Enregistrement des bénéficiaires effectifs: il est temps d’agir | Droit des sociétés

Quelles sont les obligations des chefs d’entreprise, en ce qui concerne l’enregistrement des bénéficiaires effectifs de leurs sociétés? En quoi ces obligations diffèrent-elles, en France et au Royaume Uni, même si elles découlent de la même législation européenne, c’est à dire la Directive européenne 2015/849 du 20 mai 2015 sur la lutte contre le blanchiment d’argent?

Enregistrement des bénéficiaires effectifs1. Qu’est-ce à dire?

Le 20 mai 2015, la Directive (UE) 2015/849 du Parlement et du Conseil européens sur la prévention de l’utilisation du système financier dans des buts de blanchiment d’argent et de financement du terrorisme, amendant le Règlement (UE) N. 648/2012 du Parlement et du Conseil européens, et abrogeant la Directive 2005/60/CE du Parlement et du Conseil européens, a été publiée (la « Directive »).

Comme indiqué dans les considérants de la Directive, et afin de mieux lutter contre le blanchiment d’argent, le financement du terrorisme et le crime organisé, ‟il est nécessaire d’identifier toute personne physique qui détient la propriété ou le contrôle d’une personne morale (…). L’identification et la vérification des bénéficiaires effectifs devraient, lorsque cela est approprié, s’étendre aux personnes morales qui détiennent d’autres personnes morales, et ces personnes morales doivent en outre chercher la ou les personnes physiques qui exercent du contrôle, en toute finalité, par le biais de la propriété, ou d’autres moyens, sur la personne morale qui est cliente“.

De plus, ‟le besoin d’avoir de l’information exacte et à jour concernant les bénéficiaires effectifs, est un facteur clé pour tracer les criminels qui, sinon, pourraient cacher leur identité derrière la structure de l’entreprise“.

Le chapitre III (Informations sur les bénéficiaires effectifs) de la Directive est relatif à ce sujet.

En particulier, l’article 30 de la Directive stipule que ‟les états-membres doivent s’assurer que les informations (sur les bénéficiaires effectifs) sont détenues dans un registre central dans chaque état-membre, par exemple un registre commercial, un registre des sociétés ou un registre public (…). Les états-membres doivent s’assurer que les informations sur les bénéficiaires effectifs sont adéquates, exactes et à jour” et accessibles ‟aux autorités compétentes, sans aucune restriction; (…) et à toute personne ou organisation qui peut démontrer un intérêt légitime“.

Ces personnes physiques ou organisations doivent pouvoir accéder au moins au nom, au mois et à l’année de naissance, à la nationalité et au pays de résidence du bénéficiaire effectif, ainsi qu’à la nature et à l’étendue de l’intérêt bénéficiaire détenu.

2. Enregistrement des bénéficiaires effectifs de sociétés françaises

Avec une nonchalance typiquement française, et alors même que la date-butoir pour transposer la Directive dans chaque état-membre était le 26 juin 2017, la France a transposé la Directive presqu’un an après, par le biais de son Ordonnance n° 2016-1635 du 1er décembre 2016 renforçant le dispositif français de lutte contre le blanchiment et le financement du terrorisme et de son Décret n° 2017-1094 du 12 juin 2017 relatif au registre des bénéficiaires effectifs définis à l’article L. 561-2-2 du code monétaire et financier (l’ « Ordonnance » et le « Décret » respectivement), avec une date de mise en conformité au 1er avril 2018.

L’Ordonnance et le Décret, qui ont maintenant été incorporés dans le Code monétaire et financier, imposent à toutes les sociétés opérant en France, d’enregistrer leurs bénéficiaires effectifs auprès du Registre du Commerce et des Sociétés du tribunal de commerce compétent (le ‟Registre“).

2.1. Bénéficiaires effectifs et enregistrement au Registre

La notion de bénéficiaire effectif n’est pas définie dans le Décret, bien qu’elle soit définie dans la Directive comme incluant chaque personne physique qui détient, en toute finalité, directement ou indirectement, plus de 25% de l’actionnariat, des parts sociales ou des droits de vote de la société, ou exerce, par d’autres moyens, un pouvoir de supervision sur les organes de direction ou de gestion d’une société, ou de l’assemblée générale des actionnaires.

Les informations qui doivent être enregistrées sont essentiellement identiques à celles requises par les établissements financiers et autres entités, telles que les cabinets d’avocats, afin d’effectuer leurs contrôles obligatoires de « Know-Your-Client » (KYC).

2.2. Enregistrements initiaux

La déclaration des bénéficiaires effectifs doit être enregistrée auprès du Registre, lorsqu’une société s’enregistre auprès du Registre ou, au plus tard, dans les 15 jours de la date de délivrance d’une confirmation d’enregistrement (article R. 561-55 du Code monétaire et financier) c’est à dire lorsqu’elle s’immatricule ou ouvre une filiale en France.

2.3. Enregistrements correctifs

Pour les sociétés déjà immatriculées, la date-butoir pour la déclaration est le 1er avril 2018. Si des mises à jour postérieures sont requises, de nouveaux enregistrements doivent être effectués dans les 30 jours à partir de la date du fait ou de l’acte donnant lieu à la mise à jour requise (article R. 561-55 du Code monétaire et financier).

2.4. A propos du bénéficiaire effectif

La déclaration doit comprendre le nom et les coordonnées du bénéficiaire, ainsi que les moyens de contrôle exercés par le bénéficiaire effectif et la date à laquelle il ou elle est devenu un bénéficiaire effectif (article R. 561-56, 2. du Code monétaire et financier).

2.5. Personnes ayant accès au registre des bénéficiaires effectifs

L’accès au registre des bénéficiaires effectifs est limité aux magistrats des juridictions civiles et au Ministère de la justice; aux enquêteurs travaillant pour l’Autorité des Marchés Financiers; les agents de la Direction Générale des Finances Publiques; les institutions de crédit, sociétés d’assurance et d’assurance mutuelle et les prestataires de services d’investissement y étant autorisés; et toute personne autorisée par une décision de justice à cet effet.

2.6. Pénalités pour non-conformité

Les nouvelles dispositions du Code monétaire et financier prévoient des pénalités, notamment la possibilité pour toute personne ayant un intérêt légitime, de faire un recours pour forcer la société en défaut à se conformer à ses obligations de déclarer ses bénéficiaires effectifs (article R. 561-48 du Code monétaire et financier).

Des dispositions punitives ont en outre été introduites: l’absence de déclaration des bénéficiaires effectifs sur le Registre, ou l’enregistrement d’une déclaration comprenant des informations incomplètes ou inexactes est passible d’une peine d’emprisonnement de 6 mois et d’une amende de 7.500 (article 561-49 du Code monétaire et financier).

3. Enregistrement des bénéficiaires effectifs de sociétés anglaises

Conformément à la date-butoir de transposition de la Directive dans chaque état-membre au 26 juin 2017, le Royaume-Uni a transposé la Directive dans les délais, via le nouveau paragraphe 24(3) de l’Annexe 1A du Companies Act 2006, tel qu’il a été amendé par l’Annexe 3 du Small Business, Enterprise and Employment Act 2015 (le « Companies Act » et l’ « Enterprise Act » respectivement), avec une date de mise en conformité au 30 juin 2016.

Le Companies Act et l’Enterprise Act, imposent aux sociétés opérant au Royaume-Uni de maintenir un registre des Personnes ayant un Contrôle Significatif (« Registre PCS« ) et d’enregistrer ces informations PCS via leurs déclarations de confirmation (« confirmation statements »), à la date d’enregistrement due, de leurs déclarations de confirmation respectives avec Companies House, c’est à dire l’équivalent, au Royaume Uni, du Registre du Commerce et des Sociétés français du tribunal de commerce compétent (« Companies House« ).

3.1. Bénéficiaires effectifs et enregistrement avec Companies House

La notion de bénéficiaire effectif, ou de contrôle et d’influence significative, telle qu’énoncée dans le Companies Act, est définie dans le Companies Act comme incluant chaque personne physique, qui soit détient, en toute finalité, directement ou indirectement, plus de 25% de l’actionnariat, ou des parts sociales, ou des droits de vote d’une société, ou exerce, par d’autres moyens, un pouvoir de supervision sur les organes de gestion et d’administration de la société ou de l’assemblée générale des actionnaires.

Les sociétés du Royaume Uni, les Societates Europae (SEs), et les « Limited liability partnerships » (LLPs), ainsi que les « Scottish partnerships » éligibles (ESPs), sont dans l’obligation d’identifier et d’enregistrer les personnes ayant un contrôle significatif.

3.2. Enregistrements initiaux

Les informations PCS doivent être enregistrées avec le registre public central de Companies House, lorsqu’une société est tout d’abord immatriculée avec Companies House, c’est à dire quand elle est créée ou ouvre une filiale au Royaume Uni.

En outre, les nouvelles sociétés, les SEs et les LLPs doivent rédiger et maintenir un Registre PCS les concernant, en plus des registres existants tels que le registre des directeurs et le registre des membres (actionnaires).

3.3. Enregistrements correctifs

Pour les sociétés déjà immatriculées, le 6 avril 2016, le Companies Act a imposé à toutes les sociétés de maintenir un Registre PCS et, à partir du 30 juin 2016, d’enregistrer ces informations PCS via leurs « confirmation statements ».

Comme toute société un une date d’enregistrement différente, basée sur l’anniversaire de leur immatriculation respective, cela a pris 12 mois (c’est à dire jusqu’au 30 juin 2017) pour développer une image complète des PCS de toutes les sociétés du Royaume Uni.

3.4. A propos du bénéficiaire effectif

Avant qu’un PCS ne soit mentionné sur le Registre PCS, vous devez confirmer l’ensemble des coordonnées avec eux.

Les coordonnées requises sont:

  • nom;
  • date de naissance;
  • nationalité;
  • pays, état ou partie du Royaume Uni où le PCS vit normalement;
  • l’adresse de correspondance;
  • l’adresse résidentielle usuelle (ceci ne doit pas être divulgué lorsque vous mettez votre registre à disposition, pour inspection et pour la fourniture de copies du Registre PCS);
  • les dates auxquelles il/elle devint un PCS, en relation avec la société (pour les sociétés déjà immatriculées le 6 avril 2016 a été utilisé);
  • quelles conditions pour être considéré comme PCS sont remplies;
    • cela doit inclure le niveau des actions et/ou droits de vote, dans les catégories suivantes:
      • au dessus de 25% et jusqu’à, y compris, 50%;
      • plus de 50% et moins de 75%;
      • 75% ou au delà;
    • la société est uniquement obligée d’identifier si un PCS remplit les condition relatives au contrôle et à l’influence  significative, s’il n’exerce pas de contrôle via les conditions d’actionnariat et de droits de vote;
  •  si une demande a été effectuée pour que les informations concernant l’individu soient protégées de la divulgation publique.

3.5. Personnes ayant accès au registre des bénéficiaires effectifs

Le Registre PCS d’une société doit contenir les informations énoncées au paragraphe 3.4 ci-dessus, concernant chaque PCS de la société. Toutefois, cela n’est pas toujours possible. Lorsque, pour certaines raisons, les informations PCS ne peuvent être fournies, d’autres déclarations doivent être faites à la place, expliquant pourquoi les informations PCS ne sont pas disponibles. Le Registre PCS ne peut jamais être vide et ces informations doivent être fournies à Companies House.

A la différence de la situation en France, les informations des PCS est accessibles à tous, pour chaque société, sur le site web de Companies House.

Etant donné que le Registre PCS est un des registres obligatoires d’une société, chaque société du Royaume Uni doit le garder à son siège social (ou tout lieu d’inspection alternatif). Toute personne ayant un objectif approprié peut y avoir accès, sans frais ou obtenir une copie, pour laquelle les sociétés peuvent facturer 12 livres sterling.

Si l’on compare avec la situation en France, il est donc bien plus facile d’obtenir le Registre PCS d’une société du Royaume Uni, que d’une société française.

3.6. Pénalités pour non-conformité

Les dirigeants sociaux qui manquent à leurs obligations de prendre toutes les mesures raisonnables pour divulguer leurs PCS, sont susceptibles d’être condamnés à une amende, ou à une peine de prison (pouvant aller jusqu’à deux ans), ou les deux. Si une personne sur laquelle une enquête est faite, ne répond pas à la demande d’informations de la société, cette-dernière a le droit de « geler » les actions en question, en mettant fin aux transferts proposés et aux  dividendes en relation avec ces actions.

 

Annabelle Gauberti est l’associée fondatrice de Crefovi, notre cabinet d’avocats à Paris et Londres, spécialisé dans le conseil aux industries créatives en général, et, en particulier, à leurs obligations en droit des sociétés et droit des affaires. Elle est avocat au barreau de Paris, ainsi que « solicitor of England & Wales ».

Annabelle est aussi présidente de l’International association of lawyers for the creative industries (ialci).

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Stratégie d’intégration verticale de Netflix: j’ai touché en plein dans le mille | Droit de l’entertainment

Quelle est la position de Netflix, en ce qui concerne l’expansion de son business model, de son contenu et de ses canaux de distribution, dans le monde entier? Vers où se dirige-t-il, dans l’écosystème de distribution de contenu actuel?

1. Etat des lieux de Netflix en 2018

Le 15 mai 2015, durant l’évènement « Conversation avec Ted Sarandos » au Festival du Film de Cannes, j’ai demandé au directeur des programmes de Netflix, pourquoi ne pas acquérir des studios de cinéma de type « major », afin d’avoir plus de pouvoir et d’influence, tout en négociant la réduction, ou même le retrait, de la chronologie des médias, afin de diffuser du contenu audiovisuel dans le domaine public partout dans le monde. Certainement, par le biais de l’intégration verticale, Netflix serait à même de convaincre avec succès les gouvernements et propriétaires de salles de cinéma nationaux, de par le monde, qu’adopter sa stratégie de diffusion « day-and-date » est une solution gagnant-gagnant pour tous?

