaire¹³⁵ ou un mannequin¹³⁶. Cette souplesse d'appréciation de l'autorisation, conforme au principe du consensualisme du droit des contrats, ne supprime pas l'exigence d'une autorisation certaine.

129 « Si vous souhaitez qu'une photo ne soit pas publiée du tout, adressez vous directement à la personne qui l'a publiée » Politique de confidentialité de Facebook.

130 « Malheureusement, Facebook ne pourra pas supprimer les photos qui ne violent pas les conditions d'utilisation du site. » Politique de confidentialité de Facebook.

133 Cass. Civ. 2^e 3 juin 2004, D. 2005 p. 2643, A. Lepage, L. Marino, C. Bigot.

135 Cass. Civ. 1^e 7 mars 2006 ; D. 2006 p. 2702, A. Lepage, L. Marino, C. Bigot.

136 Cass. Civ. 2^e 4 novembre 2004 ; D. 2005 p. 2643, A. Lepage, L. Marino, C. Bigot.

La nécessité d'obtenir l'autorisation de la personne pour diffuser son image peut céder pour illustrer un article en lien avec un événement d'actualité¹³⁷, sous réserve de l'atteinte à la dignité de la personne¹³⁸. Ces exceptions au consentement de la personne ayant un champ d'application limité, elles ont peu de chance de prospérer en cas de contentieux relatif à l'image d'une personne sur Facebook.

Depuis un peu moins de 10 ans, la jurisprudence reconnait au droit à l'image une existence autonome par rapport à la vie privée. La Cour de cassation, dans un arrêt du 10 mai 2005 énonce que « constituent des droits distincts le respect dû à la vie privée et celui dû à l'image »¹³⁹. Dans ces circonstances, il n'est pas nécessaire que les photographies saisissent la personne dans un instant de sa vie privée pour que l'atteinte à l'image soit constituée¹⁴⁰. Une photographie prise dans un lieu public et publiée sur Facebook sera considérée comme une atteinte au droit à l'image de la personne si celle-ci n'a pas donné son accord à la publication. L'image constituera donc soit un moyen de porter atteinte à la vie privée, soit sera protégée en tant que telle car elle représente un prolongement de la vie privée.

Sur Facebook, comme sur tout site de réseau social, les membres doivent recueillir le consentement de la personne avant de révéler un aspect de la vie privée d'une personne ou avant de mettre en ligne une photographie, ce qui est rappelé par Facebook à chaque fois qu'un membre met en ligne une photo. On constate donc que la particularité des sites de réseaux sociaux ne fait pas obstacle à l'application traditionnelle de la protection civile de la vie privée et de l'image. La politique de confidentialité pourrait également comporter des conseils sur la façon dont les utilisateurs devraient traiter les données personnelles des tiers qu'ils diffusent sur le site.

Les droits de la personnalité bénéficient également d'une protection pénale qu'il convient d'aborder (2).

137 Cass. Civ. 1^e 7 mars 2006 ; D. 2006 p. 2702, A. Lepage, L. Marino, C. Bigot.

138 Cass. Civ. 2^e 4 novembre 2004 ; D. 2005 p. 2643, A. Lepage, L. Marino, C. Bigot.

140 Juris classeur communication fascicule 3750 L'image des personnes, E. Dreyer, 4 novembre 2008 paragraphe 34.

2) La protection pénale de la vie privée et de l'image

Dans le titre consacré aux atteintes à la personne du livre 2 du code pénal, il existe un chapitre 6 relatif aux atteintes à la personnalité. Les articles 226-1 à 226-7 du code pénal incriminent l'atteinte à la vie privée tandis que les articles 226-8 à 226-9 incriminent l'atteinte à la représentation de la personne. Le contentieux relatif à la vie privée et à l'image étant essentiellement civil et non pénal, nous limiterons l'étude de la protection pénale des droits de la personnalité à quelques observations générales concernant les éléments constitutifs de ces infractions.

La protection civile et la protection pénale de la vie privée renvoient de la même manière à la nécessité de prouver l'absence de consentement de la victime, puisque le droit civil et le droit pénal ne répriment les atteintes à la vie privée qu'en l'absence de consentement de la part de la victime. Ainsi, selon l'article 226-1 du code pénal, qui réprime le fait, au moyen d'un procédé quelconque, de porter volontairement atteinte à l'intimité de la vie privée d'autrui, le consentement de la personne est présumé dès lors que l'acte est accompli au vu et au su de la personne intéressée et qu'elle ne s'y est pas opposée. Dans cette hypothèse, la loi ne sera pas applicable.

Ensuite, toutes les formes d'atteinte à la vie privée ne constituent pas une infraction. L'article 226-1 suppose que la personne soit dans un lieu privé.

Enfin, les articles 226-1 et 226-2 du code pénal envisagent le droit à l'image simplement comme un vecteur, c'est-à-dire comme un moyen de porter atteinte à la vie privée. En revanche, l'article 226-8 du code pénal semble s'orienter vers l'autonomie du droit à l'image. Ainsi, le périmètre de protection de la vie privée est plus restreint en droit pénal qu'en droit civil, seules les atteintes les plus graves à la vie privée sont incriminées.¹⁴¹

Les articles 226-1 et 226-8 du code pénal ont été utilisés dans deux affaires où les prévenus diffusaient sur Internet des photographies intimes¹⁴² ou des images pornographiques¹⁴³ prises d'une autre personne dans un lieu privé.

L'image d'une personne prise à son insu dans un lieu privé et diffusée sur Facebook serait donc susceptible d'être réprimée sur le fondement d'atteinte à l'intimité de la vie privée, prévu par les articles 226-1 et suivants du code pénal.

141 Cours de Madame A. Lepage de 2008-2009 du Master 2 Droit du Multimédia et de l'Informatique de Paris II.

142 CA Paris 22 mars 2005, CCE n° 11, novembres 2005, commentaire 176 de A. Lepage.

143 Ca Paris 24 avril 2007, CCE n°12, décembre 2007, commentaire 156 de A. Lepage.

L'article 9 du code civil n'est pas le seul fondement susceptible d'engager la responsabilité des personnes violant la vie privée et le droit à l'image des membres de réseaux sociaux. Depuis quelques années, on assiste à une montée en puissance de la loi Informatique et Libertés comme moyen de protection de la vie privée sur Internet (2)

B. L'application de règles spécifiques de protection de la vie privée et de l'image

Dans les affaires impliquant des atteintes à la vie privée, les victimes invoquent généralement l'article 9 du code civil pour obtenir réparation de leur préjudice. Toutefois, l'article 9 n'est pas l'unique remède face aux violations de la sphère privée. La loi Informatique et Libertés peut également concourir à la protection des atteintes à la vie privée dès lors que les informations constituent des données à caractère personnel.

La diffusion de l'image d'une personne à partir d'un site Internet ouvert au public est susceptible de constituer un traitement de données dès lors que la photographie de la personne se rapporte à une personne identifiée ou identifiable¹⁴⁴. Dans cette hypothèse, les dispositions protectrices de la loi Informatique et Libertés s'appliquent. La personne représentée sur l'image pourrait s'adresser « soit au juge (..), soit à la CNIL, après avoir, en application du droit d'opposition¹⁴⁵, demandé sans succès l'arrêt de cette diffusion au responsable du site»¹⁴⁶.

Cette possibilité de recourir à la loi Informatique et Libertés est illustrée dans un arrêt à la motivation confuse de la Cour d'appel de Besançon¹⁴⁷. En l'espèce, une association avait diffusée sur son site Internet l'image d'une femme citée nommément portée disparue. Deux membres de la famille de cette femme avaient demandé sous astreinte le retrait de l'appel à témoin du site pour violation de leur vie privée. La Cour d'appel a estimé que cette diffusion sans l'autorisation des membres de la famille constituait un trouble illicite et a ordonné le retrait de ces informations sur le fondement du droit d'opposition prévu par la loi Informatique et Libertés.

