Chapitre 1 : La protection des utilisateurs
contre
l'exploitant du site de réseau social
Les exploitants des sites de réseaux sociaux pourraient
se voir appliquer deux qualifications : celle de responsable de traitement et
celle d'hébergeur. Nous aborderons succinctement la qualification
d'hébergeur pour mieux nous concentrer sur la qualification de
responsable de traitement.
Les sites de réseaux sociaux permettent aux
utilisateurs de mettre en ligne toutes sortes de contenus, dont des
vidéos. Certains de ces contenus peuvent être
protégés par un droit de propriété intellectuelle,
de sorte que les ayants droits attaquent les exploitants de sites de
réseaux sociaux (tout particulièrement Youtube, Dailymotion qui
sont des modèles phare de réseaux sociaux) lorsque des
oeuvres dont ils sont titulaires sont mis en ligne. Les sites de réseaux
sociaux affirment de leur côté bénéficier de la
qualité d'hébergeur au sens de l'article 6-I-2 de la loi pour la
confiance en l'économie numérique (LCEN) et jouir ainsi de la
responsabilité limitée dérogatoire au droit commun qui en
découle. En effet, aux termes de l'article 6-I-7 de la LCEN, les
hébergeurs ne sont soumis à aucune obligation
générale de surveillance des informations qu'ils transmettent ou
stockent, ni à une obligation générale de rechercher des
faits ou des circonstances révélant des activités
illicites. Dès lors, leur responsabilité ne peut être
engagée que lorsqu'ils ont pris connaissance de manière effective
du contenu illicite, ils n'ont pas agit promptement pour le retirer (article
6-I-2 de la LCEN). Les sites de réseaux sociaux n'étant pas
dotés d'un statut légal spécifique, les juges ont du les
rattacher à une catégorie préexistante19,
souvent de manière contradictoire, même si depuis peu le
régime semble s'être stabilisé. Comme il n'existe aucune
décision de justice impliquant spécifiquement Facebook, il
convient de se tourner vers les décisions impliquant Myspace, autre site
de réseau social, ainsi que Youtube et Dailymotion, qui sont des sites
de partage de contenu dont la problématique est identique à celle
de Facebook. Les dernières décisions rendues qualifient ces sites
d'hébergeur20et, par analogie, en l'état actuel de la
jurisprudence, Facebook serait donc qualifiable d'hébergeur. Nous
n'entrerons pas plus en détail pour nous intéresser en
priorité à la protection des données à
caractère personnel.
19 C. Féral-Schuhl « Cyberdroit, le droit
à l'épreuve de l'Internet », 5e
édition, p. 799.
20 TGI Paris 10 avril 2009 Zadig productions contre
Dailymotion; CA Paris Paris 6 mai 2009 Dailymotion contre Nord Ouest Production
et autres, TGI Paris 14 novembre 2008 Jean Yves Lafesse contre Youtube ; TGI
Mulhouse 17 mars 2008 Société anonyme d'Économie Mixte
Solea contre Youtube ; TGI Paris Ordonnance de référé 09
février 2009 Kimberley P. contre Myspace et autres 09/02/2009.
Après avoir envisagé la qualification
d'hébergeur des sites de réseaux sociaux, il conviendra de
déterminer si les entreprises exploitant ces sites peuvent se voir
imposer la qualité de responsable du traitement de données
à caractère personnel ainsi que les obligations en
découlant.
La loi n° 78-17 du 6 janvier 1978 relative à
l'informatique, aux fichiers et aux libertés dite loi Informatique et
Libertés, a été adoptée en réaction au
projet de fichier SAFARI élaboré dans les années 1970. Ce
projet gouvernemental avait pour objet d'identifier chaque citoyen par un
numéro et d'interconnecter sur la base de cet identifiant tous les
fichiers de l'administration. Afin de protéger les personnes physiques
contre les dangers de la mémoire informatique, potentiellement
perpétuelle en plus d'être réutilisable, et donc
susceptible de menacer les libertés individuelles des individus, la loi
Informatique et Libertés impose des obligations aux personnes
qualifiées de responsable du traitement21. Nous
démontrerons donc, dans un premier temps, que les exploitants de site de
réseaux sociaux sont des responsables du traitement de données
à caractère personnel (Section préliminaire). Par voie de
conséquence, nous démontrerons dans un deuxième temps que
Facebook entre dans le champ d'application territorial de la loi Informatique
et Libertés (Section 1). Partant de ce postulat, nous aborderons enfin
la protection offerte par la loi Informatique et Libertés aux membres de
réseaux sociaux, qui revient à imposer un certain nombre
d'obligations à la charge des responsables de traitements (Section
2).
Section préliminaire L'entreprise qui exploite un
site de réseau social est-elle un responsable d'un traitement de
données à caractère personnel ?
Les principes de base de la loi Informatique et
Libertés sont posés dans ses articles 2 et 3. Après avoir
rappelé ce que recouvre la notion de donnée à
caractère personnel (I), nous identifierons ce que constitue un
traitement de données à caractère personnel (II) pour
démontrer que la société exploitant le site Facebook est
susceptible de se voir reconnaître la qualité de responsable de
traitement (III).
21 L'article 3-I de la loi Informatique et Libertés
dispose que « Le responsable d'un traitement de données
à caractère personnel est, sauf désignation expresse par
les dispositions législatives ou réglementaires relatives
à ce traitement, la personne, l'autorité publique, le service ou
l'organisme qui détermine ses finalités et ses
moyens».
I Les informations sur les utilisateurs de réseaux
sociaux sont des données à caractère personnel
Nous allons nous se demander si les informations des
utilisateurs sont des données à caractère personnel (A),
voire des données à caractère personnel sensibles (B). La
controverse concernant la qualification de l'adresse IP de donnée
à caractère personnel sera également abordée
(C).
| 