Ted Sarandos était visiblement ennuyé par ma question à l’époque, l’écartant entièrement en répondant, en gros, qu’acquérir des studios indépendants ou « major » ne fonctionnerait pas car Netflix n’aurait pas accès à leurs catalogues d’anciennes parutions dans tous les cas; alors même que c’était là où se trouvait les sources de revenus substantielles. Je suis restée perplexe face à l’étroitesse d’esprit de Sarandos, dans sa réponse à mes questions, mais pensais qu’il m’avait parlé d’un ton sec parce que je l’avais mis sur la sellette en face d’une audience de plus de 300 personnes, au festival du film le plus prestigieux de la planète!

Trois ans plus tard, et ma meilleure stratégie envisagée pour Netflix, afin de renforcer sa présence globale, non seulement en ligne, mais aussi  dans la sphère commerciale « physique », est en train de devenir une réalité. J’ai touché en plein dans le mille: Netflix a annoncé hier qu’ils sont en discussions avancées pour acquérir les studios EuropaCorp de Luc Besson.

C’est la seule voie pour progresser, pour Netflix, étant donné qu’il a presque atteint la saturation en ce qui concerne la distribution de son contenu sur son site web et ses applications en ligne, globalement. En effet, les membres de Netflix souscrivant un plan uniquement concernant le streaming, peuvent regarder les programmes TV et les films instantanément dans plus de 190 pays (Netflix est uniquement non disponible en China, à ce jour, ainsi qu’en Crimée, Corée du Nord et Syrie, du fait des restrictions du gouvernement américain imposées aux sociétés américaines là-bas). De plus, dans les marchés clés tels que les USA, le Mexique, le Brésil et l’Argentine, Netflix avait un taux de pénétration d’au moins 72% durant le second trimestre de 2017.

Alors que de plus en plus de consommateurs souscrivent aux abonnements de streaming de Netflix de par le monde, avec un nombre total de 117,58 millions de souscripteurs globalement durant le quatrième trimestre de 2017la durée moyenne de souscription à Netflix est 43 mois par foyers américains bénéficiant de la wifi. Ainsi, Netflix bénéficie d’une base d’abonnés loyaux et payant rigoureusement leurs abonnements, qui croît à un taux annuel de 18%. Les coûts fixes, ainsi que les coûts opérationnels et les frais généraux, sont relativement bas pour Netflix, étant donné qu’il compte approximativement 5.400 employés (en comparaison, Microsoft en a 124.000 alors qu’Apple en a 123.000) et puisqu’il n’a pas besoin de biens immobiliers luxueux ou d’autres types d’actifs tangibles dans le cadre de sa stratégie commerciale gagnante. En attendant, les revenus de Netflix en 2017 étaient de USD11.69 milliards – croissant plus de dix fois entre 2005 et 2016 – et le revenu net de Netflix en 2017 était d’un montant confortable de USD559 millions.

En bref, Netflix nage dans le cash, ayant maintenant mis en place avec succès sa stratégie de scaling-up dans la sphère en ligne, partout dans le monde. Tous ces revenus disponibles doivent être réinvestis dans le business, les co-fondateurs Reed Hastings et Marc Randolph n’étant pas le type de personnes à trimer pour les actionnaires de Netflix en gaspillant avec des distributions de dividendes annuelles. En fait, Netflix n’a jamais payé de dividendes à ses actionnaires dans les 10 dernières années!

2. Première étape de la stratégie d’intégration verticale de Netflix: le saut dans la création et la production de contenu

Durant les 5 dernières années, la société fondée en 1997 Netflix, qui a débuté en tant qu’entreprise de location de DVD par voie postale, a mis en oeuvre avec succès les premières étapes de sa stratégie d’intégration verticale, peu importe ce que Sarandos a à dire à ce sujet

Le vrai décisionnaire, ici, est le co-fondateur, chairman et PDG Reed Hastings, qui a pleinement compris que Netflix doit posséder chaque produit ou service de sa chaîne logistique, afin de gagner des revenus conséquents. Dans ce contexte, l’intégration verticale implique de posséder la distribution ainsi que le contenu. D’où le saut dans la création et la production de contenu pour Netflix, étant donné que l’octroi de licences sur du contenu existant était simplement suffisant pour renforcer son catalogue naissant, et à le rendre attractif à une clientèle plus large et de plus en plus diversifiée culturellement parlant, et en croissance exponentielle autour du monde.

Générer de hauts revenus provient de la détention à 100% du contenu, sans redevances de licence à verser aux titulaires de droits. Ce contenu détenu à part entière peut même être octroyé en licence, ouvrant de nouveaux flux de revenus tels que la licence de contenu ou même un canal de distribution de marque avec des distributeurs traditionnels, pour Netflix. Les films peuvent être facilement ramassés sur les marchés de films à Sundance, Berlin, Cannes et au American Film Market de Santa-Monica toute l’année, et les poches bien profondes de Netflix lui permettent de sélectionner le meilleur de la moisson offerte par les agents commerciaux et distributeurs, avides de s’attirer les faveurs des services de streaming vidéo à la demande (« Services SVoD« ). Les projets de film et programmes, et les productions cinématographiques, sont aussi négociées directement entre le talent et Netflix; les exemples les plus notables étant celui de la production et commission, par Netflix, de House of Cards, Orange is the new Black, The Crown, Making a Murderer, et Stranger Things. En 2018, le pipeline de contenu débordant d’énergie de Netflix Originals est constitué de plus de 80 films que la société a soit acquis, soit commandés; ce qui sonne vraiment excentrique comparé aux 12 films sortis par Disney, et aux 20 sortis par Warner Bros, en 2018.

Posséder le contenu résout en outre le mal de tête posé par le modèle actuel de distribution en salles qui, selon Ted Sarandos, “est plutôt démodé pour les audiences à-la-demande que nous souhaitons servir”. Netflix, a-t-il dit, ne cherche pas à tuer les « fenêtres de temps » (windowing) mais plutôt à “restaurer les choix et options”, pour les spectateurs, en allant vers les sorties « day-and-date ». En effet, Netflix a négocié de nombreux deals de sortie en salles – il planifie de sortir la suite de Crouching Tiger, Hidden Dragon d’Ang Lee en ligne et dans les salles Inmax, « day-and-date ». Cette évolution (pourtant tardive) vers les sorties « day-and-date » fait vraiment rager les propriétaires de salles de cinéma et les exposants, surtout après la pagaille générée par le succès de Netflix à faire entrer deux de ses films originauxOkja et The Meyerowitz Stories, dans la sélection officielle de compétition au Festival de Cannes de 2017.

3. La prochaine étape de la stratégie d’intégration verticale de Netflix: l’acquisition de studios de films

La stratégie d’intégration verticale et d’expansion de Netflix ne s’arrête pas là, toutefois, puisqu’il a toujours tant de revenu disponible à investir et, hé, pourquoi ne pas acquérir plus de contenu, stakeholders, parts de marché et influence dans les secteurs des films et spectacles, si on le peut, n’est-ce pas? Les Services SVoDs tels que Netflix ont déclaré une guerre ouverte à l’industrie fragmentée du contenu audiovisuel, qui a prospéré pendant des décennies, en broutant sur des modèles industriels segmentés horizontalement. Netflix est à l’avant-garde de la structuration de Services SVoD verticaux du début à la fin, allant directement vers les consommateurs et contournant sans pitié les salles de cinéma, les sociétés de diffusion, les chaînes, les opérateurs de câbles et même les fabricants de télévisions. Cette révolution digitale transforme l’entertainment télévisuel et cinématographique, tout particulièrement les émissions télévisées traditionnelles, et est promue par les gros et rapides progrès faits par internet et les plateformes video over-the-top (« OTT« ), telles que Netflix, Amazon et YouTube de Google.

Profondément ébranlée, une vague of consolidation se profile, par conséquent, dans l’industrie de diffusion de contenu de divertissement, avec Netflix prêt à attraper tout studio de cinéma branlant mais néanmoins prestigieux qui passerait par là, tel que le studio EuropaCorp de Luc Besson. Non seulement le studio que Besson a co-fondé en 1999 a une bibliothèque de contenu et un back-catalogue riches et de haute qualité (comprenant Lucy, Taken, Le Grand Bleu, Valerian and the City of a Thousand Planets, entre autres), mais en outre signer un deal de production et réalisation exclusif avec le séminal et hautement créatif Besson renforcerait le prestige de Netflix, tout en rendant la plateforme encore plus attractive aux publics européens et asiatiques, en particulier.

Je prédis que, si l’occasion propice se présentait, Netflix répètera ce coup de maître d’expansion  verticale et achèterait plus de studios de cinéma major et/ou indépendants.

Il est vrai que l’expansion verticale a ses limites, en particulier du fait des risques d’atteinte à la concurrence qu’elle présente, et que la problématique de l’intégration verticale dans le secteur du divertissement a été la cible principale des décideurs politiques depuis les années 20. Par exemple, dans l’affaire the United States v Paramount Pictures Inc., la Cour suprême des Etats-Unis a ordonné le 3 mai 1948 que les cinq studios major intégrés verticalement, soit MGM, Warner Bros, 20th Century Fox, Paramount Pictures et RKO, qui non seulement produisaient et distribuaient des films mais aussi opéraient leurs propres salles de cinéma, vendent toutes leurs chaînes de cinéma. Toutefois, aujourd’hui, de nombreux conglomérats des médias possèdent déjà des diffuseurs télévisuels (soit de télévision en direct, soit par cable), les sociétés de production qui produisent le contenu pour les réseaux, et détiennent en outre les services qui distribuent leur contenu aux téléspectateurs (tels que les fournisseurs de services télévisuels et internet). Bell Canada, Comcast, Sky plc et Roger Communications sont intégrés verticalement de cette manière – en opérant des succursales de médias et en fournissant des services de « triple play » à la télévision, sur internet et sur les services de téléphonie sur certains marchés. En outre, Bell et Rogers possèdent des fournisseurs sans fil, Bell Mobility et Rogers Wireless, alors que Comcast a fait un partenariat avec Verizon Wireless. De manière similaire, Sony a des holdings de médias par le biais de sa division Sony Pictures, comprenant du contenu cinématographique et télévisuel, ainsi que des chaînes de télévision, mais est en outre fabricant de produits électroniques grand public qui peuvent être utilisés pour consommer le contenu produit par lui ou d’autres, y compris des télévisions, téléphones et consoles de jeux électroniques PlayStation.

Dans ce contexte, il est assez difficile d’imaginer que Netflix serait l’objet de procès ou enquêtes relatifs à des atteintes au droit de la concurrence, parce qu’il se lancerait dans une frénésie d’achat de studios de films, même un des majors « Big Six ».

4. Le coup de maître du plan d’intégration verticale de Netflix: réseaux de diffusion et chaînes de cinéma

La prochaine étape de l’intégration verticale et de la stratégie d’expansion de Netflix, en plus de l’acquisition, production et commande de son propre contenu, et au-delà de l’acquisition de studios de films, est de plonger dans la distribution de son propre contenu dans le « vrai » monde (c’est à dire dans le monde hors ligne), soit sur d’autres canaux de distribution des médias, tels qu’un réseau de télédiffusion, soit dans les salles de cinéma.

Je prédis que, dans 10 ans, si la TV est toujours un médium utilisé par les consommateurs, Netflix aura ses propres chaînes de télévision et réseaux de télédiffusion. Dans le futur, si les gens continuent à fréquenter les salles de cinema de temps en temps, afin d’y voir notamment les films à effets spéciaux, Netflix investira en outre dans le rachat de chaînes de cinéma en difficulté, provoquant une concurrence directe avec le groupe de cinéma chinois Dalian, propriété de Wanda, qui est actuellement en proie à une frénésie d’achats de chaînes de cinéma à travers l’Europe et les US.

Cette « stratégie online vers offline » est en passe d’être exécutée avec brio par Amazon, à l’origine un « pure player », qui est en train d’acheter des espaces retail traditionnels partout dans le monde, afin de continuer ses assauts concurrentiels sur les supermarchés traditionnels et les centres commerciaux, d’accroître sa part de marché et d’être plus proche de sa clientèle, dans le monde entier. Amazon est à un stade de croissance beaucoup plus mature que Netflix, évidemment, mais fournit une empreinte excellente de la future feuille de route que Netflix va sans aucun doute mettre en oeuvre.

5. Pas d’espace pour Apple dans la stratégie d’intégration verticale de Netflix

Certains commentateurs dans les industries du divertissement et de la finance prétendent qu’Apple va acheter Netflix mais ceci est une erreur.

Premièrement, Netflix n’a aucune incitation à accepter une offre d’achat, même provenant d’un géant de la tech comme Apple, parce qu’il est dans une position stratégique et financière si forte, et sera dans ce « sweet spot » pour encore de nombreuses années, malgré ses concurrents SVoD moins connus, tels qu’Amazon Prime, Hulu et Vudu, qui lui collent aux basques.

Deuxièmement, grâce à cette stratégie d’intégration verticale mentionnée ci-dessus, et des données financières, en béton, l’évaluation de Netflix est simplement trop élevée, actuellement. Son cours se négocie en bourse à des taux record, avec une capitalisation boursière à USD94 milliards.

Troisièmement, le co-fondateur Reed Hastings, qui garde un contrôle très serré sur Netflix en ses capacités de chairman et PDG, et en profite bien, ne vendra probablement pas son entreprise à une prime dérisoire de 6% environ (USD100 milliards).

Enfin, la spécificité et force d’Apple se situent dans son matériel informatique et ses produits, pas vraiment dans ses logiciels et services (à part, peut-être, le logiciel d’édition de vidéos d’Apple, Final Cut Pro): l’intégration de Netflix dans Apple renforcerait le positionnement de ce dernier comme un fournisseur sérieux de logiciels et d’applications en ligne, mais n’apporterait strictement rien à la stratégie d’intégration verticale du premier, qui va maintenant de l’avant avec l’achat de studios de films, de réseaux de télédiffusion et de chaînes de cinéma.