144 L'utilisation de l'image des personnes, 28 mars 2005 (disponible sur le site de la CNIL).

146 L'utilisation de l'image des personnes, 28 mars 2005 (disponible sur le site de la CNIL).

147 CA Besançon 31 janvier 2007 ; D. 2007 p.2771, A. Lepage, L. Marino, C. Bigot.

La loi Informatique et Libertés pourrait également pallier aux insuffisances de l'article 9 du code civil. En effet, en application de la jurisprudence des faits anodins, certaines révélations de faits relatifs à la vie privée ne sont pas protégeables sur le fondement de l'article 9 du code civil. Par application du principe de finalité¹⁴⁸, le traitement d'informations même recueillies de façon licite, pourrait être sanctionné dès lors que ce traitement ne serait pas conforme au regard de sa finalité¹⁴⁹. Par exemple, une personne publiant une information intime sur un groupe Facebook pourrait s'opposer à la réutilisation de cette information dans un contexte différent de l'objectif du groupe.

L'exception de divulgation antérieure pourrait également péricliter face au droit à l'oubli consacré dans la loi Informatique et Libertés¹⁵⁰. Par application de ce principe, le traitement de données á caractère personnel doit être limité dans le temps. Ainsi, une information intime publiée sur Facebook et réutilisée un certain nombre d'années plus tard alors que la personne s'est désinscrite du site pourrait s'opposer à cette utilisation en invoquant le droit à l'oubli.

Sur Facebook, les exceptions relatives au droit au respect de la vie privée et à l'image auraient donc moins de force que sur les supports traditionnels.

Toutefois, la loi Informatique et Libertés ne pourrait totalement évincer l'article 9 du code civil dans la protection de la vie privée¹⁵¹. Le traitement de données relatives á la vie privée aux seules fins de journalisme ou d'expression artistique n'est pas soumis par exemple aux principales dispositions de la loi Informatique et Libertés¹⁵². Par ailleurs, le consentement de la personne peut etre évincé si le responsable de traitement poursuit la réalisation d'un « intérêt légitime »¹⁵³. Cet intér~t légitime n'est cependant admis que « sous la réserve de ne pas méconnaitre l'intérêt ou les droits et libertés fondamentaux de la personne concernée »¹⁵⁴. Dans ces deux hypothèses, l'article 9 du code civil retrouverait sa plénitude d'action.

Les dispositions pénales de la loi Informatique et Libertés peuvent également servir
d'adjuvant aux articles 226-1 et suivants du code pénal¹⁵⁵. L'article 226-19 du code pénal
incrimine le fait de mettre ou de conserver en mémoire informatisée, sans l'accord de

¹⁴⁹ L. Marino Les nouveaux territoires des droits de la personnalité, GP 19 mai 2007 n^°139 p.22.

¹⁵¹ L. Marino Les nouveaux territoires des droits de la personnalité, GP 19 mai 2007 n^°139 p.22.

¹⁵⁵ A. Lepage liberté et droits fondamentaux à l'épreuve de l'Internet, litec, 3^e édition p113.

l'intéressé, des données dites sensibles. Un jeune homme a été condamné sur ce fondement pour avoir stocké sur sa page d'accueil des images pornographiques de son ancienne petite amie, accompagnées de commentaires relatifs à ses moeurs¹⁵⁶.

Sur Facebook, la publication de données sensibles telles que des informations relatives aux opinions politiques de la personne, à sa vie sexuelle sans l'accord de la personne pourrait être sanctionnée sur le fondement de l'article 226-19 du code pénal.

Comme le fait remarquer Madame Laure Marino¹⁵⁷, les nouvelles technologies pourraient servir de vecteurs à la mutation des droits de la personnalité. En effet, d'un coté le droit au respect de la vie privée pourrait devenir « un droit de contrôle sur des informations personnelles »¹⁵⁸ , de l'autre, l'utilisation de la loi Informatique et Libertés pour protéger les droits de la personnalité pourrait se transformer en un nouveau droit subjectif : le droit au respect des informations personnelles.

Sur les réseaux sociaux, des atteintes inédites voient également le jour (II).

II Les atteintes inédites à la vie privée et à l'image sur les sites de réseaux sociaux

Un membre de site de réseau social peut être lui-même à l'origine de l'atteinte à sa propre vie privée. En effet, une personne peut dévoiler une part très importante de sa vie intime sur Internet sans même y prendre garde

Le journal le Tigre¹⁵⁹, a voulu attirer l'attention sur le danger que représente la publication d'informations personnelles sur internet en réalisant le portrait d'un internaute, pris au hasard, en s'appuyant seulement sur les traces numériques qu'il avait laissé sur différents sites de réseaux sociaux¹⁶⁰. Le journal a pu de cette manière retracer toute la vie amoureuse, familiale et professionnelle de la personne de ces dernières années. Pour Alex Türk, président de la CNIL, « Le fait même dentrer dans ce type de réseau, revient à accepter de réduire son périmètre d'intimité. ».

La politique de confidentialité du site Facebook et l'autorisation de la personne à dévoiler sa vie privée seront les deux grands axes de ce paragraphe.

156 TGI Privas 3 septembre 1997 ; LPA 11 novembre 1998 p. 19, note J. Frayssinet, confirmé par CA Nîmes 6 novembre 1998revue droit de l'informatique et des télécoms 1999/4 p51, note M-E Bichon-Lefeuvre.

157 L. Marino Les nouveaux territoires des droits de la personnalité, GP 19 mai 2007 n°139 p.22.

158 D. Gutman Le sentiment d'identité p.221 cité par. Marino Les nouveaux territoires des droits de la personnalité, GP 19 mai 2007 n°139 p.22.

159 www.le-tigre.neti160 Le Monde du 18 janvier 2009 « Un internaute piégé par ses traces sur la Toile » de Y. Gauchard.

A La politique de confidentialité de Facebook

Le site Facebook encourage ses membres à dévoiler un maximum d'informations les concernant. Lors de l'inscription, tout nouveau membre est invité à détailler le plus précisément possibles les informations relatives à sa vie civile et sociale sur son profil, à participer à de nombreux quizz qui peuvent être parfois très intrusifs et auxquels peu de personnes accepterait de répondre s'ils étaient posés en dehors du support Internet. En rappel de ce qui a déjà été mentionné dans l'introduction de ce mémoire, la politique de confidentialité de Facebook protège peu la vie privée de l'utilisateur. En l'absence d'action de celui-ci, toutes les informations qu'il publie sont visibles par un cercle élargi d'utilisateurs.

La plupart des membres de Facebook n'imagine pas la multitude de personnes susceptibles d'avoir accès à tout moment à leurs informations personnelles sur Facebook. A cette absence de discernement s'ajoute un manque de connaissance quant à la manière de modifier la « visibilité » de leur page. Selon une étude de 2007 réalisée par le site Gate Safe Online, site de sensibilisation à la sécurité informatique, sur 2013 britanniques de plus de 18 ans¹⁶¹, 16% des personnes interrogées disent ne rien connaître sur les règles de sécurité sur internet. Ce chiffre s'élève à 29% pour les personnes âgées de 55 à 64 ans. 15% des utilisateurs de sites de réseaux sociaux n'utilisent aucun paramètre de personnalisation pour rendre confidentiel les informations sur ces sites. Selon une enquête publiée en août 2007 par Sophos¹⁶², société spécialisée dans les anti-virus et les anti-spam, 41% des utilisateurs de Facebook acceptent d'ajouter dans leurs amis un parfait inconnu qui en fait la demande.

Les risques liés à ce dévoilement délibéré de sa vie privée peuvent être importants : les employeurs potentiels utilisent les services de prestataires qui récoltent des informations sur la toile, en toute discrétion, pour dresser le profil de candidats à l'embauche à partir d'informations plus ou moins exactes, constituées de contributions volontaires que laisse volontairement ou involontairement un individu sur Internet. Le cabinet de recrutement Robert Half a publié une étude en août 2008 dans laquelle il est estimé que 94% des directeurs des ressources humaines français recourent à des modes de sélection de moins en moins

traditionnels tels que les réseaux sociaux¹⁶³. Les sites de réseaux sociaux sont ainsi un moyen de plus en plus fréquemment utilisé pour obtenir des informations sur les candidats à l'emploi, pour creuser leur profil et découvrir ce qui n'est pas inscrit dans le curriculum vitae. Une blague de mauvais goût ou une photographie compromettante peuvent orienter un employeur sur le choix de son futur employé.