 

Annabelle Gauberti est l’associée fondatrice de Crefovi, notre cabinet d’avocats à Londres et Paris  spécialisé dans le conseil aux industries créatives. Elle est solicitor of England & Wales, ainsi qu’avocat au barreau de Paris.

Annabelle est aussi la présidente de l’International association of lawyers for the creative industries (ialci).

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Comment mettre votre business créatif en conformité avec le RGPD | Règlement Général sur la Protection des Données

Le RGPD arrive à grands pas: qu’est-ce que c’est? Comment est-ce qu’il va impacter vous-même et votre business? Que devez-vous faire afin de vous mettre en conformité avec le RGPD?

Il n’y a pas un moment à perdre, étant donné que les enjeux sont très élevés, et puisqu’être en conformité avec le RGPD va bien évidemment procurer des avantages concurrentiels à votre business.

RGPD, conformité avec le RGPD, Règlement Général sur la Protection des Données

Le 27 avril 2016, après plus de 4 ans de discussions et négociations, le parlement et le conseil européens ont adopté le Règlement Général sur la Protection des Données (« RGPD »).

  1. Pourquoi le RGPD?

Le RGPD abroge la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (la “Directive”).

La Directive, qui est entrée en vigueur il y a plus de 20 ans, n’était plus propre à l’usage, étant donné que la quantité d’informations numériques que les entreprises créent, capturent et stockent, a beaucoup augmentée.

Les données – et plus il y en a, mieux c’est – sont là pour durer. Les données d’aujourd’hui lubrifient de plus en plus notre monde numérique. Le contrôle des données est, en fin de compte, constitutif de pouvoir, et la propriété des données a un effet très sérieux sur la concurrence dans tout marché existent. En collectant plus de données, une entreprise a plus de champ pour améliorer ses produits, ce qui attire plus d’utilisateurs, générant encore plus de données, et ainsi de suite. Les actifs constitués par les données (« data assets ») sont, aujourd’hui, au moins tout aussi importants que les autres actifs intangibles tels que les marques, le droit d’auteur, les brevets et dessins et modèles, pour les sociétés[1]. Les enjeux sont beaucoup plus élevés, aujourd’hui, en ce qui concerne la propriété, le contrôle et la gestion des données, et le RGPD est focalisé sur ce flot de données du 21ème siècle, alors que nous nous impliquons de plus en plus avec la technologie.

De plus, de nombreux cas judiciaires, lancés dans plusieurs états-membres de l’Union Européenne (“UE”), ont mis le doigt sur les sévères faiblesses et lacunes existantes, en terme de fourniture d’une protection des données personnelles – relatives aux citoyens de l’UE – satisfaisante, forte et homogène, et contrôlées par des sociétés et businesses opérant dans l’UE. Par exemple, le jugement Costeja v Google, rendu par la Cour de justice de l’Union Européenne (« CJUE »), auquel il est souvent fait référence sous l’appellation « jugement sur le droit à l’oubli », a été rendu le 26 novembre 2014. Ce jugement novateur a reconnu que les opérateurs de moteurs de recherche, tels que Google, gèrent des données personnelles et appartiennent à la catégorie de responsables de traitement (« data controllers ») au sens de l’Article 2 de la Directive. De ce fait, la décision de la CJUE reconnaît qu’une personne physique puisse “requérir (auprès d’un moteur de recherches) que les informations (relatives à lui ou elle, personnellement) ne soient plus mises à la disposition du public du fait de son inclusion dans (…) une liste de résultats”. Par le biais de cette décision, la CJUE a forcé les moteurs de recherche tels que Google à retirer, quand demandé, les liens URL qui sont “inadéquats, hors de propos ou ne sont plus pertinents, ou excessifs en relation avec le but pour lequel ils ont été traités et au vue du temps qui s’est écoulé”. Cet arrêt a marqué un grand pas en avant pour la protection des données personnelles dans l’UE.

En outre, les piratages informatiques dans, et les cyber-attacks de, milliers d’entreprises multinationales (Sony Pictures, Yahoo, Linkedin, Equifax, etc.) ainsi que de sociétés nationales de l’UE (Talktalk, etc.) font la une, constamment et de manière très régulière, affectant de manière dramatique le bien-être financier et moral de millions de consommateurs dont les données personnelles ont été volées à cause de ces piratages informatiques. Ces attaques et piratages soulèvent de très graves inquiétudes en ce qui concerne l’aptitude des businesses gérant les données personnelles des consommateurs de l’UE à être à la hauteur, en termes de lutter de manière proactive contre la cybercriminalité et de protéger les données personnelles.

Enfin, le RGPD, qui sera immédiatement applicable dans les 28 états-membres de l’UE sans aucune transposition à partir du 25 mai 2018 (à la différence de la Directive qui avait dû être transposée dans chaque état-membre de l’UE par des réglementations nationales), standardise toutes les lois nationales applicables dans ses états-membres et par conséquent apporte une uniformité parfaite entre elles. Le RGPD met tous les états-membres sur un pied d’égalité.

  1. Quand le RGPD entrera-t-il en vigueur?

Le RGPD, adopté en avril 2016, entre en vigueur le 25 mai 2018, fournissant idéalement une période de préparation de 2 ans aux businesses et entités du secteur public pour qu’ils s’adaptent aux changements.

Alors que de nombreux gérants d’entreprises de l’UE adoptent le point de vue que les changements apportés par le RGPD à leurs businesses, seront d’importance soit mineure soit nulle, ou seront du même ordre d’importance que d’autres problématiques de compliance, il n’y a pas une minute à perdre pour se préparer à la mise en conformité avec le nouveau jeu de règles longues et complexes énoncées dans le RGPD.

  1. Quels sont les enjeux? Quelles organisations sont impactées par le RGPD?

Les enjeux sont très importants. toutes les sociétés, organisations ou entités qui opèrent dans l’UE ou qui ont leurs sièges hors de l’UE mais qui collectent, détiennent ou traitent des données personnelles de citoyens de l’UE doivent se mettre en conformité avec le RGPD avant le 25 mai 2018. Potentiellement, le RGPD pourrait s’appliquer à tout site internet et à toute application sur une base globale.

Comme la plupart, si ce n’est toutes, les multinationales ont des clients, employés et/ou partenaires commerciaux dans l’UE, elles doivent se mettre en conformité avec le RGPD. Même les start-ups et PME doivent se mettre en conformité avec le RGDP, si leur business model implique qu’elles vont collecter, détenir ou traiter des données personnelles de personnes physiques de l’UE (c’est à dire les consommateurs, prospects, salariés, contractants et contractuels, fournisseurs, etc).

Les enjeux sont très élevés pour la plupart des businesses et, pour de nombreuses sociétés, cela devient une problématique et une conversation qui se déroule au niveau du top management et du conseil d’administration.

Pour assurer la mise en conformité avec le nouveau système juridique sur la protection des données, et le respect des nouvelles dispositions, le RGPD a introduit un système de poursuites avec des sanctions financières très lourdes qui seront imposées aux businesses qui ne sont pas en conformité. Si une organisation ne traite par les données personnelles des personnes physiques de l’UE de manière appropriée, elle peut être sanctionnée à payer une amende pouvant aller à, soit 4% de son chiffre d’affaires annuel global, soit 20 millions d’euros – quel que soit le montant le plus élevé[2].

Ces amendes futures sont bien plus élevées que la somme de GBP500.000 d’amende plafonnée que l’Autorité de Protection des Données Personnelles (« APDP« ) du Royaume Uni, l’Information Commissioner Office (“ICO”), ou la somme de 300.000 euros d’amende plafonnée que l’APDP française, la Commission Nationale Informatique et Libertés (“CNIL”), peuvent infliger à des personnes morales actuellement.

  1. Que couvrent les dispositions du RGPD?

Le RGPD est constitué de 99 articles énonçant les droits des personnes physiques, et les obligations placées sur les organisations et personnes morales, dans le champ du RGPD.

Comparé à la Directive, voici les concepts clé nouveaux apportés par le RGPD.

4.1. Privacy by design

Le principe de « privacy by design » signifie que les businesses doivent prendre une approche proactive et préventive en relation avec la protection de la vie privée et des données personnelles. Par exemple, un business qui limite la quantité de données personnelles collectées, ou qui anonymise ces données, est conforme au principe de “privacy by design”.

Cette obligation de “privacy by design” implique que les businesses doivent intégrer – par tous moyens techniques appropriés – la sécurité des données personnelles dès le lancement de leurs  applications ou procédures commerciales.

4.2. Responsabilité (« Accountability »)

La responsabilité (« accountability ») signifie que le responsable du traitement (« data controller »), ainsi que le sous-traitant (« data processor »), doit prendre des mesures juridiques, organisationnelles et techniques appropriées leur permettant de se mettre en conformité avec le RGPD. En outre, les responsables de traitement et les sous-traitants doivent pouvoir démontrer l’exécution de ces mesures, en toute transparence et à tout moment dans le temps, tant auprès de leurs APDP respectifs, qu’auprès des personnes physiques dont les données personnelles ont été traitées par eux.

Ces mesures doivent être proportionnées au risque, c’est à dire au préjudice qui serait causé aux personnes physiques de l’UE, en cas d’utilisation inappropriée de leurs données personnelles.

Afin de savoir si un business est en conformité, il est par conséquent nécessaire d’exécuter un audit des processus relatifs aux données personnelles d’une telle société. Notre cabinet d’avocats Crefovi exécute souvent des audits certifiés par la CNIL ou le ICO.

4.3. Etude d’impact (« Privacy impact Assessment »)

La société en charge de traiter et gérer les données personnelles, ainsi que ses sous-traitants, doit faire une analyse, une étude d’impact aussi appelée « Privacy Impact Assessment » (“PIA”) relative à la protection des données personnelles.

Les businesses doivent exécuter un PIA, une étude d’impact, sur leurs actifs constitués par des données personnelles (« data assets »), afin de suivre et de cartographier les risques inhérents à chaque processus et traitement de données mis en place, en fonction de leur plausibilité et de leur sérieux. A côté de ces risques, le PIA énonce la liste des mesures organisationnelles, technologiques, physiques et juridiques mises en oeuvre pour adresser et minimiser ces risques. Le PIA a pour but de vérifier l’adéquation de ces mesures et, si ces mesures échouent ce test, à déterminer des mesures proportionnées pour adresser ces risques découverts et pour s’assurer que le business devienne conforme au RGPD.

Crefovi accompagne les sociétés dans l’exécution de PIAs et en vérifiant l’efficacité des mesures de protection et de sécurité, grâce à l’exécution de tests d’intrusion.

4.4. Correspondant informatique et liberté (« Data Protection Officer »)

Le RGPD requiert qu’un officier de la protection des données (« Data Protection Officer », “DPO”) soit nommé, afin d’assurer la conformité du traitement des données personnelles par les administrations publiques et les entreprises dont les traitements de données personnelles présentent un fort risk de violation de la protection de la vie privée. Le DPO est le porte-parole de l’organisation en relation avec les données personnelles: il ou elle est le point de contact à qui s’adresser, pour le APDP, en relation avec la mise en conformité du traitement des données personnelles, mais aussi pour les personnes physiques dont les données ont été collectées, afin qu’elles puissent exercer leurs droits.

En plus d’avoir les prérogatives de correspondant informatique et liberté (“CIL”) en France, ou « chief privacy officer » au Royaume Uni, le DPO doit informer ses interlocuteurs de tout piratage informatique qui pourrait intervenir dans l’organisation, et analyser leur impact.

4.5. Profiling

Profiling est un processus automatisé des données personnelles permettant la construction d’informations complexes concernant une personne particulière, telles que ses préférences, sa productivité au travail ou ses allées et venues.

Ce type de traitement des données personnelles peut générer une prise de décision automatisée, qui peut avoir des conséquences juridiques, sans aucune intervention humaine. De ce fait, profiling constitue un risque aux libertés individuelles. C’est pour cela que les entreprises faisant du profiling doivent limiter ses risques et garantir les droits des personnes physiques qui font l’objet de ce profiling, en particulier en leur permettant de requérir une intervention humaine et/ou de contester la décision automatisée.

4.6. Droit à l’oubli

Comme expliqué ci-dessus, le droit à l’oubli permet à une personne physique d’éviter que des informations concernant son passé interfèrent avec sa vie actuelle. Dans le monde numérique, ce droit comprend le droit à l’effacement ainsi que le droit au déréférencement. D’un côté, la personne peut avoir du contenu potentiellement nocif effacé du réseau numérique, et, de l’autre côté, la personne peut dissocier un mot clé (tel que son prénom et son nom de famille) de certaines pages web sur un moteur de recherche.

Crefovi peut conseiller un business faisant face à une demande d’exécution du droit à l’oubli.

4.7. Autres droits des personnes physiques

Le RGPD complémente le droit à l’oubli en remettant les personnes physiques de l’UE fermement en contrôle de leurs données personnelles, renforçant de manière notoire l’obligation de consentement au traitement des données personnelles, ainsi que les droits des citoyens (droit à l’accès des données, droit de rectifier les données, droit de limiter le traitement des données, droit à la portabilité des données et droit de s’opposer au traitement des données personnelles), et les obligations d’information par les businesses à propos des droits des citoyens.

  1. Quel est le bon côté du RGPD?

5.1. Une opportunité de gérer ces données personnelles constituant des actifs précieux

La mise en conformité avec le RGPD devrait être vu par les businesses comme une opportunité, autant qu’une obligation: alors que les données personnelles sont de plus en plus importantes dans une organisation aujourd’hui, ceci est une excellente opportunité d’évaluer quelles données personnelles votre société détient, et comme vous pouvez en tirer le plus gros avantage.

Le principe clé du RGPD est qu’il vous donnera la capacité de trouver les données personnelles dans votre organisation qui sont très sensibles et à haute valeur, et de vous assurer que ces données personnelles sont protégées de manière adéquate des risques et des piratages informatiques.

5.2. Moins de formalités et une APDP à guichet unique

En outre, le RGPD retire l’obligation de déclaration préalable auprès du APDP compétent, avant tout traitement de données personnelles, et remplace ces formalités avec la création obligatoire et la gestion d’un registre de traitement des données personnelles.

De plus, le RGPD instaure une APDP à guichet unique: en cas d’absence d’une législation nationale spécifique, une APDP localisée dans un état-membre de l’UE dans lequel l’organisation a son principal ou unique établissement sera en charge de contrôler la conformité avec le RGPD.

Les businesses détermineront leur APDP respective en se basant sur le lieu d’établissement de leurs fonctions de management, concernant la supervision du traitement des données personnelles, ce qui permettra d’identifier l’établissement principal, y compris quand une société unique gère les opérations d’un groupe entier.

Cette APDP à guichet unique permettra aux sociétés de gagner du temps et de l’argent de manière substantielle, en simplifiant leurs processus.

5.3. Règlement unifié, transferts de données facilités

Afin de favoriser le marché européen des données personnelles et l’économie numérique, et ainsi de créer un environnement économique favorable, le RGPD renforce la protection des données personnelles et des libertés fondamentales.

Cette réglementation unifiée permettra aux businesses de réduire de manière substantielle les coûts du traitement des données personnelles qui sont à ce jour engagés dans les 28 états-membres de l’UE: les organisations n’auront plus à se mettre en conformité avec des réglementations nationales multiples pour la collecte, la récolte, le transfert et le stockage des données personnelles qu’elles utilisent.

En outre, étant donné que les données personnelles seront conformes avec la législation applicable dans tous les états de l’UE, il deviendra possible d’échanger les données et elles auront la même valeur dans différents pays, alors que pour l’instant les données personnelles ont différents prix en fonction de la  législation avec laquelle elles sont en conformité, ainsi que des coûts différents pour les sociétés qui les collectent.

5.4. Un champ géographique étendu par la concurrence loyale

Le champ du RGPD s’étend à des sociétés qui ont leurs siège social hors de l’UE, mais qui ont l’intention de marketer des produits et services dans le marché de l’UE, tant qu’elles ont en place des processus et traitements des données personnelles relatives à des personnes physiques de l’UE. Suivre ces résidents sur internet, afin de créer des profils, est aussi couvert par le champ du RGPD.

Par conséquent, les sociétés européennes, assujetties à des règles plus strictes, et potentiellement plus chères, ne seront pas pénalisées par la concurrence internationale sur le marché unique de l’UE. En outre, elles peuvent acheter aux entreprises non-UE certaines données personnelles qui sont conformes aux dispositions du RGPD, créant ainsi un marché des données plus large.

5.5. Ouvrir les services numériques à la concurrence

Le droit à la portabilité des données personnelles permettra aux personnes physiques de l’UE, qui font l’objet de traitement et gestion de leurs données personnelles, d’obtenir ces données personnelles sur un format exploitable ou de transférer ces données personnelles à un autre responsable de traitement (« data controller ») si cela est techniquement possible.

De cette façon, le client pourra changer de fournisseur de services numériques (email, photographies, etc.) sans avoir à manuellement récupérer toutes les données, durant un processus tant fastidieux que chronophage. En enlevant de telles barrières techniques, le RGPD rend le marché plus fluide, et offre aux utilisateurs une mobilité numérique supérieure. Les fournisseurs de services numériques vont par conséquent évoluer dans un marché plus concurrentiel, les incitant à fournir des services à meilleur marché et de plus haute qualité, étant donné que leurs clients ne seront plus les otages de leurs fournisseur initial.

5.6. Labels et certifications

Le comité européen sur la protection des données personnelles, ainsi que les institutions de l’UE, proposeront certaines certifications et labels afin de certifier la conformité avec le RGPD des traitements de données effectués par les entreprises.

Des reconnaissances monétaires et de vrais actifs pour l’image de marque d’une entreprise, les labels et certifications deviendront aussi un outil commercial important afin de gagner la confiance des prospects et pour obtenir leur loyauté.

  1. Quelles sont les étapes concrètes à suivre, aujourd’hui, pour être en conformité avec le RGPD?

Il n’y a pas un moment à perdre pour mettre en oeuvre les étapes suivantes, ci-dessous

  • Décider qui à la responsabilité de mettre en oeuvre les dispositions du RGPD dans votre organisation; assigner cette responsabilité au département ou à l’équipe le plus ou la plus approprié(e) (Service juridique? Compliance? Technologie IT?);
  • Correspondre avec l’APDP à guichet unique, puisque plusieurs d’entre elles ont préparé des informations explicatives et des guides sur la mise en conformité avec le RGPD, telles que le ICO au Royaume Uni, la CNIL en France et le Data Protection Commissioner en Irlande (ce dernier étant l’APDP de nombreux géants numériques, tels que Google, Facebook et Twitter);
  • Préparer une cartographie des traitements de données dans votre organisation, et identifier les lacunes dans la conformité avec le RGPD en relation avec ces différents processus – nous, avocats du cabinet d’avocats Crefovi, avons rédigé des documents détaillés sur comment faire cette cartographie des traitements et du processing de données et pour vous épauler pour identifier les lacunes dans la conformité avec le RGPD;
  • Valoriser les différents processus et traitements de données personnelles et évaluer lesquels sont à haut risque et faire une liste de vos données personnelles constituant des actifs ((« data assets ») à haut risque;
  • Exécuter un étude d’impact ou PIA sur ces data assets à haut risque (telles que les données des ressources humaines, les données personnelles des clients) – Crefovi épaulent les sociétés dans la mise en place des PIAs et pour vérifier l’efficacité des mesures de sécurité et de protection, grâce à l’exécution de tests d’intrusion;
  • Mise en oeuvre de mesures juridiques, techniques, organisationnelles et physiques pour réduire les risques sur ses data assets se mettre en conformité avec le RGPD;
  • S’assurer que vos contractants et sous-contractants ont mis en place des mesures de sécurité conformes, en leur envoyant une liste des points à vérifier;
  • Faire des formations de connaissance de la protection de la vie privée pour vos salariés étant donné qu’ils doivent comprendre que les données personnelles sont constituées par n’importe quoi qui peut être directement lié à une personne physique et qu’il y aura des conséquences s’ils violent les dispositions du RGPD et volent des données personnelles;
  • Développer une politique « Apporter Son Propre Appareil » (“ASPA”) et la mettre en oeuvre dans votre organisation et parmis vos salariés, étant donné que vous êtes responsable pour toutes les informations d’utilisation des données personnelles qui sont stockées dans le cloud et accessibles depuis tant des appareils d’entreprise (tablettes, smartphones, ordinateurs portables) que des appareils personnels. Aussi, quand les salariés partent ou sont licenciés, assurez-vous que vous avez inclus ASPA dans votre processus de fin de contrat de travail, afin que le personnel partant perde accès aux données personnelles de la société immédiatement sur leurs appareils;
  • Vérifier et/ou amender les notifications d’information ou les politiques de confidentialité afin qu’elles tiennent en compte les nouvelles informations requises par le RGPD;
  • Mettre en place des mécanismes automatisés afin d’obtenir le consentement explicite des personnes physiques résidentes dans l’UE, particulièrement si votre business est impliqué dans la collection de données comportementales, la publicité comportementale ou tout autre forme de profiling;
  • Mettre en place un plan de management solide au cas où des piratages informatiques de données personnelles ont lieu, ce qui vous permettra d’être en conformité avec les conditions obligatoires de notification de votre APDP en 72 heures – notre expérience approfondie de plans d’alerte, de plans de risk management, de plans analytiques et de plans de notification, en France et au Royaume Uni, nous place, chez Crefovi, dans une position adéquate pour épauler nos clients dans leur mise en conformité avec les exigences contraignantes énoncées dans le RGPD.

 

[1]The world’s most valuable resource is no longer oil, but data”, The economist, 6 Mai 2017.

[2]Preparing for the general data protection regulation: a roadmap to the key changes introduced by the new European data protection regime”, Alexandra Varla, 2017.

 

Annabelle Gauberti est l’associée fondatrice de Crefovi, notre cabinet d’avocats basé à Londres et Paris spécialisé dans le conseil aux industries créatives en général, en particulier sur leurs besoins en matière de protection des données personnelles et contre les piratages informatiques. Elle est un avocat au barreau de Paris et un solicitor of England & Wales.

Annabelle est aussi présidente de l’International association of lawyers for the creative industries (ialci).

 

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Le droit d’auteur à l’ère numérique: comment les industries créatives peuvent en tirer profit

Pourquoi les auteurs, compositeurs, éditeurs musicaux, producteurs de films, scénaristes, ainsi que les fournisseurs de services numériques, ont tout à gagner en trouvant un consensus sur le droit d’auteur à l’ère numérique.

Droit d'auteur à l'ère numériqueEn juillet 2015, j’ai écrit un article détaillé sur les droits voisins à l’ère numérique, et comment l’industrie de la musique peut profiter de cette source de revenus en croissance exponentielle.

Deux ans plus tard, et après avoir assisté au Festival du Film de Cannes et au MIDEM 2017, je suis convaincue que la dominance des canaux de distribution numérique, et le streaming en particulier, est en train de s’accélérer dans les industries créatives. 

Focus 2017, le rapport sur les tendances du marché mondial du film, publié par le Marché du Film au Festival de Cannes 2017, note que, alors que les films disponibles sur l’offre de Video On Demand transactionnelle (VODT, tel que iTunes) et la VOD par abonnement (VODA, tel que Netflix ou Amazon Prime) sont en hausse, il y a toujours des barrières à la sortie sur VOD en Europe. L’obstacle majeur étant la perception que le niveau de revenus provenant de l’exploitation VOD est toujours bas, avec 80% des revenus générés par 20% de films ainsi que des coûts marketing élevés. Une autre difficulté au développement à grande échelle des services de VOD est le protectionnisme juridique que certains pays, tels que la France avec son « exception culturelle », mettent en place afin de limiter les perturbations que le succès financier et commercial flagrant des fournisseurs de services numériques ne manquerait pas de générer, vis-à-vis des salles de cinéma locales, des exploitants de salles de cinéma nationaux, des productions de film faites localement, et du public local.

Quoi qu’il en soit, de tels obstacles ne résisteront pas au test du temps et seront balayés par la seule force des demandes et attentes des consommateurs, poussées par une approche plus customisée, conviviale et personnalisée de la consommation de contenu audio ou video, à tout moment, en toute location géographique et sur tout support. 

Déjà, le secteur de la musique, qui a toujours été l’industrie créative la plus rapidement affectée et perturbée par la révolution numérique, est beaucoup plus à l’écoute des potentialités du streaming et de la nécessité d’adapter son propre business model afin de monétiser une telle révolution numérique, pour le profit de toutes les parties prenantes impliquées. Par exemple, le plus gros fournisseur de services musicaux numériques, Spotify, a confirmé qu’il a plus de 140 millions d’utilisateurs actifs, mondialement, en juin 2017, en hausse par rapport au chiffre de 100 millions déclaré il y a un an.

Durant le Midem 2017, on a beaucoup parlé de transparence, de rémunération équitable, de la value gap, pour sensibiliser les participants au Midem et le secteur de la  musique en général, aux besoins des titulaires de droits d’auteur dans cette success story numérique. En effet, comment cette chaîne logistique du contenu audio peut-elle fonctionner, si les titulaires de droits d’auteur (c’est à dire les éditeurs et les auteurs-compositeurs) se sentent privés, et laissés pour compte, de la manne commerciale et financière représentée par le streaming? Ils refuseront tout simplement de garder leurs chansons sur les plateformes des fournisseurs de services numériques, tels que Spotify, Apple Music et Deezer, s’ils ne sont pas bien rémunérés pour une telle utilisation, ce qui pourrait potentiellement handicaper l’expansion des canaux de distribution numérique audio.

Comme j’avais promis de le faire, dans mon précédent article sur les droits voisins, je tourne maintenant mon attention sur la façon dont les transactions sont faites avec les fournisseurs de services numériques, dans le domaine du streaming, en ce qui concerne les aspects de licence des droits d’auteur, en particulier les droits de représentation pour les titulaires de droits dans la composition musicale (à la différence de l’enregistrement sonore). Ici, nous ciblons uniquement le droit d’auteur et la situation des titulaires de droits dans les chansons et compositions musicales – typiquement, les auteurs-compositeurs, les éditeurs musicaux – dans les films – typiquement, les scénaristes, les producteurs de films – et dans les livres – typiquement, les auteurs et les éditeurs de presse.

1. S’attaquer au droit d’auteur à l’ère numérique

Le droit d’auteur a été consacré dans la loi, étape par étape, afin d’assurer aux personnes qui créent, écrivent et/ou produisent du contenu original ou une oeuvre (tels que les auteurs, compositeurs et artistes) des droits exclusifs pour son utilisation et distribution.

Le droit d’auteur est arrivé avec l’invention de la presse à imprimerie et a été établi tout d’abord en Angleterre, par réaction aux monopoles des imprimeurs au début du 18ème siècle. Le parlement anglais était préoccupé par la copie non régulée des livres, et a adopté le Licensing of the Press Act 1662, qui a établi un registre des livres sous licence et requérait qu’une copie soit déposée auprès de la Stationers’ Company, continuant ainsi la licence de contenu qui avait longtemps été en vigueur.

Le droit d’auteur s’est développé, d’un concept juridique régulant les droits de copie dans la publication de livres et de cartes, à un concept ayant un impact significatif sur presque toutes les industries modernes, couvrant des éléments tels que les chansons, les films, les photographies, les oeuvres d’art, les oeuvres architecturales, les logiciels, etc.