Au principe d'accessibilité à tous des informations d'un membre, devrait succéder le principe de divulgation de ses informations aux seules personnes acceptées. De cette manière, seules les personnes que le membre accepte comme amies auraient la possibilité de voir ses informations personnelles. Facebook semble avoir accéder partiellement à cette demande puisqu'au début de l'année 2009, le site a modifié ses options d'affichage. Désormais seuls les amis et les membres de « réseau »¹⁶⁴ peuvent accéder à l'intégralité des informations de l'utilisateur. Néanmoins si une personne utilise la fonction recherche du site pour retrouver un membre du site, elle pourra voir la photo de profil, sa liste d'amis, un lien pour l'ajouter en tant qu'ami ou pour lui envoyer un message ainsi que les pages dont le membre se déclare fan. Cette modification n'est pas totalement satisfaisante car l'utilisateur devra encore faire l'effort de paramétrer sa visibilité dans la fonction recherche du site pour ne pas être visible par les personnes qui ne font pas partie de sa liste d'amis ou de son réseau. De méme, s'il souhaite montrer que certaines informations à ses amis, il devra ici encore modifier ses options de confidentialité.

Le second type d'atteinte inédite réalisée sur les sites de réseaux sociaux tient à la libre volonté des membres de dévoiler leur vie privée (B).

B La libre volonté de la personne de dévoiler sa vie privée

Une partie des membres des réseaux sociaux n'hésitent pas à publier toujours plus d'informations les concernant. Face aux revendications de certains membres, Facebook a réactivé l'option « profil public » qui permet à n'importe quel membre du site d'accéder au

164 Lors de l'inscription, le nouveau membre doit sélectionner le réseau auquel il souhaite appartenir. Ce réseau est le plus souvent géographique (un pays, une région, une ville) mais peut également être une entreprise ou une école.

profil de la personne ayant choisie cette option¹⁶⁵. Ces personnes justifient leur comportement en affirmant qu'elles « n'ont rien à se reprocher ».

Jusqu'oü le droit peut-il protéger une personne contre elle-même ? Les limites classiques de la vie privée dépendent de la volonté individuelle de chacun. L'étendue de la diffusion des informations relatives à la vie privée d'une personne relève de son seul consentement de la personne. Toute personne, à condition qu'elle soit majeure, est libre de fixer les limites de ce qui peut être divulgué sur sa vie intime. La Cour européenne des droits de l'homme (CEDH) parle à ce sujet de « droit à l'autonomie personnelle »¹⁶⁶. Toutefois, le consentement de la personne, nécessaire pour délivrer une information personnelle, est peut être insuffisant dans l'univers numérique car une fois ce consentement donné, la protection de la personne cesse en pratique. La disparition de la protection par le jeu de la volonté est dangereuse car l'individu n'a pas toujours pleinement conscience de ce que recouvre la divulgation des aspects de sa vie privée et des conséquences néfastes que ce type de conduite peut induire.

A l'instar du formalisme ad validitatem, qui a pour but d'éviter tout engagement irréfléchi, il serait souhaitable de mettre en place un certain formalisme lors de l'acceptation de l'internaute au dévoilement de sa vie privée. Ce formalisme pourrait prendre la forme d'une charte d'utilisation dans laquelle seraient expliquées les conséquences de la publication de ces informations. En effet, la facilité de divulguer des informations personnelles doit être mise en parallèle avec la fugacité de l'autorisation de la personne et la redoutable mémoire informatique.

Dans son rapport, l'ENISA (European Network and Information Security Agency)¹⁶⁷ a estimé que les informations fournies par les sites de réseaux sociaux ne sont pas suffisantes pour que l'internaute puisse valablement avoir conscience de l'étendue de ses révélations, « l'utilisateur n'ayant pas conscience de l'ampleur de les informations qu'il divulgue. L'apparence d'intimité résultant de l'entourage d' « amis » donnant souvent lieu à des révélations inopportunes ou dommageables ». Il conviendrait donc selon l'ENISA, d'opter pour des campagnes de sensibilisation et d'éducation de l'opinion à l'usage des sites communautaires.

166 CEDH 29 avril 2002 Pretty contre Royaume-Uni, paragraphe 62 « La notion d'autonomie personnelle reflète un principe important qui sous-tend l'interprétation des garanties de l'article 8. »

Les règles traditionnelles de protection de la vie privée et de l'image s'appliquent donc à Facebook sans grande difficulté. L'originalité de ce support lui permet, en outre, de bénéficier d'une plus grande protection grace à la loi Informatique et Libertés qui constitue un fondement supplémentaire pour que toute atteinte à la vie privée d'une personne cesse. Toutefois, de nouvelles atteintes aux droits de la personnalité apparaissent via les sites de réseaux sociaux auxquelles les Tribunaux et les Cours n'ont pas encore eu à faire face. S'il a été possible de faire pression sur ces sites pour qu'ils mettent en place une politique de visibilité restrictive des informations de leurs membres grâce à des campagnes de presse condamnant leur politique de confidentialité, le droit est désarmé face à l'attitude exhibitionniste de certaines personnes sur ces sites. La politique de confidentialité pourrait comporter des conseils sur la façon dont les utilisateurs devraient traiter les données personnelles des tiers qu'ils diffusent sur le site.

Les membres des réseaux sociaux tels que Facebook sont également des victimes de possibles diffamations et injures publiées sur les sites. Il faut donc envisager quel serait le le régime des infractions de presse en l'espèce (Section 2).

Section 2 Les abus de liberté d'expression sur les réseaux sociaux

La loi du 29 juillet 1881 relative aux infractions de presse (dite loi de 1881), sanctionne les abus de la liberté d'expression. Contrairement à ce qu'indique son nom, cette loi ne concerne pas seulement les infractions commises sur support papier mais englobe également les services de communication au public en ligne, c'est-à-dire Internet. En effet, l'article 6-V de la LCEN dispose que « les dispositions des chapitre IV et V de la loi du 29 juillet 1881 sont applicables aux services de communication au public en ligne et la prescription acquise dans les conditions prévues par l'article 65 de ladite loi ». L'application du droit de la presse ne dépend donc pas de son support et nous allons envisager les deux infractions de presse les plus fréquemment commises sur Internet, la diffamation et l'injure, et identifier la manière dont ces infractions sont appréhendées et réprimées sur les sites de réseaux sociaux. Seules les diffamations et injures envers un simple particulier et sans motif discriminatoire seront traitées dans ce paragraphe. Les éléments constitutifs des infractions d'injure et de diffamation sur les réseaux sociaux (I), ainsi que les modalités de leur répression (II) formeront deux parties de cette section.

I La constitution des infractions de presse sur les réseaux sociaux

La loi de 1881 est applicable aux sites de réseaux sociaux si les éléments constitutifs de l'injure et de la diffamation peuvent être constatés sur ce support particulier qu'est Facebook. Dans un souci de clarté, nous aborderons d'abord l'élément commun aux infractions de presse, la publicité (A), avant de s'intéresser aux éléments spécifiques à la diffamation et à l'injure (B).

A L'élément fondamental commun aux infractions de presse : la publicitéL'article 23 de la loi de 1881 énumère les différents modes de publication relevant de

la loi de 1881. Depuis l'entrée en vigueur de la LCEN, le terme de « communication au public par voie électronique » est répertorié dans cet inventaire et inclut la communication audiovisuelle¹⁶⁸ et la communication au public en ligne¹⁶⁹. Avant cette modification législative, le réseau Internet était assimilé à un moyen de communication audiovisuel et constituait donc déjà un support de publication.

La condition de publicité est fondamentale car elle détermine l'application ou l'exclusion de la loi de 1881. En effet, loin d'avoir un régime uniforme, les différentes publications sur Internet sont susceptibles de relever de deux régimes différents: le régime de la correspondance privée et le régime de la communication publique¹⁷⁰. Chacun de ces deux régimes fait l'objet d'un corps de règles spécifique. En effet, d'une part, la correspondance privée relève du régime du secret des correspondances¹⁷¹ et échappe aux dispositions relatives à la répression des infractions de presse de 1881. D'autre part, la communication au public est soumise aux règles posées par la loi de 1881 et notamment la diffamation et l'injure. Néanmoins, dans le cas de l'injure et de la diffamation non publiques, une sanction pénale reste possible, non pas sur le fondement de la loi de 1881 mais sur le celui des articles R 621- 1 et R 621-2 du code pénal, équivalente à une contravention de première classe.

Sur Facebook, il est difficile de savoir si une diffamation ou une injure mise en ligne est publique ou privée, le contenu litigieux pouvant n'être accessible qu'à un nombre limité de personnes. Pour pallier à cette difficulté de qualification de la porté des propos, la jurisprudence a recours au critère traditionnel de la « communauté d'intérêts ». Selon M.