De tels droits exclusifs accordés aux créateurs de contenu sont normalement à durée limitée (dans la plupart des juridictions, la vie de l’auteur plus 70 ans après la mort de l’auteur) et peuvent être limités par des exceptions au droit d’auteur, telles que le ‘fair use’ aux États-Unis et le ‘fair dealing’ au Royaume-Uni et au Canada. En outre, le droit d’auteur protège uniquement l’expression originale d’idées, non pas les idées elles-mêmes, ce à quoi on se réfère par la dichotomie « idée-expression ».

Le droit d’auteur fréquemment inclus la reproduction, le contrôle sur les produits dérivés, la distribution, l’exécution publique, le transfert de ces droits aux autres, et les droits moraux, tels que l’attribution.

Les droits d’auteur sont considérés des droits territoriaux, ce qui signifie qu’ils ne s’étendent pas au-delà du territoire d’une juridiction spécifique. Toutefois, le champ géographique du droit d’auteur a été étendu grâce aux accords de droits d’auteur internationaux, tels que la Convention de Berne de 1886 pour la protection des oeuvres littéraires et artistiques. La Convention de Berne a introduit le concept selon lequel un droit d’auteur existe à partir du moment où l’oeuvre est « fixé », plutôt que de requérir un enregistrement: selon la Convention de Berne, les droits d’auteur pour les oeuvres créatives n’ont pas à être affirmés, déclarés ou enregistrés, étant donné qu’ils sont automatiquement en vigueur dès la création. La Convention de Berne enforce, en outre, la condition que les pays reconnaissent les droits d’auteur détenus par les citoyens de toutes les autres parties à la convention. Par conséquent, les auteurs étrangers sont traités de la même manière que les auteurs domestiques, dans tout pays signataire de la Convention de Berne. Les dispositions de la Convention de Berne sont intégrées dans l’accord TRIPS de l’Organisme Mondial du Commerce de 1995, donnant ainsi, en pratique, une application presque globale à la Convention de Berne. Les traités multilatéraux ont été ratifiés par presque tous les pays, et les organisations internationales telles que l’Union Européenne (« UE« ) ou l’Organisation Mondiale du Commerce exigent que leurs états-membres respectent leurs dispositions.

Etant donné que les oeuvres protégées par le droit d’auteur sont consommées de plus en plus en ligne, sur des canaux numériques (le VOD pour le contenu vidéo et le streaming, et les téléchargements pour le contenu audio), un nouveau challenge est apparu, afin d’assurer que les titulaires de droits d’auteur puissent monétiser l’exploitation de leurs oeuvres en ligne.

Au niveau de l’UE, un nouveau cadre juridique a été mis en place, afin de protéger le droit d’auteur dans les 28 états-membres et dans le monde numérique. Par exemple, la directive sur l’harmonisation de certains aspects du droit d’auteur dans la société de l’information (2001/29/CE) aspire à adapter la législation sur le droit d’auteur afin de refléter les développements technologiques, alors que la directive 2006/115/CE harmonise les dispositions relatives aux droits de location et de prêt d’oeuvres protégées par le droit d’auteur. Toutefois, c’est surtout la directive 2014/26/UE sur la gestion collective du droit d’auteur (la « directive GCDD« ) qui a refaçonné le cadre juridique de l’UE vers plus d’efficacité dans la monétisation du droit d’auteur à l’ère numérique.

2. Les sociétés de perception, le droit d’auteur musical et la directive GCDD: un pas dans la bonne direction pour les titulaires de droits de l’UE

Une société de perception de droits d’auteur, aussi appelée société de gestion de droits, société de collecte de droits ou organisme de délivrance de licences, est une institution créée par la loi sur le droit d’auteur ou par un accord privé relatif à la gestion collective des droits. Les sociétés de collecte ont l’autorité d’accorder des licences sur des oeuvres protégées par le droit d’auteur et perçoivent des redevances dans le cadre d’un système de licences obligatoires ou individuelles, négociées au nom et pour le compte de leurs membres respectifs. Les sociétés de collecte perçoivent les paiements de redevances auprès d’utilisateurs d’oeuvres protégées par le droit d’auteur, et redistribuent ces redevances aux titulaires de droits d’auteur.

Les sociétés de collecte sont des organisations qui gèrent l’externalisation de la fonction de gestion de droits. Les titulaires de droits d’auteur transfèrent à des sociétés de collecte les droits de:

  • délivrer des licences non-exclusives;
  • percevoir des redevances en leur nom et pour leur compte;
  • redistribuer ces redevances collectées aux adhérents;
  • souscrire des accords de réciprocité avec d’autres sociétés de collecte dans le monde et
  • faire respecter leurs droits.

Pour comprendre le rôle des sociétés de gestion collective de droits, nous devons tout d’abord parler des droits d’exécution. Ces droits d’exécution représentent la plus large source de revenus de redevances continus. A travers le monde, les auteurs et éditeurs reçoivent à peu près 6 milliards USD en redevances chaque année, provenant des droits d’exécution. Le droit d’exécution est un droit dérivant du droit d’auteur, qui s’applique au paiement de frais de licence par les utilisateurs de musique, lorsque ces utilisateurs jouent les compositions musicales, protégées par le droit d’auteur, des auteurs et des éditeurs. Ce droit reconnaît que la création d’un auteur est son droit de propriété, et que son utilisation requiert sa permission ainsi que sa rémunération. Par exemple, les exécutions peuvent être des chansons entendues à la radio, des  bribes musicales dans une série TV ou de la musique jouée live ou sur enregistrement durant un spectacle, dans un parc d’attractions, à un évènement sportif, dans une salle de concert majeure, dans un jazz club ou dans une salle de concert symphonique. Les exécutions peuvent être de la musique lorsque l’on est en attente au téléphone, ou sur des chaînes musicales en avion, ou sur des fournisseurs de services numériques, tels que Spotify et Apple Music.

Les sociétés de collecte négocient en outre les frais de licence pour la représentation publique et la reproduction publique, et agissent comme des groupes d’intérêts et de lobbying. Elles octroient des licences générales (c’est à dire qu’elles octroient des droits pour le compte de multiples titulaires de droits dans un unique accord de licence générale, pour un paiement unique), qui donnent le droit d’exécuter leurs catalogues pendant une période de temps.

Les utilisateurs de musique (ceux qui payent les frais de licence) comprennent les réseaux TV principaux, les stations de radio, les services de cable payants, les fournisseurs de services numériques, les sites internet, les salles de concert, l’industrie hôtelière, les boîtes de nuit, les bars, les parcs d’attraction, etc.

Les titulaires de droits d’auteur joignent une société de collecte en tant que membres et la mandatent pour mettre en place des licences sur leurs droits, pour leur compte. La société de perception fait payer une somme pour la licence, de laquelle elle déduit des frais d’administration avant de distribuer ce qui reste en redevances. Les sociétés de collecte sont en général des organismes à but non-lucratif et sont détenues et contrôlées par leurs membres, les titulaires de droits.

La plupart des pays au monde ont une seule société de gestion collective des droits musicaux (SACEM en France, SIAE en Italie, PRS au Royaume Uni) mais les Etats-Unis ont décidé d’avoir trois organisations, afin d’éviter des comportements monopolistiques et anti-concurrentiels. Par conséquent, ASCAP est en concurrence avec BMI et SESAC, avec 96% des frais de licence découlant des droits d’exécution générés par ASCAP ou BMI, aux USA.

Pendant de longues années, les sociétés de gestion de droits collectives ont eu une vie bien tranquille, sauf aux Etats-Unis où ASCAP, BMI et SESAC se vouent une concurrence sans merci afin de détenir les meilleurs catalogues et hits musicaux, dans leurs répertoires respectifs.

Toutefois, vers 2008, plusieurs sociétés de gestion de droits collectives européennes avaient de sérieux problèmes de performance, aggravés par une attitude hautement protectrice vis-à-vis des autres sociétés européennes, et une incapacité à s’adapter aux changements dans la façon dont la musique est en train d’être de plus en plus distribuée en ligne, sur internet.

Le 16 juillet 2008, la Commission européenne a adopté une décision (la « décision CISAC« ) interdisant aux 24 sociétés collectives européennes de restreindre la concurrence en ce qui concerne les conditions relatives à la gestion et aux licences de représentation publique des oeuvres musicales des auteurs. Les sociétés de perception avaient en effet été identifiées comme ayant restreint les services qu’elles offraient aux auteurs et aux utilisateurs commerciaux hors de leur territoire domestic. Bien que la décision CISAC simplifiait la sélection, pour les auteurs, des sociétés qui gèreraient leurs droits d’exécution publique (par exemple, un auteur italien serait en mesure de licencier ses droits à PRS au Royaume-Uni, ou à la SACEM en France), elle a été estimée insuffisante pour contraindre les sociétés de gestion collective de droits européennes à effectuer les changements nécessaires pour qu’elles s’ouvrent d’elles-mêmes au marché.

Par conséquent, les institutions européennes sont passées au niveau supérieur et, suite à une proposition de directive sur la gestion collective des droits et les accords de licence multi-territoriale d’oeuvres musicales pour leur utilisation en ligne, publiée le 11 juillet 2012, l’UE a adopté la directive GCDD, la directive 2014/26/UE sur la gestion collective des droits et les accords de licence multi-territoriale d’oeuvres musicales pour leur utilisation en ligne.

Ainsi, dans l’UE, la conduite des sociétés de collecte est maintenant gouvernée par les réglementations nationales qui ont transposé la directive GCDD dans les 28 états-membres, à la date de transposition du 10 avril 2016. Suite à l’entrée en vigueur de la directive GCDD sur la gestion collective du droit d’auteur et des droits y étant reliés, et sur les accords de licence multi-territoriale d’oeuvres musicales, pour leur utilisation en ligne sur le marché interne, une concurrence plus juste – ainsi qu’une collaboration saine – ont enfin émergées entre toutes les sociétés de collecte de l’UE.

La directive GCDD a pour but d’atteindre les objectifs suivants:

  • moderniser et améliorer la gouvernance, la gestion financière et la transparence des sociétés de collecte de l’UE, en particulier pour s’assurer que les titulaires de droits aient plus de pouvoir dans le processus de prise de décision et reçoivent des paiements de redevances qui soient exacts et ponctuels;
  • promouvoir des règles du jeu équitables pour les accords de licence multi-territoriale de musique en ligne et
  • aider à créer des structures de licence innovantes et dynamiques qui encouragent le développement de services de musique en ligne légaux.

Les sociétés collectives de l’UE qui octroient des licences multi-territoriales sont maintenant tenues d’avoir une « capacité suffisante » pour traiter efficacement et de manière transparente les données nécessaires pour administrer les licences multi-territoriales. La « capacité suffisante » comprend, au minimum, la capacité à facturer les utilisateurs, à collecter les revenus de droits et à distribuer les montants dûs aux titulaires de droits. En outre, les sociétés collectives de l’UE doivent, en réponse à une requête « dûment justifiée » formulée par des fournisseurs de services, des titulaires de droits ou d’autres sociétés, fournir des informations à jour concernant leur répertoire en ligne. Ces deux exigences sont des challenges pour de nombreuses sociétés de perception de l’UE, étant donné que la facturation à jour et exacte n’a jamais été une caractéristique forte de la licence collective en Europe.

Pour les fournisseurs de services numériques qui souhaitent laisser leurs utilisateurs accéder facilement une vaste bibliothèque de contenu en ligne, la capacité à obtenir des licences multi-territoriales est un facteur essentiel pour établir un service auprès d’une base d’utilisateurs pan-européenne. A une époque où les fournisseurs de services numériques sont non seulement pressurisés par les labels, mais aussi acculés par les auteurs et éditeurs à augmenter leurs redevances, il n’est pas encore clair si les règlementations nationales de transposition de la directive GCDD iront assez loin pour protéger les intérêts de ces fournisseurs de services numériques.

Au moins, les sociétés de perception de l’UE sont maintenant en train de s’embarquer dans des collaborations de licence pan-européenne, telles que ICE (un hub de licence et gestion des droits musicaux en ligne formé par trois des sociétés de collecte de l’UE les plus larges, PRS (Royaume Uni), STIM (Suède) et GEMA (Allemagne)) et Armonia (un autre hub de licence et gestion des droits musicaux en ligne formé par la SACEM (France), SGAE (Espagne), SIAE (Italie), SACEM Luxembourg, SABAM (Belgique), SUISA (Suisse), AKM (Autriche), SPA (Portugal), Artisjus (Hongrie)) qui ont tous deux reçu l’aval de la Commission Européenne pour permettre des négociations de droits plus rapides et simplifiées pour les fournisseurs de services numériques opérant dans l’UE. En mai 2016, ICE a signé sa première transaction de licence dans la place de marché numérique, en passant un accord avec Google Play Music.

3. Le coup de maître: droit d’auteur et marché unique numérique de l’UE

En juillet 2014, avant sa présidence à la Commission Européenne, Jean-Claude Juncker a publié ses directives générales politiques pour une nouvelle Europe. Au centre de son agenda se trouvait un Marché Unique Numérique connecté (« MUN« ), qui a engendré des propositions de réglementations de l’UE tendant à profiter des technologies numériques, et au retrait des restrictions à la libre circulation des biens et services numériques. Parmi ces réformes, se trouvaient des amendements aux réglementations sur les télécoms (la fin des frais de roaming de téléphones portables), la protection des données personnelles (avec l’approbation du Règlement Général sur la Protection des Données personnelles) et les lois de l’UE sur le droit d’auteur.