168 Article 2 alinéa 3 de la loi du 30 septembre 1986 tel que modifié par la LCEN.

Mayaud, cette notion peut être définie par «l'appartenance commune, des inspirations ou des objectifs partagés, formant une entité suffisamment fermée pour ne pas être perçue comme regroupant des tiers par rapport à l'auteur des propos »¹⁷².

En conséquence, les tribunaux retiennent pour permettre de faire la différence entre le caractère public ou privé d'un site Internet que « la sélection doit être fondée sur un choix positif des usagers, par laquelle sont assurés leur nombre restreint et, partant, leur communauté d'intérêts »¹⁷³. Dans cette hypothèse, les dispositions de la loi de 1881 ne sont pas applicables à Internet. A l'inverse, « la diffusion litigieuse sur le réseau internet, à destination d'un nombre illimité de personnes nullement liées par une communauté d'intérêts, constitue un acte de publicité commis dès que l'information a été mise à la disposition des utilisateurs éventuels du site»¹⁷⁴. Dans cette seconde hypothèse, les dispositions de la loi de 1881 s'appliqueront.

Sur Facebook, la qualification du caractère public du message reposera donc sur la circonstance que non seulement un nombre limité de personnes a accès au message litigieux, mais également au fait que ces personnes ne sont pas des tiers les uns par rapport aux autres. Deux hypothèses sont donc à distinguer:si la personne à l'origine du message a publié celui-ci sur son profil et que ce profil est accessible à tous (par défaut ou par choix), la publication sera certainement considérée comme publique.

Par contre, si le profil n'est accessible qu'à ses seuls amis, le juge devra déterminer si les personnes sont unies par une communauté d'intérêt. La Cour d'appel de Paris¹⁷⁵ a jugé qu'une pétition diffamatoire adressée par courrier électronique et envoyée à une centaine d'universitaires chercheurs était une diffamation publique. Les juges avaient estimé que la communauté scientifique ne se confondait pas avec la communauté d'intérêts, la qualité d'universitaires chercheurs étant insuffisante pour caractériser la communauté d'intérêts. Les juges ayant une conception restrictive de la communauté d'intérêts, une diffamation ou une injure publiée sur Facebook serait donc le plus souvent considérée comme publique si les propos litigieux sont accessibles à un nombre conséquent d'amis.

173 TGI Paris, référé, 5 juillet 2002, D. 2003 sommaire p. 1536 observations L. Marino.

174 CA Paris, 23 juin 2000, Légipresse, novembre 2000, III, 182, note C. Rojinsky.

Si l'acte de publication est retenu, il sera également nécessaire que le message litigieux présente un contenu particulier pour être qualifié de diffamation ou d'injure (B).

B Les éléments spécifiques constitutifs de la diffamation et de l'injure

Les différents éléments constitutifs de la diffamation et de l'injure seront étudiés au regard de la commission de l'infraction sur un site de réseau social. Dans un premier temps, l'élément matériel de la diffamation et de l'injure sera abordé (1), puis son élément intentionnel (2).

1) L'élément matériel de la diffamation et de l'injure

La diffamation et l'injure sont des infractions qui sanctionnent l'atteinte à l'honorabilité de la personne. A partir de l'article 29 de la loi de 1881, qui définit les deux infractions, nous allons successivement analyser l'élément matériel de chacune de ces deux infractions pour les appliquer ensuite envisager leur application à Facebook.

La diffamation est définie à l'article 29 alinéa 1 de la loi du 29 juillet 1881 comme « toute allégation ou imputation d'un fait qui porte atteinte à l'honneur ou à la considération de la personne ou du corps auquel le fait est imputé, est une diffamation ». Traditionnellement la diffamation suppose l'existence de quatre conditions cumulatives¹⁷⁶.

En premier lieu, la diffamation requiert tout d'abord un reproche, peu importe qu'il prenne la forme d'une allégation (qui consiste à présenter un fait comme étant plus ou moins douteux sans en prendre la responsabilité) ou d'une imputation (qui vise à affirmer un fait en le prenant à son compte). La jurisprudence interprète largement la notion de reproche et a précisé que le reproche pouvait même prendre la forme interrogative¹⁷⁷ ou la forme d'une photographie¹⁷⁸.

En second lieu, ce fait doit être précis et déterminé afin de pouvoir faire l'objet d'une preuve
et d'un débat contradictoire¹⁷⁹. Cette exigence est essentielle car elle permet de distinguer
l'injure de la diffamation. La Chambre criminelle de la Cour de cassation relève ainsi que

« l'allégation d'une manie comme l'ivrognerie relève de l'injure tandis que l'imputation d'un état d'ébriété précis se présente comme une diffamation»¹⁸⁰.

En troisième lieu, l'imputation ou l'allégation doit etre attentatoire à l'honneur ou à la considération de la personne mise en cause. La considération consiste en l'image sociale que la personne veut donner de soi aux autres tandis que l'honneur vise le regard de la personne sur elle même. Ces deux notions protègent le même intérêt, la dignité de la personne. Cependant, la jurisprudence ne distingue pas en pratique l'honneur et la considération, l'atteinte à l'honneur ou à la considération est appréciée in abstracto, par rapport au modèle type d'atteinte à l'honneur ou à la considération, et non en fonction de la conception personnelle de la personne attaquée.

Enfin, le reproche doit etre adressé à une personne identifiée ou identifiable. En effet, l'article 29 de la loi de 1881 précise que la diffamation peut être réalisée contre une personne « non expressément nommée mais dont l'identification est rendue possible ». La jurisprudence précise qu'il suffit que l'« identification soit rendue possible, soit par l'analyse des propos publiés ou diffusés, soit par des circonstances extrinsèques qui éclairent et confirment cette désignation, de manière à la rendre évidente »¹⁸¹.

L'autre infraction susceptible d'être commise sur Facebook, l'injure, est définie à l'alinéa 2 de l'article 29 de la loi de 1881 comme « toute expression outrageante, termes de mépris ou invective qui ne renferme l'imputation d'aucun fait ». L'injure suppose quant à elle l'existence de trois conditions cumulatives¹⁸².

L'injure doit d'abord consister en une opinion dévalorisante, qui peut prendre aussi bien la forme d'une expression outrageante (portant atteinte à la personne dans son for intérieur), que d'une invective (qui est une forme aggravée de l'expression outrageante), ou encore d'un terme de mépris (c'est-à-dire une dévalorisation publique de la personne). La jurisprudence, quant à elle, utilise indistinctement chacun de ces trois termes pour caractériser une injure.

L'injure a la spécificité de devoir reposer sur l'imputation d'un fait précis, contrairement à la diffamation. En conséquence, la personne à l'origine de l'injure ne pourra pas rapporter la vérité d'un propos injurieux, contrairement au propos diffamatoire. Pour autant, l'injure doit, tout comme la diffamation, viser une personne déterminée ou déterminable.

La politique de confidentialité de Facebook, prévoit que les messages « à caractère insultant, pornographique ou inadéquat de manière générale » publiés sur le site, qui peuvent s'apparenter en droit français à la diffamation et à l'injure, appartiennent à la catégorie des contenus répréhensibles. La personne visée a la possibilité de signaler à Facebook cette atteinte à la réputation en envoyant un courrier électronique à l' adresse abuse@facebook.com. Le site s'engage à traiter la réclamation dans les 24 heures suivant réception du message et à informer, dans un délai de 72 heures à compter de la réception du message, des mesures prises Ces mesures peuvent être notamment la suppression du message litigieux ou une interdiction d'accès à Facebook de la personne à l'origine du message litigieux.

Toutefois, ce système de notification de contenu litigieux ne semble pas opérationnel : plusieurs personnes se sont plaintes sur leur blog de l'utilisation sans résultat de la procédure de notification de contenu répréhensible auprès de Facebook. Ainsi, par exemple, un groupe injurieux¹⁸³, bien qu'il ait été signalé plusieurs fois à Facebook en 2008, reste encore accessible à l'heure actuelle¹⁸⁴.