Les réformes de l’UE sur le droit d’auteur, en particulier, sont très ambitieuses avec une série de propositions clés annoncées par la Commission Européenne en septembre 2016:

  • un règlement de l’UE facilitant la tâche aux diffuseurs, en requérant uniquement l’autorisation du pays d’origine pour les services en ligne ancillaires (par exemple, les simulcasts ou les services de musique, e-books, jeux ou de ‘catch-up’/rattrapage) qui sont disponibles à travers l’UE, et qui a été adopté le 8 juin 2017;
  • une directive de l’UE et un règlement de l’UE pour mettre en oeuvre le Traité de Marrakech: la première fournissant une exception obligatoire pour faciliter l’accès aux oeuvres publiées, protégées par le droit d’auteur, aux personnes qui sont aveugles, malvoyantes ou incapables de lire les imprimés, et le second permettant l’échange transfrontalier de copies entre l’UE et les autres pays qui sont parties au Traité et
  • une proposition pour une directive de l’UE sur le droit d’auteur dans le MUN (la « directive MUN »).

Les dispositions clé de la proposition de directive MUN comprennent:

  • fournir des droits à une rémunération équitable dans les contrats pour les auteurs et les interprètes;
  • la création d’un droit ancillaire pour les éditeurs de presse;
  • l’obligation pour les fournisseurs de services en ligne (réseaux sociaux, plateformes, etc.) de prendre des mesures pour prévenir les infractions au droit d’auteur;
  • de nouvelles exceptions obligatoires aux infractions au droit d’auteur;
  • faciliter l’utilisation d’oeuvres hors-du-commerce par les institutions d’héritage culturel.

La proposition de directive MUN vise à réduire les différences entre les régimes de droit d’auteur nationaux et à élargir l’accès en ligne aux oeuvres protégées par le droit d’auteur par les utilisateurs partout dans l’UE. Elle reconnait que, malgré le fait que les technologies numériques doivent faciliter l’accès transfrontalier aux oeuvres, des obstacles persistent, en particulier pour les utilisations et oeuvres où l’autorisation des droits est complexe.

En ce qui concerne les oeuvres audiovisuelles, la proposition de directive MUN précise, malgré l’importance croissante des plateformes VOD, que les oeuvres audiovisuelles de l’UE constituent uniquement un tiers des oeuvres disponibles aux consommateurs sur ces plateformes! Encore une fois, ce manque de disponibilité découle partiellement d’un processus d’autorisation de droits complexe. La proposition de directive MUN fournit par conséquent des mesures destinées à faciliter le processus de licence et d’autorisation des droits, afin de finalement faciliter l’accès transfrontalier des consommateurs au contenu protégé par le droit d’auteur.

En particulier, la proposition de directive MUN prévoit la rémunération équitable dans les contrats d’auteurs et d’interprètes, en ses articles 14 à 16. Etant donné que les auteurs et interprètes ont souvent un pouvoir de négociation faible, lorsqu’ils accordent des licences sur leurs droits, la proposition de directive MUN énonce une « obligation de transparence » par laquelle les états-membres seront requis de s’assurer que les auteurs et interprètes peuvent avoir un droit à l’information concernant l’exploitation de leurs oeuvres. L’obligation peut être ajustée lorsqu’elle est disproportionnée, ou retirée lorsque la contribution de l’auteur n’est pas significative. Les dispositions continuent ainsi, pour fournir un « mécanisme d’ajustement contractuel » afin que les auteurs et interprètes puissent requérir une rémunération supplémentaire de la part de la partie avec qui ils concluent un contrat, lorsque la rémunération accordée au départ est disproportionnellement basse par rapport aux revenus et bénéfices subséquents dérivés de l’exploitation des oeuvres ou interprétations. Les états-membres sont aussi requis de fournir un mode alternatif et volontaire de résolution des litiges. Le parlement de l’UE propose deux petits amendements: reconnaître les droits à une rémunération équitable, et fournir aux auteurs et interprètes une option pour mandater des représentants afin de demander des ajustements contractuels pour leur compte.

Une autre réforme, énoncée à l’article 11 de la proposition de directive MUN, tendant à monétiser efficacement le droit d’auteur à l’ère du numérique, est le droit ancillaire pour les éditeurs de presse. La Commission européenne a dit que le droit proposé tend à résoudre les difficultés auxquelles sont confrontées les éditeurs de presse en licenciant leurs publications en ligne: le problème provient du recouvrement de leur investissement, par rapport à ceux qui reproduisent leur contenu en ligne gratuitement. L’article 11 de la proposition de directive MUN tend à lutter contre ce problème en requérant que les états-membres fournissent aux « éditeurs de publications de presse » des droits pour contrôler la « reproduction » et la « mise à disposition au public ». Ce droit ancillaire devrait avoir une durée de vingt ans, commençant à courir à partir du 1er janvier de l’année suivant la publication de presse. Une « publication de presse » est définie comme la « fixation d’une collecte » d’oeuvres littéraires journalistiques. Des lois similaires ont été introduites en Allemagne et en Espagne et celles-ci ont déjà conduit à des retraits de publications de presse sur des sites d’actualités, résultant en un trafic réduit vers les propres sites des éditeurs.

La Commission européenne propose de prendre en considération la soit-disante « value gap » entre les services de streaming licenciés, qui payent pour le contenu qu’ils hébergent, et les intermédiaires, tels que les réseaux de médias sociaux (Facebook) et les plateformes en ligne (YouTube), qui hébergent du contenu contrefait. La directive de l’UE sur le e-commerce fournit une défence de « safe harbour » à ces intermédiaires, avec un régime de notification et retrait. Toutefois, au lieu de faire des amendements à la directive de l’UE sur le e-commerce, l’article 13 de la proposition de directive MUN prévoit que « les fournisseurs de services de la société de l’information qui stockent et fournissent au public un accès à de larges quantités d’oeuvres téléchargées par leurs utilisateurs doivent, en coopération avec les titulaires de droits, prendre des mesures pour s’assurer que le fonctionnement des contrats conclus avec les titulaires de droits pour l’utilisation de leurs oeuvres, ou pour prévenir la mise à disposition sur leurs services d’oeuvres identifiées par les titulaires de droits, par le biais d’une coopération avec les fournisseurs de services« . La Commission européenne suggère que de telles mesures peuvent inclure l’utilisation de technologies de reconnaissance de contenu. Cet article 13 semble en contradiction avec la directive de l’UE sur le e-commerce, ces dispositions sur le ‘safe harbour’ et l’assurance d’absence d’obligation de surveiller les informations transmises ou stockées. Toutefois, nous pouvons nous attendre à des discussions supplémentaires entre la Commission européenne et le parlement de l’UE sur comment prendre en compte, de manière adéquate, cette « value gap ». Une chose qui est certaine est que les titulaires de droits d’auteur musicaux, les éditeurs en particulier, sont très irrités par les lois existantes sur le safe harbour mises en place dans l’UE et aux USA et veulent que les intermédiaires deviennent pleinement responsables pour les dommages que la contrefaçon sur leurs plateformes cause aux titulaires de droits d’auteur.

Une autre réforme notable introduite par la proposition de directive MUN est l’amélioration des pratiques de licence et l’accès plus large au contenu. La Commission européenne a mis en avant des mesures pour faciliter la digitalisation et l’octroi de licences sur des oeuvres hors du commerce. Celles-ci sont des oeuvres qui ne sont pas disponibles au public par le biais des canaux commerciaux ordinaires et qui sont souvent détenues par les institutions d’héritage culturel. Le but de ces dispositions est de fournir un plus large accès à ces matériaux et de garantir l’effet transfrontalier des accords de licence. 

L’avenir nous en dira plus, en ce qui concerne la proposition de directive MUN, mais elle constitue vraiment un pas dans la bonne direction, afin d’améliorer la monétisation des oeuvres protégées par le droit d’auteur dans le MUN de l’UE. 

4. Les solutions technologiques pour une meilleure monétisation du droit d’auteur à l’ère numérique: un travail en cours

Le Midem 2017 fut un tourbillon de propositions technologiques élégantes afin de s’attaquer à la transparence, ainsi qu’aux façons efficaces et exactes de payer des redevances aux titulaires de droits d’auteur à l’ère numérique. 

La création d’une base de données globale de droits d’auteur et d’oeuvres musicaux fut, encore une fois, envisagée, malgré le fait que le ‘Global Repertoire Database’ (« GRD »)  fut un flop total en 2014 du fait d’un manque de coordination appropriée entre, et de financement de la part de, diverses parties prenantes, telles que Universal, EMI Music Publishing, les entreprises de technologies telles que Apple, Nokia et Amazon, et les sociétés de collecte comme PRS (Royaume Uni), STIM (Suède) et la SACEM (France).

D’autres suggestions technologiques envisagées étaient l’utilisation de solutions sophistiquées de logiciels de gestion et d’administration de droits telles que Counterpoint, la standardisation des données en rationalisant les codes ISWC, l’amélioration des métadonnées fournies aux fournisseurs de services numériques par les éditeurs de musique et les labels, et l’utilisation de la blockchain pour structurer une nouvelle base de données, avec des codes ISWC rationalisés et en accélérant le paiement de redevances par le biais des contrats intelligents et des bitcoins. 

Il me semble que toutes ces solutions techniques, en particulier la création d’une base de données de droits d’auteur et la mise en place de codes ISWC clairs, ainsi que de séquences de métadonnées ne seront exécutables que lorsque leur installation est coordonnée par des réglementations pan-européennes et obligatoires applicables dans les 28 états-membres de l’UE. 

 

Pour conclure, alors que les intérêts des titulaires de droits d’auteur sont de plus en plus préservés, grâce aux processus légaux et techniques et aux outils plus adaptés aux changements fluides déclenchés par de nouveaux modes de consommation des oeuvres protégées par le droit d’auteur à l’ère du numérique, cela semble toujours être une approche précaire qui est mise en place ici. Alors que tant les titulaires de droits d’auteur, que les fournisseurs de services numériques, ont tout à gagner en augmentant la transparence et la collecte rapide des redevances numériques, tout en réduisant substantiellement la ‘value gap’ qui bénéficie énormément aux intermédiaires protégés par le ‘safe harbour’, j’ai l’impression qu’ils ne communiquent pas vraiment efficacement entre eux et ne pensent pas que leurs intérêts sont alignés.

 

Annabelle Gauberti, associée fondatrice du cabinet d’avocats en droit de la musique Crefovi, qui se spécialise dans le conseil aux industries créatives, depuis Paris et Londres. Avant travaillé avec des clients créatifs pour plus de quinze ans, Annabelle est une fervente adepte de l’importance et de la valeur de regarder de l’avant, et de planifier à l’avance, pour prospérer dans l’industrie de la musique actuelle et son nouveau paradigme. Le travail qu’elle effectue de manière régulière, comprend le conseil aux compositeurs de musique et paroliers sur des deals d’édition; aux producteurs et interprètes sur les deals d’enregistrement et, pour toutes les parties prenantes susmentionnées, sur les deals de streaming et les transactions de sync; ainsi que l’enregistrement et la défense des droits de propriété intellectuelle; le contentieux relatif à la propriété intellectuelle et aux transactions commerciales; la négociation de deals de merchandising et de partenariat entre les marques de mode et les groupes de musique.

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Comment obtenir le déréférencement de liens concernant les personnes décédées sur Google | Le droit au déréférencement et les défunts

Que faire quand une personne aimée est décédée et que des écrits, images ou vidéos dégradantes et/ou indiscrètes concernant son décès sont publiés sur internet?

Comment les amis, la famille et les héritiers de cette personne décédée peuvent-ils rétablir une image appropriée et la réputation de cette défunte, sur le Far West virtuel qu’est le world wide web?

Comment  obtenir le déréférencement de liens concernant les personnes décédées sur Google?

 

Déréférencement de liens concernant les personnes décédées sur Google1. Déréférencement ou retrait: faits généraux et modalités

1.1. Qu’est-ce que le déréférencement ou le retrait?

Le déréférencement, aussi appelé retrait, est le procédé selon lequel les liens vers certains contenus écrits/audios/vidéos/photographiques disponibles sur internet (le “Contenu”) sont supprimés, des résultats générés par les fournisseurs de services de moteurs de recherche, après que des mots-clés précis aient été insérés dans l’outil de barre de recherche de ces mêmes moteurs de recherche. C’est ainsi que l’on retire les liens concernant des personnes décédées de Google.

Le déréférencement est un service que Google, ainsi que d’autres moteurs de recherche, peut fournir, soit de son plein gré, soit après y avoir été obligé par décision de justice.

Le déréférencement ne doit pas être confondu avec le fait de retirer du contenu d’internet en contactant directement les webmasters des sites web originaux qui publient le Contenu.

Google étant un moteur de recherche, il liste simplement le résultat des recherches, et permet l’accès grâce à des liens cliquables vers les sites web reliés aux mots-clés que l’on saisit dans la barre de recherche. Google, à la différence des webmasters des sites originaux, n’a aucun contrôle sur le contenu des pages web; les liens desquelles il propose d’afficher. Par conséquent, il serait inutile de demander à Google le retrait d’informations affichées sur une page web exposée sur un site internet tiers.

1.2. Quel est le but du déréférencement?

Google est, de loin, le plus populaire au monde des moteurs de recherche.

Selon Net Marketshare, Google occupe 80,52% du marché global des moteurs de recherche. La plupart des gens font appel à Google pour trouver le Contenu qu’ils recherchent et pour accéder aux pages web qui les intéressent.

Ainsi, le simple fait de faire déréférencer de Google un lien URL de ses classements rend le Contenu beaucoup plus difficile à trouver par les utilisateurs du Web. Le Contenu sera presque impossible à trouver par accident, et sera toujours assez difficile à trouver même en le cherchant spécifiquement.

1.3. Comment envoyer des demandes de déréférencement à Google?

Bien qu’il n’y ait aucune obligation légale de le faire, il peut être avisé, durant la première étape du processus de déréférencement, de contacter les webmasters des sites web tiers affichant le Contenu que vous souhaitez faire effacer.

Dans la plupart des cas, cette étape est malheureusement péniblement inefficace puisque de nombreux webmasters et éditeurs de sites web soit ne prennent même pas la peine de répondre, soit refusent de retirer le Contenu en question de leur site web.