Face à l'efficacité relative de la régulation en interne par Facebook lui méme, certaines personne ont déjà décidé d'assigner la personne à l'origine du message litigieux devant les tribunaux. C'est ainsi qu'en Angleterre la Haute Cour de Londres a condamné un internaute à payer 2200 livres de dommages intéréts pour diffamation en raison de la constitution d'un faux profil, fait au nom de l'un de ses amis, sur Facebook. Les informations concernant son état civil étaient exactes mais celles concernant sa vie sociale (ses opinions politiques, son orientation sexuelle, et sa situation financière) étaient fausses et diffamatoires.¹⁸⁵ En France, un professeur d'anglais de lycée est actuellement poursuivi pour diffamation et injure par ses anciens collègues de travail en raison de propos consistant en des « railleries blessantes », des

183 intitulé « pour ceux qui pensent que Marie Trintignant avait un crâne bien trop fragile ».

« attaques sexuelles », et des « remarques acerbes » qu'il aurait publiés sur un groupe Facebook consacré aux professeurs de ce lycée¹⁸⁶.

Les infractions de diffamation et d'injure étant des délits, il est à présent nécessaire d'en caractériser l'élément intentionnel.

2) L'élément intentionnel de la diffamation et de l'injure

L'article 121-3 alinéa 1 du code pénal dispose « Il n'y a point de crime ou de délit sans intention de le commettre ». Il faut donc que la diffamation et l'injure aient été publiées intentionnellement. La victime doit ainsi prouver que l'auteur des propos voulait porter atteinte à sa réputation. De jurisprudence constante, l'intention coupable est présumée pour ces deux infractions dès l'instant oü l'acte matériel est réalisé¹⁸⁷. Ainsi, la personne à l'origine du message est présumée avoir conscience de rendre publique un propos diffamatoire ou injurieux. L'intention délictuelle de l'auteur de propos diffamatoire ou injurieux publiés sur Facebook sera ainsi présumée. Toutefois, l'auteur conserve la possibilité d'invoquer des circonstances de fait justifiant le parti pris diffamatoire de ces propos ou la provocation au propos injurieux.

A titre de défense, l'article 35 de la loi de 1881 a prévu un fait justificatif propre à la diffamation : le caractère délictueux de la diffamation disparaît dès lors que le prévenu établit l'exactitude de ses propos, il s'agit de l'exceptio veritatis. En raison des conditions étroites dans lesquelles le fait justificatif est enfermé, la jurisprudence a par la suite créé un deuxième fait justificatif, la bonne foi de l'auteur des propos.

La personne à l'origine des propos a la possibilité de prouver la vérité des faits allégués. La vérité ne peut néanmoins être démontrée dans trois domaines : lorsque les faits ont un rapport avec la vie privée de la personne, ont plus de 10 ans, ou ont fait l'objet d'un pardon¹⁸⁸ (sauf pour les faits constitutifs de l'infraction de pédophilie, datant de plus de 10 ans ou touchant à des faits privés, dont la preuve est autorisée depuis la loi du 17 juin 1998)¹⁸⁹. En dehors de ces trois exceptions, la preuve de la vérité doit être totale pour produire son effet absolutoire : le

187 Par exemple : Cass. Civ. 2e, 14 janvier 1998, Bull. civ. II, n°11 ; D.1999 p. 134.

moindre doute privera le prévenu du bénéfice du fait justificatif. Selon la chambre criminelle de la Cour de cassation, la preuve doit être « parfaite, totale et corrélative aux imputations dans toute leur portée et leur signification diffamatoire »¹⁹⁰.

Si le prévenu échoue dans sa tentative d'offrir la preuve du fait diffamatoire, celui-ci peut néanmoins invoquer sa bonne foi par l'existence de circonstances particulières. La bonne foi suppose quatre critères cumulatifs : la légitimité du but poursuivi par l'auteur du propos (l'information du public), l'absence d'animosité personnelle, la fiabilité de l'enquête ainsi que la prudence et la mesure dans l'expression¹⁹¹.

L'excuse de provocation est également insérée dans des conditions restrictives : l'auteur de l'injure doit être la victime méme de la provocation, le contenu injurieux doit être en rapport direct avec le contenu de la provocation et la provocation doit avoir été injustifiée.

En l'absence de jurisprudence spécifique visant les sites de réseaux sociaux, il convient d'examiner les affaires relatives aux forums de discussion et aux blogs pour déterminer si les tribunaux apprécient différemment ces moyens justificatifs dès lors que les infractions sont commises sur Internet. On constate dans plusieurs décisions que les critères de la bonne foi en matière de diffamation sur les blogs sont appréciés avec indulgence notamment concernant la fiabilité des sources.

Dans un jugement du 17 mars 2006, le Tribunal de grande instance de Paris retient qu'un journaliste qui s'exprime à titre privé sur son blog et qui ne vérifie pas la véracité des sources qu'il reproduit bénéficie néanmoins de l'exception de bonne foi. Les juges feraient une distinction entre journaliste et non journaliste (ou journaliste ne s'exprimant pas en cette qualité), la personne non journaliste étant dispensée de vérifier la fiabilité des informations qu'elle publie¹⁹². Toutefois dans un arrêt du 6 avril 2006, la Cour d'appel de Paris rétablit l'orthodoxie juridique et impose au blogueur « un minimum d'enquête » pour qu'il puisse bénéficier de l'exception de bonne foi¹⁹³. Ces difficultés d'application des faits justificatifs aux blogs seraient susceptibles de se poser aux diffamation et injures réalisées sur les sites de réseaux sociaux.

Après avoir envisagé la constatation de la diffamation et de l'injure sur les sites de réseaux sociaux, nous examinerons à présent la répression de ces infractions sur les réseaux sociaux (II).

II La répression des infractions de presse sur les réseaux sociaux

La procédure relative à la répression des infractions de presse est une procédure dérogatoire au droit commun, qui a pour but de protéger la liberté de la presse. Ces dérogations se retrouvent tant au niveau de la détermination de la personne responsable, (A) qu'au niveau de la prescription de ces infractions (B).

A. La détermination de la personne responsable sur les sites de réseaux sociaux

L'article 42 de la loi de 1881 prévoit un système de responsabilité en cascade pour déterminer l'auteur juridique de l'infraction. Aux termes de ce texte, sont présumés responsables, en tant qu'auteurs principaux : les directeurs de publications ou éditeurs, à leur défaut, les auteurs, à défaut des auteurs, les imprimeurs, à défaut des imprimeurs, les vendeurs, distributeurs et afficheurs. Ce texte ne concerne que les publications de presse. Un système comparable existe pour la communication au public par voie électronique à l'article 93-3 de la loi du 29 juillet 1982. Si l'infraction est accomplie par un moyen de communication au public par voie électronique, sera poursuivi, en tant qu'auteur principal : le directeur de la publication ou, le codirecteur, à défaut, l'auteur, à défaut de l'auteur, le producteur. Cette responsabilité est plus limitée car elle est subordonnée à la fixation préalable du message sur le support. En effet, si le message litigieux ne fait pas l'objet d'une fixation préalable, le directeur de la publication est dans l'incapacité de vérifier matériellement le contenu du message et n'a donc pas à assumer la responsabilité qui en découle.

Sur Internet, la notion de fixation préalable est liée à l'existence d'une modération a priori (définition de la modération d'un site)¹⁹⁴ car elle permet au directeur de la publication de prendre connaissance d'un message avant qu'il ne soit publié. Ainsi, une personne qui reçoit le message d'un tiers et le diffuse sur Internet est considérée comme auteur principal dès lors

194 Juris-Classeur, Communication, 2003, Volume 3, Fascicule n°4750 « Forums de discussion », C.Rojinsky.

que la personne a conscience du caractère public de la diffusion¹⁹⁵. Si la responsabilité du directeur de la publication est engagée à titre principal, l'auteur du message verra sa responsabilité automatiquement engagée en tant que complice¹⁹⁶.

A défaut de fixation préalable du message, ou si le responsable de la publication n'est pas identifiable, l'auteur de l'infraction sera l'auteur du message litigieux.

Sur Facebook, l'auteur principal d'une injure ou d'une diffamation serait donc la personne qui diffuse sciemment le message sur le site, peu importe qu'elle soit ou non l'auteur de ce message.

La deuxième dérogation au droit commun concerne la prescription de ces infractions (B).

B. La prescription des infractions de presse commise sur les réseaux sociaux

Les poursuites en matière d'infraction de presse sont enfermées dans un délai de prescription abrégé de trois mois. L'article 65 alinéa 1 de la loi de 1881 dispose que «L'action publique et l'action civile résultant des crimes, délits et contraventions prévus par la

présente loi se prescriront après trois mois révolus, à compter du jour où ils auront ^étécommis ou du jour du dernier acte d'instruction ou de poursuite s'il en a été fait ». Ce court délai, défavorable aux victimes, a pour objectif de protéger la liberté d'expression.

L'article 65 de la loi de 1881 ne précise pas le point de départ de l'action publique. De manière constante, la jurisprudence fixe le point de départ de la prescription à la date du premier acte de publication par lequel le délit a été commis¹⁹⁷. Plusieurs juges du fond ont essayé de modifier la rigueur de cette solution pour les infractions de presse commises sur Internet. Ces juges estimaient que l'infraction de presse commise sur ce support changeait de nature et devenait une infraction continue en raison de la « volonté renouvelée de l'émetteur qui place le message sur un site, choisit de l'y maintenir ou de l'en retirer quand bon lui semble »¹⁹⁸. Le point de départ de la prescription était donc retardé au jour où le message litigieux était retiré du site. La Cour de cassation mit fin à cette jurisprudence contradictoire en rappelant la nature instantanée de l'infraction et en fixant par conséquent le point de départ du délai de prescription à la date du premier acte de publication¹⁹⁹. En effet, seul le premier

195 CA Paris 16 janvier 2003 CCE octobre 2003 p. 13, A. Lepage. TGI Paris, 25 octobre 1999, Legipresse, sept 2001, I, p.99.

198 CA Paris, 15 décembre 1999, Expertises n°235, 2000, p. 77 et TGI Paris, 25 mai 2000, Légipresse, n°178, janvier2001, III, p.10.

acte de publication doit être pris en considération car il matérialise l'accord donné par le responsable éditorial à la publication, peu importe que le propos reste par la suite accessible au public²⁰⁰.

Le législateur tenta de briser la jurisprudence de la Cour de cassation en prévoyant une disposition dans la LCEN selon laquelle la prescription des contenus mis en ligne pour la première fois sur Internet commencerait à courir après le retrait de l'article ou du message incriminé. Cette disposition fut censurée par le Conseil constitutionnel²⁰¹ car la différence de régime aboutissait à un décalage considérable par rapport aux autres supports. L'article 65 de la loi de 1881 s'applique donc de la méme manière aux sites Internet.

Des victimes ont voulu éluder la courte prescription de l'article 65 de la loi de 1881 en invoquant l'application de l'article 1382 du code civil et du délai de prescription en découlant. Ces tentatives se sont soldées par des échecs : «Les abus de la liberté d'expression prévus et réprimés par la loi du 29 juillet 1881 ne peuvent être réparés sur le fondement de l'article 1382 du code civil»²⁰². Ce principe a été rappelé à l'occasion de l'application de la courte prescription de l'article 65 de la loi de 1881²⁰³. L'application de l'article 1382 à la diffamation et à l'injure est susceptible de réapparaître car parmi les soixante cinq propositions formulées par la Commission Guinchard au sujet de la «répartition des contentieux », est suggérée la dépénalisation de la diffamation et de l'injure qui ne constitueraient plus que des fautes civile. Toutefois en raison des nombreuses critiques que suscite cette proposition²⁰⁴, celle-ci ne serait plus à l'ordre du jour.

A l'heure actuelle, pour des faits relevant d'une diffamation ou d'une injure, seule la courte prescription de trois mois sera appliquée. En conséquence, la diffamation ou l'injure perpétuée sur les réseaux sociaux se prescrivent dans un délai de trois mois à compter de la mise en ligne du message litigieux.

Malgré la singularité d'Internet, on constate qu'une grande partie du régime des infractions de
presse s'applique à ce média. S'il est nécessaire d'adapter certaines notions au particularisme

202 Cass. Ass. Plén. 12 juillet 2000, Bull. Civ. Ass. Plén. n°8, p.13 ; Légipresse 2003, n°202, II, p.71, obs. S. Martin-Vallette.

204 JCP, 566, n° 39 du 24 septembre 2008 P. Malaurie « Ne dépénalisons pas la diffamation et l'injure ».

de ce support, le caractère généraliste de la loi de 1881 permet son application à tout mode de diffusion publique des informations. Une diffamation ou une injure constatée sur un site de réseau social sera appréhendée de façon similaire à un support plus traditionnel.

CONCLUSION DU CHAPITRE 2

En dépit du sentiment de liberté régnant sur les sites de réseaux sociaux, les membres de ces sites ne peuvent se permettre d'y publier tout ce qu'ils souhaitent. A la liberté de publication sur ces sites fait écho une responsabilité pour leurs actions. Les atteintes aux droits de la personnalité, la diffamation et l'injure commises dans ce contexte sont régies par les concepts traditionnels du droit. Même si des particularités ponctuelles existent - et sont nécessaires pour permettre la pertinence des concepts généraux- telles que l'ajustement de la loi de 1881 ou encore le recours à la loi Informatique et Libertés pour réprimer les atteintes aux droits de la personnalité, le support Internet ne bouleverse pas l'édifice juridique. Toutefois on constate que certains comportements imprudents restent en dehors du droit.

CONCLUSION DU MEMOIRE

La vie privée sur les réseaux sociaux tels que Facebook n'est donc pas exempte de toute protection juridique puisque les dispositions de la loi Informatique et Libertés, du droit de la personnalité et de la loi de 1881 sur la liberté de la presse lui sont applicables.

L'engouement pour les sites de réseaux sociaux et la diffusion devenue courante des données les plus intimes mettent toutefois en exergue deux problèmes essentiels.

D'une part, la révélation excessive d'informations très intimes sur Facebook fait courir le risque aux internautes d'être gênés tout au long de leur vie par la republication ultérieure de ces éléments. Un travail de sensibilisation doit être opéré par le réseau social et au niveau national pour que les membres de ces sites apprennent à dévoiler les informations les concernant, en connaissance de cause et avec vigilance. Le site Facebook devrait prendre exemple sur la politique de confidentialité du site Google, qui tente d'expliquer de manière simple et claire comment et pour quelles finalités les données qu'il collecte. La CNIL devrait également donner des exemples concrets d'utilisation sécurisée des sites de réseaux sociaux.

D'autre part, la dimension universelle inhérente à Internet montre la faiblesse du droit positif national pour protéger les données à caractère personnel. A ce titre, il serait nécessaire de promouvoir l'adoption d'une convention internationale réglant les principes essentiels tels que la loi applicable, la conservation des données, le consentement de la personne.

Enfin une protection effective de la vie privée nécessite une action combinée des gouvernements et des acteurs privés car la régulation étatique doit s'enrichir des pratiques d'autorégulation. Toutes ces solutions peuvent être résumées par le principe proposé par M. Thoumyre²⁰⁵ de la « covigilance » c'est-à-dire qu'il conviendrait de « ne pas attendre que des lois régulent des phénomènes apparaissant mais que tous les individus sur Internet s'organisent afin de prévenir l'apparition des dangers numériques. Il faut donc éduquer les enfants aux menaces, sensibiliser les citoyens et élaborer des outils d'alerte et de protection performants ».

205 L. Thoumyre revue Lamy droit de l'immatériel novembre 2008 n°43, propos introductifs de perspectives colloque « Enjeux des nouveaux réseaux internet »

Bibliographie

J-F Théry, I. Falque-Pierrotin, « Internet et les réseaux numériques ", étude adoptée

par l'Assemblée générale du Conseil d'Etat le 2 juillet 1998, La Documentation française, 1998.

F Pisani et D Piotet « Comment le web change le monde : l'alchimie des multitudes " éditeur village mondial, 2008.

A. Lepage Liberté et Droits fondamentaux à l'épreuve de l'Internet, litec, 3^e édition. E. Delcroix et d'A. Martin « Facebook, on s'y retrouve " Pearson

C. Féral-Schuhl « Cyberdroit, le droit à l'épreuve de l'Internet ", Dalloz 5^e édition O. Itéanu L'identité numérique, Eyrolles

J. Bouteiller, C. Germouty, K. Papillaud « Bienvenue sur Facebook !: Le mode d'emploi " Albin Michel, avril 2008

E. Delcroix et d'A. Martin « Facebook, on s'y retrouve " édition Pearson O. Zara « Réussir sa carrière grâce au Personnal Branding ", Eyrolles

Vocabulaire juridique de l'Association Henri Capitant, édition PUF, 7^e édition.