Si vous avez tenté de contacter le webmaster et éditeur du site web tiers en vain, la prochaine étape sera alors de faire une demande auprès du moteur de recherche Google de retirer les liens URL, liant au Contenu controversé, de ses listes de recherches, afin que, alors même que le Contenu reste sur internet, les internautes ne le trouveront pas en utilisant le moteur de recherche Google, Google Images, Google recherches avancées (« Google advance search ») ou Google alertes.

Si vous avez décidé de ne contacter ni les webmasters, ni les éditeurs du Contenu directement en premier, comme cela est votre droit, la première étape sera de contacter Google et de requérir le retrait de ces liens, comme expliqué ci-dessus.

Alors qu’il est possible d’exercer votre droit auprès des opérateurs de moteurs de recherche tels que Google par tous moyens, Google a rendu cela relativement aisé pour vous.

Donc, comment retirer des liens concernant des personnes décédées de Google? Google a créé et publié certains formulaires en ligne, qui peuvent être remplis de son site web.

Il y a deux types de formulaires Google:

  • le formulaire de « retrait d’informations de Google »: ce formulaire vous permets de remplir une demande afin que Google déréférence les informations vous concernant de ses résultats de recherche, de façon plus générale. Il est destiné aux résidents européens ainsi qu’aux résidents non-européens.

Ces formulaires requièrent que vous divulguez les informations suivantes:

  • le nom complet de la personne dont vous voulez faire retirer les données;
  • votre nom complet, si vous agissez pour le compte d’une autre personne;
  • votre relation avec la personne dont les données sont l’objet de la demande de déréférencement faite à Google (par exemple, “parent”, “avocat”, etc.);
  • une adresse de contact électronique;
  • le pays de la loi duquel la demande devrait être examinée;
  • les URLs que vous souhaitez voir effacer des listes de Google;
  • quelques explications écrites sur les raisons pour lesquelles vous voulez que ces URLs soient déréférencés (limitées à approximativement 500 caractères, ce qui, en pratique, ne vous permet de donner que des explications très limitées) et
  • une copie scannée de la preuve d’identité de la personne dont vous voulez que les données soient effacées.

1.4. Taux de succès des demandes de déréférencement

Google a supprimé 345 millions de liens URL en 2014, 558 millions de liens URL en 2015 et 908 millions de liens URL en 2016.

Bien que le nombre de liens supprimés ait augmenté considérablement d’année en année, le nombre de demandes de déréférencement s’est aussi accru.

Au mois de mars 2016, Google avait reçu plus de 400.000 demandes, examiné plus de 1,4 millions de liens URL, et retiré  42,6% des liens URL pour lesquels ils avaient reçu des demandes de déréférencement.

Toutefois, le taux des effacements, comparé au nombre de demandes, est maintenant en déclin.

Est-ce parce que de plus en plus de personnes font des demandes de déréférencement déraisonnables et/ou parce que Google devient de plus en plus difficile dans son processus de sélection de ces liens URL qui devraient être déréférencés?

2. Cadre réglementaire en Europe: le régime le plus protecteur des personnes physiques au monde

La réglementation sur la protection des données personnelles est, dans l’Union Européenne, rédigée par chaque état-membre séparément, à la date de cet article.

2.1. La décision de la CJUE Costeja: le droit au déréférencement dans l’UE

Cette décision est un jugement de la Cour de Justice de l’Union Européenne (“CJUE”) rendu le 26 novembre 2014, à laquelle il est généralement fait référence comme la décision sur le “Droit à l’oubli”.

Ce jugement avant-gardiste reconnaît que les opérateurs de moteurs de recherche, tels que Google, traitent des données personnelles et sont qualifiés de responsables du traitement de données au sens de l’Article 2 de la Directive 95/46/EC.

Conformément aux dispositions de la Directive 95/46/EC, les personnes concernées par les données personnelles pourront faire une demande de déréférencement de liens URL vers du Contenu considéré comme étant en violation avec leurs droits fondamentaux (c’est à dire le droit à la vie privée et à la protection des données personnelles).

La décision de la CJUE reconnaît qu’une personne concernée peut “demander (à un moteur de recherche) que les informations (qui la concernent personnellement) ne soient plus disponible au public à cause de son inclusion dans (…) une liste de résultats”. La Cour force alors les moteurs de recherche tels que Google à effacer, quand demandé, les liens URL qui sont “inadéquats, sans pertinence ou ayant perdu leur pertinence, ou excessifs par rapport aux buts pour lesquels ils avaient été traités et à la lumière du temps qui s’est écoulé.”

Si les moteurs de recherche n’accordent pas de telles requêtes de déréférencement, les personnes concernées peuvent déposer une plainte auprès des Autorités Européennes de Protection des Données personnelles (“AEPDs”), ou toute autorité judiciaire compétente, de leurs états européens respectifs. Les AEPDs examineront alors la plainte, touchant au refus partiel ou total de déréférencer le Contenu, utilisant une liste de critères communs. En effet, une première analyse des plaintes reçues jusqu’ici et provenant de personnes concernées dont les demandes de déréférencement avaient été refusées par Google et d’autres moteurs de recherche, a permi aux AEPDs d’établir une liste des critères communs à utiliser par elles afin d’évaluer si la loi sur la protection des données personnelles avait été respectée. Les AEPDs évalueront les plaintes au cas-par-cas, en utilisant des critères tels que:

  • le résultat des recherches concerne-t-il une personne physique – c’est à dire un individu? Et le résultat des recherches apparaît-il lorsqu’une recherche sur le nom de la personne concernée est effectuée?
  • La personne concernée tient-elle un rôle dans la vie publique? Est-ce que la personne concernée est une personne publique?
  • Est-ce que la personne concernée est un mineur?
  • Les données personnelles sont-elles exactes?
  • Est-ce que les informations sont sensibles au sens de l’Article 8 de la Directive 95/46/EC (c’est à dire que ces informations ont un impact supérieur sur la vie privée de la personne concernée que des données personnelles « ordinaires’, telles que du Contenu concernant la santé, sexualité ou les croyances religieuses d’une personne)?
  • Est-ce que les données personnelles sont à jour? Les données personnelles sont-elles disponibles plus longtemps que nécessaire par rapport au but du traitement?
  • Le Contenu est-il volontairement rendu public? Est-ce que la personne concernée pouvait raisonnablement s’attendre à ce que le Contenu serait rendu public?
  • Est-ce que les données personnelles sont relatives à une infraction pénale?

La décision de la CJUE a été reçue, en particulier en Grande Bretagne et aux Etats-Unis d’Amérique, avec des critiques. Un éditorial du New York Times a déclaré qu’elle pourrait saper la liberté de la presse ainsi que la liberté d’expression

Le Groupe de Travail sur la Protection des Données de l’Article 29 (« Article 29 Data Protection Working Party »), un organe consultatif indépendant européen sur la protection des données et le respect de la vie privée, a analysé le jugement de la CJUE, et écrit des lignes directrices exhaustives pour la mettre en oeuvre. Un des points les plus importants de ces lignes directrices rédigées pour mettre en oeuvre le jugement de la CJUE, est que, quand il est décidé que des liens URL doivent être effacés d’un moteur de recherche, ou lorsqu’un moteur de recherche accepte de retirer des liens URL, l’effet de ce déréférencement devrait être effectif dans le monde entier, et non limité seulement à l’extension du pays (c’est à dire les domaines de l’UE) où la demande a été faite. En pratique, cela signifie que dans tous les cas le déréférencement devrait aussi être effectif sur tous les domaines pertinents, y-compris « .com ».

La décision de la CJUE est un énorme pas en avant pour la protection des données personnelles en Europe, étant donné qu’elle renforce le droit d’une personne au contrôle de l’accès à ses données personnelles sur internet, et met en place un « droit à l’oubli » reconnu.

Donc, comment effacer des liens concernant des personnes décédées de Google? La décision de la CJUE ne concerne que la protection des données personnelles et de la vie privée des personnes vivantes. En effet, elle précise que la demande de déréférencement doit être faite par la personne dont les données personnelles sont affichées sur internet.

2.2. Règlement Général sur la Protection des Données Personnelles

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques eu égard au traitement des données à caractère personnel et à la libre circulation de ces données personnelles, est entré en vigueur le 24 mai 2016 et s’appliquera seulement à partir du 25 mai 2018 (le « Règlement Général sur la Protection des Données personnelles » ou « RGPD »).

Le RGPD consacre en tant que loi le droit à l’oubli, comme énoncé en son Article 17. Conformément à son objectif principal de permettre aux personnes concernées de prendre contrôle de leurs propres données personnelles, le RGPD dispose le droit au déréférencement (« droit à l’oubli ») qui permettra aux personnes concernées de demander aux responsables du traitement des données personnelles (u compris les moteurs de recherche comme Google) de supprimer leurs données, s’il n’y a aucune raison légitime pour leur rétention.

L’innovation dans le RGPD, comparé au régime en vigueur exposé dans la Directive 95/46/EC, est qu’actuellement les personnes concernées ont seulement le droit de demander une décision judiciaire pour cesser le traitement de leurs données personnelles, quand ces dernières causent des dommages, tandis que le RGPD permet aux personnes concernées d’éviter l’intervention d’un tribunal, coûteuse et longue, en réglant la problématique directement avec le responsable du traitement des données personnelles (y compris tout moteur de recherche).

Puisqu’une personne concernée est définie de manière large comme étant « toute personne physique pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant comme un nom, numéro d’identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » dans le RGPD, cela vaut la peine de vérifier si une telle définition englobe tant les personnes vivantes que mortes.

Dans son « Considérant 27 », le RGPD donne à chaque État-membre le choix pour étendre la protection aux défunts, ou non. Il précise que ce « Règlement ne s’applique pas aux données personnelles de personnes décédées. Les États-membres peuvent prévoir des règles quant au traitement des données personnelles de personnes décédées« .

Par conséquent, quelques États-membres de l’UE, comme la France, ont choisi d’inclure les personnes décédées dans la définition de personnes physiques à qui les dispositions du RGPD s’appliqueront, tandis que d’autres, comme le Royaume-Uni, excluent explicitement les personnes décédées de leurs règlementations (voir ci-dessous).

Dans le contexte d’un Brexit imminent, et selon l’AEPD britannique, qui s’appelle « Information Commissionner Office » (« ICO« ), « le RGPD s’appliquera au Royaume-Uni à partir du 25 mai 2018 puisque le gouvernement a confirmé que la décision britannique de quitter l’UE n’affectera pas la mise en œuvre du RGPD« , bien qu’il y ait toujours des questions sur la manière dont le RGPD s’appliquera une fois que le Royaume-Uni aura quitté l’UE.

Depuis que le RGPD est entré en vigueur en mai 2016, la plupart des états-membres de l’UE ont déjà commencé à adapter leurs propres réglementations internes afin de s’y conformer.

2.3. Data Protection Act 1998 au Royaume Uni

Le Data Protection Act 1988 énoncé les lois relatives à la protection des données personnelles au Royaume Uni.

Cependant, il expose clairement dès le début, qu’il ne s’applique pas aux données de personnes décédées. En effet, dans sa Partie I « Basic interpretative provisions », le the Data Protection Act 1998 précise que les « données personnelles » signifient les données qui sont reliées à un individu vivant qui peut être identifié« . Ceci exclut donc les défunts.

Le Data Protection Act 1998 ne sera probablement pas amendé dans l’avenir, puisque le RGPD permet aux états-membres de limiter leurs lois relatives à la protection de données personnelles, aux personnes vivantes.

Donc, le Data Protection Act 1998 et l’AEPD britannique, l’ICO, n’offre aucune solution pour, ou de protection à, des personnes voulant voir le Contenu et les liens nuisibles concernant des membres décédés de leur famille, retirés des moteurs de recherche comme Google.

2.4. Loi informatique et libertés en France

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés française, généralement mentionnée comme la « Loi informatique et libertés », est bien plus favorable envers des membres de la famille et/ou des amis d’une personne décédée faisant face à une telle situation. En effet, la loi énonce une section entière consacrée aux personnes décédées.

La loi informatique et libertés a été modifiée par la loi n°2016-1321 du 7 octobre 2016, pour prendre en compte le nouvel ensemble de règles résultant du prochain RGPD.

Premièrement, l’Article 40 de cette loi permet aux personnes physiques de demander au responsable d’un traitement des données personnelles de modifier ces données les concernant. Ces données personnelles peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacées si elles s’avèrent inexactes, incomplètes, équivoques, périmées, ou si leur collecte, utilisation, communication ou conservation est interdite.

On donne ainsi aux personnes physiques un grand champ de contrôle sur leurs données personnelles sur Internet. Cependant, la loi informatique et libertés va au-delà, en accordant des droits sur des données personnelles relatives à des personnes décédées.

En effet, l’Article 40-1 de la loi informatique et libertés expose que « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès« . De plus, « en l’absence de telles directives rédigées par quelqu’un, les héritiers de cette personne concernée peuvent accéder aux traitements de données à caractère personnel qui concernent cette personne décédée, afin d’identifier et d’obtenir la communication de ces données« .

Un des avantages de cette loi est qu’elle permet à une personne de donner des instructions quant à ce qui devrait être fait avec ses données personnelles en ligne après sa mort. La personne peut décider à l’avance la suppression, la conservation ou la communication de ses données personnelles après son décès. Elle donne aussi des droits aux héritiers de la personne pour agir même lorsque la personne décédée n’a laissé aucune instruction. La partie III de ce même Article 40-1 permet aux héritiers d’une personne décédée de faire prendre en compte aux responsables de traitement de données personnelles, la mort de cette personne et, à cet égard, à s’opposer au traitement de ces données de la personne décédée, et de faire enlever, modifier ou mettre à jour de telles données personnelles.