D. Boyd « Production d'identité dans une culture en réseau " traduction dans Métamorphoses 21 « Culture numérique, Cultures expressives "

D. Cardon Le Design de la visibilité. Un essai de cartographie du web 2.0 dans la revue « Réseaux : Communication,-Technologie,-Société " Volume 26 n° 152/2008.

Le Monde du 16 mai 2008 « La CNIL veut inscrire dans la constitution la protection des données personnelles "

C. Ducourtieux, Le Monde « Le problème, c'est que ce sont des sociétés américaines " Question à Sophie Tavernier (CNIL) du 11 novembre 2007.

Le Monde du 18 janvier 2009 « Un internaute piégé par ses traces sur la Toile " de Yan Gauchard

Yves Poullet, « Les Safe Harbor Principles-Une protection adéquate ?", Juriscom.net, 17 juin 2000, texte présenté lors du colloque de l'IFLCA à Paris les 15 et 16 juin 2000.

Regard économiques, publication de l'UCL de mai 2008 n°59 « No free lunch sur le web 2.0 ! Ce que cache la gratuité apparente des réseaux sociaux numériques " de Xavier Wauthy.

-avis WP 56 sur l'application internationale du droit de l'UE en matière de protection des données au traitement des données à caractère personnel sur Internet par des sites web établis en dehors de l'UE du 30 mai 2002.

Délibérations, guides, rapports de la CNIL

Délibération n°2005-284 du 22 novembre 2005 décidant la dispense de déclaration des sites web diffusant ou collectant des données à caractère personnel mis en oeuvre par des particuliers dans le cadre d'une activité exclusivement personnelle.

Délibération n°2005-285 du 22 novembre 2005 portant recommandation sur la mise en oeuvre par des particuliers de sites web diffusant ou collectant des données à caractère personnel dans le cadre d'une activité exclusivement personnelle

Guide relatif aux transferts de données à caractère personnel vers des pays non membres de l'Union Européenne juin 2008 p16

Rapport du 9 février 2009 « La publicité ciblée en ligne » du 9 février 2009 L'utilisation de l'image des personnes, 28 mars 2005

Décision de la CPVP du 9 décembre 2008 relative au contrôle et à la procédure de recommandation initiés à l'égard de la société Swift scrl, paragraphes 50 et suivants.

A. Lepage, L. Marino, C. Bigot « Droits de la personnalité : panorama 2004-2005 » D. 2005 p. 2643

A. Lepage, L. Marino, C. Bigot. « Droits de la personnalité (juillet 2005/ juillet 2006) » D. 2006 p. 2702.

A. Lepage, L. Marino, C. Bigot « Droits de la personnalité (juillet 2006/ juillet 2007) » D. 2007 P.2771

Théo Hassler. « Droits de la personnalité : rediffusion et droit à l'oubli », D. 2007 p. 2829

E. Caprioli « Impunité de Google en matière de vie privée sur le territoire français », CCE n°10, Octobre 2008, commentaire 119.

W. J. Maxwell, T. Zeggane et S. Jacquier « Publicité ciblée et protection du consommateur en France, en Europe et aux Etats-Unis ", CC C n° 6 de juin 2008, étude 8.

P. Malaurie « Ne dépénalisons pas la diffamation et l'injure ", JCP n° 39 du 24 septembre 2008, actualités, 566.

F. Gilbert « Le FTC américain propose des principes pour encadrer la publicité comportementale sur Internet " GP, 24 avril 2008 n°115, p. 17

L. Marino « Les nouveaux territoires des droits de la personnalité ", GP 19 mai 2007 n°139 *Actualité juridique Pénal

Dossier Cybercriminalité : morceaux choisis AJ Pénal n° 3/2009 de mars 2009p. 120. * Revue de sciences criminelles

-brève« Facebook modifie ses conditions d'utilisation » RLDI n° 47 mars 2009

-M Vivant « Les transferts internationaux de données dans la loi de 2004 ", RLDI 2005/9 p.64-68.

-L. Thoumyre « propos introductifs de perspectives colloque « Enjeux des nouveaux réseaux internet " RLDI novembre 2008 n°43

R. Montbeyre « Affaire « Bénédicte S. », Variation sur la détermination de la loi applicable à Google " Experties août-septembre 2008 p.296-300

A. Huet, « Le droit pénal international et internet ", LPA, 10 novembre 1999 n° 224, P. 39. Jurisclasseur

Juris-Classeur, Communication, 2003, Fascicule n°4750, « Forums de discussion ", C. Rojinsky

Jurisclasseur administratif, fascicule 274 : « Informatique. Traitement de données à caractère personnel

Jurisclasseur communication fascicule 4735 « Protection des données à caractère personnel - Vie privée et communication électronique » de M-P. Fenoll-Trousseau et G. Haas de 2005 p37

Juris classeur communication fascicule 3750 « image des personnes », E. Dreyer, 4 novembre 2008 p.13

Jurisclasseur communication fascicule 3000 « conflit de lois et compétence internationale des juridictions françaises », paragraphe 73.

Jurisclasseur communication fascicule 3000 « conflit de lois et compétence internationale des juridictions françaises », paragraphe 73

Jurisprudence

CJCE 25 juillet 1991, affaire 21/89 Factortame. CEDH 29 avril 2002 Pretty contre Royaume-Uni

CCE n°10, Octobre 2008, commentaire 119 d'Eric Caprioli « Impunité de Google en matière de vie privée sur le territoire français »

Conseil constitutionnel décision n° 76-75 DC du 12 janvier 1977 Conseil constitutionnel décision n° 99-416 DC du 23 juillet 199

Cass. Ass. Plén. 12 juillet 2000, Bull. Civ. Ass. Plén. n°8, p.13 ; Légipresse 2003, n°202, II, p.71, obs. S. Martin-Vallette.

Cass. Crim. 29 avril 1997 ; Legipresse 1998, n° 151, I, p.50 Cass. Crim. 20 décembre 1923, DH 1924.68

Cass. Crim. 30 janvier 2001 ; JCP 2001, II, 10515, note A. Lepage Cass. Crim. 5 janvier 1974 ; Bull. Crim. n° 4

Cass. Civ. 1^e 24 octobre 2006 ; legipresse 2007, troisième partie p. 89 Cass. Civ. 1^e 16 avril 1985, Bull. n° 114.

Cass. Civ. 1^e 14 janvier 1997 Gardon, Bull. n° 14 ; 11 mai 1999 Bull. n° 153 Cass. Civ. 2e, 3 février 2000, Bull. civ. II, n°23, Dalloz 2000, IR. 76.

Cass. Civ. 2e, 14 janvier 1998, Bull. civ. II, n°11 ; Dalloz, 1999, 134 Cass. Civ. 2e 14 mar 2002; Bull. civ. 2002, II, n° 41 p. 34

Cass. Civ 1^e 21 mars 2006 ; D. 2006 p. 2702, A. Lepage, L. Marino, C. Bigot Cass. Civ 1^e 19 février 2004 ; D. 2004 p.1633, C. Caron.

Cass. Civ. 2^e 25 novembre 2004 ; D. 2005 p. 2643, A. Lepage, L. Marino, C. Bigot. Cass. Civ 2e 3 juin 2004; D. 2005 p. 2643, A. Lepage, L. Marino, C. Bigot.

Cour d'appel de Paris 27 avril 2007 Anthony G. contre SCPP Cour d'appel de Paris 15 mai 2007 Henri S. contre SCPP

CA Paris Paris 6 mai 2009 Dailymotion contre Nord Quest Production et autres CA Besançon 31 janvier 2007 ; D. 2007 P.2771, A. Lepage, L. Marino, C. Bigot. Cour d'appel de Paris 16 janvier 2003 CCE octobre 2003 p. 13, A. Lepage.

CA Paris, 23 juin 2000, Légipresse, novembre 2000, III, 182, note C. Rojinsky. Cour d'appel de Paris 16 janvier 2003 CCE octobre 2003 p. 13, A. Lepage

CA Paris, 15 décembre 1999, Expertises n°235, 2000, p. 77 et TGI Paris, 25 mai 2000, Légipresse, n°178, janvier2001, III, p.10.

CA Paris 22 mars 2005, CCE n° 11, novembres 2005, commentaire 176 de A. Lepage. CAParis 24 avril 2007, CCE n°12, décembre 2007, commentaire 156 de A. Lepage. CA Paris 10 février 1999 ; CCE 2000 commentaire n° 34, observations R. Desgorces. CA Versailles 8 juin 2000 ; CCE 2000 commentaire n° 81, observations J-C Galloux

TGI Privas 3 septembre 1997 ; LPA 11 novembre 1998 p. 19, note J. Frayssinet, confirmé par CA Nîmes 6 novembre 1998revue droit de l'informatique et des télécoms 1999/4 p51, note M-Existence Bichon-Lefeuvre

TGI Mulhouse 17 mars 2008Société anonyme d'Économie Mixte Solea contre Youtube,

TGI Paris Qrdonnance de référé 09 février 2009 Kimberley P. / Myspace et autres 09/02/2009 TGI Paris 13 novembre 1998 UNADIF contre Faurisson cité dans le Jurisclasseur communication fascicule 3000 « conflit de lois et compétence internationale des juridictions françaises », paragraphe 73.

TGI Paris, référé, 5 juillet 2002, Dalloz 2003 sommaire p. 1536 observations L. Marino. TGI Paris 17 mars 2003 ; CCE mars 2006 p. 39, A. Lepage.

Qrdonnance de référé du Tribunal de grande instance de Paris du 14 avril 2008 Bénédicte S. c/ Google

Sommaire...................................................................................................1

Liste des abréviations............................. .....................................................4
LexiqueFacebook................... ...................................................... ............5
Introduction................................................................................................7

CHAPITRE 1 : La protection des utilisateurs contre l'exploitant du site de réseau social 13

Section préliminaire : L'entreprise qui exploite un site de réseau social est-elle un

responsable de traitement de données à caractère personnel ? 14 I Les informations sur les utilisateurs de réseaux sociaux sont des données à caractère
personnel....................................................... .............................................	15
A Les données à caractère personnel .............................. 15
B Les données sensibles.................................. ........................................................	16
C L'incertitude sur la qualification de donnée personnelle de l'adresse IP...................... ......	.17
II. Le traitement de données à caractère personnel............... ............................................ 18		III. Le responsable du traitement du site Facebook............................... ............................
19
Section 1 : L'application incertaine de la loi Informatique et Libertés à Facebook	21
I L'application du critère de territorialité de la loi Informatique et Libertés...................... ......	21
A Le lieu d'établissement du responsable du traitement....................................................... 22
B Le recours à des moyens de traitement situés sur le territoire français................................. 24
	77

II. La loi Informatique et Libertés doit-elle s'appliquer à tout prix ?~~~~~~~~.~~~~~25

A Les solutions à l'application de la loi Informatique et Libertés ...........................................26

Section 2 : Les atteintes causées par Facebook, violant ses obligations de responsable du traitement ...32

I. L'exploitation des données : le système de ciblage publicitaire............................... ..........32

A. La publicité ciblée sur Facebook ............ .......................................................... ....33

B. L'application de la loi Informatique et Libertés à la publicité ciblée sur Facebook...................35

C. Les solutions pour encadrer la publicité ciblée sur Facebook............................ ......... ....35

CHAPITRE 2 La protection des utilisateurs contre les autres membres du site de réseau social . .43

Section I. Les atteintes à la vie privée et à l'image sur les réseaux sociaux . 43

I Les atteintes traditionnelles à la vie privée et à l'image sur les réseaux sociaux................ 44

A L'application des règles ordinaires de protection de la vie privée et de l'image ......... ...... .....44

a/ Le droit au respect de la vie privée......................................................................... 44

b/ Le droit à l'image.................................................................................................48

I. La constitution des infractions de presse sur les réseaux sociaux............ ... 59

II. La répression des infractions de presse sur les réseaux sociaux..........................................	66
A. La détermination de la personne responsable sur les réseaux sociaux...................................	66
B. La prescription des infractions de presse commises sur les réseaux sociaux ...........................	67
Conclusion	70
Bibliographie	..71
Table des matières	.77

Les réseaux sociaux en ligne et la vie privée

SOMMMAIRE

LISTE DES ABREVIATIONS

LEXIQUE DES TERMES PROPRES AU SITE FACEBOOK

INTRODUCTION

Chapitre 1 : La protection des utilisateurs contrel'exploitant du site de réseau social

Section préliminaire L'entreprise qui exploite un site de réseau social est-elle un responsable d'un traitement de données à caractère personnel ?

I Les informations sur les utilisateurs de réseaux sociaux sont des données à caractère personnel

A Les données à caractère personnel

B Les données sensibles

C L'incertitude sur la qualification de donnée personnelle de l'adresse IP

II Le traitement de données à caractère personnel

III Le responsable du traitement du site Facebook

Section 1 L'application incertaine de la loi Informatique et Libertés à Facebook

I L'application du critère de territorialité de la loi Informatique et Libertés

A Le lieu d'établissement du responsable du traitement

B le recours à des moyens de traitement situés sur le territoire français

II La loi Informatique et libertés doit-elle s'appliquer à tout prix ?

A Les solutions à l'application de la loi Informatique et Libertés

1) La désignation de la loi française comme loi de conflit

2) La reconnaissance de la loi Informatique et Libertés comme loi de police

B Le droit applicable aux données à caractère personnel françaises de Facebook en l'absence d'application de la loi Informatique et Libertés

Section 2 Les atteintes causées par Facebook violant ses obligations de responsable de traitement

I L'exploitation des données : le système ciblage publicitaire

A La publicité ciblée sur Facebook

B L'application de la loi Informatique et Libertés à la publicité ciblée sur Facebook

C Les solutions pour encadrer la publicité ciblée sur Facebook

II La conservation des données : le droit à l'oubli

A Les textes relatifs au droit à l'oubli

B L'absence de droit à l'oubli sur Facebook

C. Les solutions permettant l'exercice du droit à l'oubli

CONCLUSION DU CHAPITRE 1

CHAPITRE 2 : La protection des utilisateurs contreles autres membres du site de réseau social

Section 1 Les atteintes à la vie privée et à l'image sur les réseaux sociaux

I Les atteintes traditionnelles à la vie privée et à l'image sur les réseaux sociaux

A. L'application des règles ordinaires de protection de la vie privée et de l'image Le droit à la vie privée et à l'image sont des droits de la personnalité. Les droits de la

1) La protection civile de la vie privée et de l'image sur Facebook

a/ Le droit au respect de la vie privée

b/ Le droit à l'image

2) La protection pénale de la vie privée et de l'image

B. L'application de règles spécifiques de protection de la vie privée et de l'image

II Les atteintes inédites à la vie privée et à l'image sur les sites de réseaux sociaux

A La politique de confidentialité de Facebook

B La libre volonté de la personne de dévoiler sa vie privée

Section 2 Les abus de liberté d'expression sur les réseaux sociaux

I La constitution des infractions de presse sur les réseaux sociaux

A L'élément fondamental commun aux infractions de presse : la publicitéL'article 23 de la loi de 1881 énumère les différents modes de publication relevant de

B Les éléments spécifiques constitutifs de la diffamation et de l'injure

1) L'élément matériel de la diffamation et de l'injure

2) L'élément intentionnel de la diffamation et de l'injure

II La répression des infractions de presse sur les réseaux sociaux

A. La détermination de la personne responsable sur les sites de réseaux sociaux

B. La prescription des infractions de presse commise sur les réseaux sociaux

CONCLUSION DU CHAPITRE 2

CONCLUSION DU MEMOIRE

Bibliographie

J-F Théry, I. Falque-Pierrotin, « Internet et les réseaux numériques ", étude adoptée

Délibérations, guides, rapports de la CNIL

Jurisprudence

TABLE DES MATIERES

Section préliminaire : L'entreprise qui exploite un site de réseau social est-elle un

II. La loi Informatique et Libertés doit-elle s'appliquer à tout prix ?~~~~~~~~.~~~~~25

I. L'exploitation des données : le système de ciblage publicitaire............................... ..........32

A. La publicité ciblée sur Facebook ............ .......................................................... ....33

B. L'application de la loi Informatique et Libertés à la publicité ciblée sur Facebook...................35

Chapitre 1 : La protection des utilisateurs contre
l'exploitant du site de réseau social

CHAPITRE 2 : La protection des utilisateurs contre
les autres membres du site de réseau social

II. La loi Informatique et Libertés doit-elle s'appliquer à tout prix ?~~~~.~25