Donc, comment enlever des liens concernant des personnes décédées de Google? Si Google refuse d’accorder la demande de déréférencement de certains liens URL, qui dirigent vers des pages web exposant un Contenu contrevenant sur une personne morte, il peut vraiment valoir la peine de se plaindre à l’AEPD française, la Commission Nationale Informatique et Libertés (« CNIL« ), de ce que Google a violé les dispositions de la loi Informatique et Libertés. Tant que le moteur de recherche a une filiale en France, la CNIL confirmera qu’elle est compétente pour examiner une telle plainte faite par un héritier d’une personne décédée, bien qu’un tel héritier ou telle personne décédé ne soient pas résidents en France.

3. Cadre règlementaire aux Etats-Unis d’Amérique: aucune protection pour les personnes décédées à ce jour

3.1. Les réglementations de base

Aux Etats-Unis, les régimes spéciaux varient d’un état à un autre, mais, il y a un trait commun très clair par rapport à la protection de données personnelles, qui est que la liberté d’expression (c’est à dire le premier amendement de la Constitution des Etats-Unis), dépasse le droit de contrôle d’une personne  sur ses propres données personnelles.

Avec ceci en mémoire, il est clair que, quand les données personnelles en question sont celles d’une personne décédée, la balance entre la vie privée et la liberté d’expression est plus favorable à cette dernière, aux Etats-Unis.

3.2. L’affaire Nicole Castouras

Ce point de vue est devenu manifeste dans le litige Nicole Castouras, qui s’est déroulé à Orange County, en Californie, entre 2006 et 2012.

Nicole Castouras, 19ans, est morte le 31 octobre 2006, en percutant la Porsche de son père, qu’elle n’était pas autorisée à conduire, dans un poste de péage en béton près de la jonction Alton Parkway sur la Route 241 en Californie. Les photos de son cadavre ont été répandues par la Police de la Route de Californie (« California Highway Patrol »), l’organisme appliquant la loi en Californie et ayant juridiction sur les patrouille de toutes les routes et autoroutes de Californie, et qui peut aussi agir comme police d’Etat. Ces photographies étaient si macabres, qu’elles ont suscité une curiosité malsaine de la part du grand public et ont été repostées des milliers de fois sur Internet, devenant virales.

Nicole’s parents then started an extremely expensive and protracted legal battle, against search engine Google and the California Highway Patrol, which lasted for years. The Castouras family lost the case against Google, further to requesting that the search engine de-link the articles and Content containing the images. Their only victory was to reach a settlement with the California Highway Patrol, under which the family received around USD2.37 millions in damages, caused by negligence and intentional infliction of emotional distress.

Les parents de Nicole ont alors commencé une bataille juridique, extrêmement coûteuse et prolongée, contre le moteur de recherche Google et la Police de la route de Californie, qui a duré pendant des années. La famille Castouras a perdu l’affaire contre Google, suite à sa demande de déréférencement par le moteur de recherche des articles et du Contenu contenant les images. Leur seule victoire a été d’obtenir une transaction avec la Police de la route de Californie, auprès de laquelle la famille a reçu un montant d’à peu près 2,37 millions USD en dommages et intérêts, causés par négligence et le fait d’avoir volontairement infligé de la détresse émotionnelle.

Comment enlever les liens concernant les personnes décédées de Google, quand on se trouve aux Etats Unis d’Amérique? Puisque le droit à l’oubli consacré par la décision de la CJUE, et le RGPD, disposent que le retrait des URL controversés, doit être fait sur toutes les extensions des noms de domaine, y compris le nom de domaine .com, et bien que Google ne respecte pas cette règle pour l’instant (voir ci-dessous), il peut valoir la peine pour les héritiers d’un citoyen américain décédé, de déposer une plainte contre Google auprès de la CNIL française, tant que le Contenu controversé concernant la personne défunte est visible de France, sur Internet.

4. Les effets d’une demande de déréférencement fructueuse

4.1. Seulement les liens URL sont déréférencés de Google, le Contenu n’est pas effacé

Si Google accepte votre demande de retrait des liens (ou s’il est forcé de le faire par une AEPD ou par une décision de justice), cela ne signifie pas que le Contenu, vers lequel ces liens dirigent, sera enlevé d’Internet. Le Contenu restera exactement comme il était et vous pourrez toujours le trouver sur le world wide web.

Cependant, ceci ne signifie pas qu’il est inutile de remplir le formulaire demandant le retrait auprès de Google. Le déréférencement reste utile puisqu’il rend le Contenu beaucoup plus difficile d’accès et à trouver. En effet, le déréférencement signifie que vous ne pourrez pas trouver le Contenu en le cherchant sur Google, puisque Google aura enlevé les liens URL de ses résultats de recherche. Cela signifie également que les membres du public qui ne connaissent pas l’existence de ce Contenu que vous voulez cacher, ne tomberont jamais dessus en naviguant par hasard sur Internet.

Donc, bien que le Contenu reste en ligne, seules les personnes qui ont déjà eu connaissance de celui-ci et qui sont prêtes à dépenser du temps et des ressources importantes pour y avoir accès, pourront le trouver, puisqu’elles devront se donner beaucoup de mal et utiliser un autre moteur de recherche que Google, pour avoir accès au Contenu.

Bien sûr, vous pouvez déposer plusieurs demandes de déréférencement auprès d’autant de moteurs de recherche que vous le voulez, pas seulement avec Google. Ils devront tous respecter la jurisprudence mise en œuvre par la décision de la CJUE et les dispositions du RGPD sur le droit à l’oubli, soit en faisant droit à de telles demandes de référencement, soit en vous répondant et vous expliquant pourquoi ils refusent d’y faire droit.

4.2. Spécifique au pays/géolocalisation: une limitation spécifique à un pays, pour l’instant

Pour le moment, l’accord des demandes de déréférencement reste spécifique à chaque pays. Cela signifie que si Google a accepté, ou a été forcé d’accepter par une décision de justice, d’enlever des liens URL, et que la demande de déréférencement a été faite en France, alors c’est seulement lorsque vous cherchez sur l’extension française de Google « Google.fr », que vous ne trouverez plus ces liens. En effet, si vous prenez le temps pour vérifier aussi sur « Google.com », ou une autre extension de pays, alors vous trouverez les liens URL vers le Contenu. Cela signifie que les liens ne seront pas trouvés par hasard désormais, mais ils seront toujours facilement disponibles pour les membres du public qui les recherchent activement.

Le Groupe de travail de la protection de données personnelles de l’Article 29 mentionné ci-dessus, le groupe de travail européen qui a écrit des directives pour la mise en oeuvre du droit à l’oubli consacré par la décision de la CJUE, expose dans ses directives que le déréférencement devrait être effectif sur toutes les extensions de Google, y compris « Google.com ». Cependant, Google refuse toujours une telle interprétation du jugement de la CJUE, expliquant que moins de 5 % de recherches européennes sont faites via « Google.com » et que Google dirige automatiquement des recherches Internet aux extensions locales. Ainsi, en enlevant simplement le lien URL d’une extension d’un pays européen, il évitait déjà presque toutes les découvertes accidentelles du lien en question, selon Google. Google va plus loin en disant que les personnes trouvant le lien URL étaient celles qui le cherchaient activement de toute façon, et auraient fini par le trouver en utilisant par exemple un autre moteur de recherche s’ils avaient continué leur recherche.

4.3. L’action de la CNIL contre Google: une approche avant-gardiste

Cette approche molle adoptée par Google, par rapport à la restriction géographique étroite du processus de déréférencement des liens URL dirigeant vers le Contenu controversé, n’est pas bien passé en Europe.

Le 10 mars 2016, après plusieurs lettres de mise en demeure et une tentative avortée de régler ce différend à l’amiable, la CNIL française a condamné Google à une amende de 100.000 euros pour violation des dispositions de la Directive 95/46/EC, des dispositions de la loi informatiques et libertés et de la jurisprudence de la CJUE sur le droit à l’oubli. Précisément, la CNIL a indiqué que Google devait déréférencer les URL sur toutes les extensions des noms de domaines de tous les pays, y compris « Google.com ».

La CNIL a souligné deux points majeurs dans sa décision:

  • Les services de moteurs de recherche de Google constituent un seul processus de traitement des données personnelles et ses extensions géographiques ne peuvent être considérées comme un traitement de données séparé. En effet, l’entreprise a initialement exploité uniquement « .com » et a progressivement ajouté des extensions pour chaque pays afin de fournir des services plus adaptés à chaque pays et langue nationale.
  • Donc, pour que le droit des résidents français de déréférencer des liens URL en rapport avec leurs données personnelles soit correctement respecté, le déréférencement doit être appliqué à toutes les extensions des pays de Google.

Google a rapidement fait appel contre la décision de la CNIL publiée publiquement, en déposant un rapport sommaire devant Conseil d’Etat français. Une décision du Conseil d’Etat est attendue et doit être rendue pendant le deuxième trimestre de 2017, donc soyez vigilant!

5. La meilleure stratégie pour obtenir le déréférencement

Comment effacer les liens concernant des personnes décédées de Google ?

Les divers pays en Europe ont des politiques différentes concernant la protection des données personnelles.

Si vous êtes un résident ou citoyen d’un État-membre de l’UE, alors cela vaut la peine de jeter un œil aux réglementations de protection des données personnelles en vigueur dans d’autres États-membres, afin de faire du « forum shopping ».

Si vous êtes un résident ou citoyen des Etats-Unis d’Amérique cependant, votre meilleure stratégie est de ne pas essayer de battre Google devant un tribunal, aux Etats-Unis, puisque vous échouerez indubitablement dans la plupart des cas. L’approche la plus raisonnable est de viser la personne ou l’entité juridique qui a répandu les données personnelles et les informations en premier lieu, si ceci est applicable à votre cas, afin d’obtenir des dommages et intérêts auprès d’eux.

5.1. La meilleure stratégie est d’escalader votre demande auprès de l’Autorité Européenne de Protection des Données personnelles française, la CNIL

Comme nous l’avons vu ci-dessus, les réglementations françaises sur la protection des données personnelles sont parmi les plus protectrices au monde, en particulier pour les données personnelles des personnes décédées. C’est pourquoi cela vaut la peine de passer par l’AEPD française, la CNIL, pour obtenir le déréférencement de liens URL, plutôt que, par exemple, l’AEPD du Royaume-Uni, et cela même pour un résident britannique.

Dans tous les cas, avant d’envisager une assignation en justice, il est moins coûteux et plus sage de d’abord déposer une plainte auprès de la CNIL. La procédure de plainte avec la CNIL est gratuite et assez facile à entreprendre puisqu’elle peut être faite entièrement en ligne. En outre, leur site web possède également une version anglaise, rendant la procédure beaucoup plus simple pour les ressortissants d’un autre pays.

La plainte peut être déposée en ligne, sur le site web de CNIL. Vous devrez remplir un formulaire avec vos informations personnelles et télécharger ensuite une copie de votre demande faite auprès de Google, une copie du message de refus de Google, ainsi que n’importe quel document qui peut soutenir votre plainte. Il y a aussi un espace pour n’importe quelles explications que vous voulez envoyer à la CNIL pour leur examen. La plainte déposée sera alors distribuée à un examinateur de la CNIL, qui a deux mois pour commencer à examiner le refus de Google et votre plainte.

La CNIL examine votre demande selon la loi française. C’est pourquoi vos chances de réussir sont bien plus élevées en passant par la CNIL que par l’ICO, particulièrement si vous voulez déréférencer des liens URL concernant une personne décédée.

En outre, la CNIL a déjà montré son efficacité (et sa robustesse) face à Google, par exemple quand elle a infligé une pénalité de 100.000 euros à Google, comme décrit ci-dessus.

5.2. Agir par étapes progressives: demande de retrait, escalade à la CNIL et, en dernier ressort, assignation devant une juridiction française

Premièrement, vous devez déjà avoir essuyé un refus de Google de déréférencer les liens, pour commencer le processus d’escalade.

Et avant de faire une demande de déréférencement à Google, il serait préférable (mais en aucun cas une obligation légale), d’essayer de contacter les webmasters des sites web exposant le Contenu controversé, puisque ces éditeurs peuvent décider de simplement le retirer.

La raison pour laquelle vous avez besoin de tout d’abord remplir une demande de déréférencement auprès de Google et d’attendre de recevoir un éventuel refus, est que la CNIL contacte Google afin de savoir la raison de refuser le déréférencement du Contenu, et ensuite d’évaluer si Google était dans son droit ou pas de refuser.

Si la procédure de plainte devant la CNIL échoue (ou même avant d’aller devant la CNIL), il est possible de porter cette affaire devant les tribunaux français. Cependant, il est recommandé de commencer par un dépôt de plainte devant la CNIL, puisque la procédure est gratuite (contrairement à l’action devant le tribunal) et plus rapide qu’un procès.

L’article 79.2 du RGPD dispose que toute procédure contre un contrôleur de données, tel que Google, peut être portée devant les tribunaux de l’état-membre de l’UE où le responsable du traitement des données ou son sous-traitant, ont un établissement. Google a un établissement en France: sa filiale, Google France. Par conséquent, les citoyens d’autres états-membres de l’UE peuvent assigner Google en justice en France, pour faire respecter leur droit à l’oubli, ou celui de leur proche décédé. Ceci cependant, sera seulement une option pour les citoyens britanniques tant que le Royaume-Uni est un état-membre de l’UE. Après l’achèvement du Brexit, les citoyens britanniques ne pourront plus faire respecter leur droit à l’oubli en France, à moins que des accords bilatéraux appropriés entre l’UE et le Royaume-Uni n’aient été mis en place.

L’avantage d’engager des procédures judiciaires en France, pour faire respecter son droit à l’oubli, est que la loi française s’appliquera conformément à l’Article 82.6 du RGPD qui dispose que la loi applicable est celle du pays où la procédure devant les tribunaux a été portée. C’est une bonne nouvelle pour les personnes concernées, puisque la loi française est beaucoup plus favorable à la protection des données que la loi britannique, en particulier concernant le droit à l’oubli des personnes décédées.

 

Alix de la Tour et Annabelle Gauberti (traduit en français par Melina MacDonald)

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha