Comment mettre votre business créatif en conformité avec le RGPD | Règlement Général sur la Protection des Données

Le RGPD arrive à grands pas: qu’est-ce que c’est? Comment est-ce qu’il va impacter vous-même et votre business? Que devez-vous faire afin de vous mettre en conformité avec le RGPD?

Il n’y a pas un moment à perdre, étant donné que les enjeux sont très élevés, et puisqu’être en conformité avec le RGPD va bien évidemment procurer des avantages concurrentiels à votre business.

RGPD, conformité avec le RGPD, Règlement Général sur la Protection des Données

Le 27 avril 2016, après plus de 4 ans de discussions et négociations, le parlement et le conseil européens ont adopté le Règlement Général sur la Protection des Données (« RGPD »).

  1. Pourquoi le RGPD?

Le RGPD abroge la Directive 95/46/CE relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (la “Directive”).

La Directive, qui est entrée en vigueur il y a plus de 20 ans, n’était plus propre à l’usage, étant donné que la quantité d’informations numériques que les entreprises créent, capturent et stockent, a beaucoup augmentée.

Les données – et plus il y en a, mieux c’est – sont là pour durer. Les données d’aujourd’hui lubrifient de plus en plus notre monde numérique. Le contrôle des données est, en fin de compte, constitutif de pouvoir, et la propriété des données a un effet très sérieux sur la concurrence dans tout marché existent. En collectant plus de données, une entreprise a plus de champ pour améliorer ses produits, ce qui attire plus d’utilisateurs, générant encore plus de données, et ainsi de suite. Les actifs constitués par les données (« data assets ») sont, aujourd’hui, au moins tout aussi importants que les autres actifs intangibles tels que les marques, le droit d’auteur, les brevets et dessins et modèles, pour les sociétés[1]. Les enjeux sont beaucoup plus élevés, aujourd’hui, en ce qui concerne la propriété, le contrôle et la gestion des données, et le RGPD est focalisé sur ce flot de données du 21ème siècle, alors que nous nous impliquons de plus en plus avec la technologie.

De plus, de nombreux cas judiciaires, lancés dans plusieurs états-membres de l’Union Européenne (“UE”), ont mis le doigt sur les sévères faiblesses et lacunes existantes, en terme de fourniture d’une protection des données personnelles – relatives aux citoyens de l’UE – satisfaisante, forte et homogène, et contrôlées par des sociétés et businesses opérant dans l’UE. Par exemple, le jugement Costeja v Google, rendu par la Cour de justice de l’Union Européenne (« CJUE »), auquel il est souvent fait référence sous l’appellation « jugement sur le droit à l’oubli », a été rendu le 26 novembre 2014. Ce jugement novateur a reconnu que les opérateurs de moteurs de recherche, tels que Google, gèrent des données personnelles et appartiennent à la catégorie de responsables de traitement (« data controllers ») au sens de l’Article 2 de la Directive. De ce fait, la décision de la CJUE reconnaît qu’une personne physique puisse “requérir (auprès d’un moteur de recherches) que les informations (relatives à lui ou elle, personnellement) ne soient plus mises à la disposition du public du fait de son inclusion dans (…) une liste de résultats”. Par le biais de cette décision, la CJUE a forcé les moteurs de recherche tels que Google à retirer, quand demandé, les liens URL qui sont “inadéquats, hors de propos ou ne sont plus pertinents, ou excessifs en relation avec le but pour lequel ils ont été traités et au vue du temps qui s’est écoulé”. Cet arrêt a marqué un grand pas en avant pour la protection des données personnelles dans l’UE.

En outre, les piratages informatiques dans, et les cyber-attacks de, milliers d’entreprises multinationales (Sony Pictures, Yahoo, Linkedin, Equifax, etc.) ainsi que de sociétés nationales de l’UE (Talktalk, etc.) font la une, constamment et de manière très régulière, affectant de manière dramatique le bien-être financier et moral de millions de consommateurs dont les données personnelles ont été volées à cause de ces piratages informatiques. Ces attaques et piratages soulèvent de très graves inquiétudes en ce qui concerne l’aptitude des businesses gérant les données personnelles des consommateurs de l’UE à être à la hauteur, en termes de lutter de manière proactive contre la cybercriminalité et de protéger les données personnelles.

Enfin, le RGPD, qui sera immédiatement applicable dans les 28 états-membres de l’UE sans aucune transposition à partir du 25 mai 2018 (à la différence de la Directive qui avait dû être transposée dans chaque état-membre de l’UE par des réglementations nationales), standardise toutes les lois nationales applicables dans ses états-membres et par conséquent apporte une uniformité parfaite entre elles. Le RGPD met tous les états-membres sur un pied d’égalité.

  1. Quand le RGPD entrera-t-il en vigueur?

Le RGPD, adopté en avril 2016, entre en vigueur le 25 mai 2018, fournissant idéalement une période de préparation de 2 ans aux businesses et entités du secteur public pour qu’ils s’adaptent aux changements.

Alors que de nombreux gérants d’entreprises de l’UE adoptent le point de vue que les changements apportés par le RGPD à leurs businesses, seront d’importance soit mineure soit nulle, ou seront du même ordre d’importance que d’autres problématiques de compliance, il n’y a pas une minute à perdre pour se préparer à la mise en conformité avec le nouveau jeu de règles longues et complexes énoncées dans le RGPD.

  1. Quels sont les enjeux? Quelles organisations sont impactées par le RGPD?

Les enjeux sont très importants. toutes les sociétés, organisations ou entités qui opèrent dans l’UE ou qui ont leurs sièges hors de l’UE mais qui collectent, détiennent ou traitent des données personnelles de citoyens de l’UE doivent se mettre en conformité avec le RGPD avant le 25 mai 2018. Potentiellement, le RGPD pourrait s’appliquer à tout site internet et à toute application sur une base globale.

Comme la plupart, si ce n’est toutes, les multinationales ont des clients, employés et/ou partenaires commerciaux dans l’UE, elles doivent se mettre en conformité avec le RGPD. Même les start-ups et PME doivent se mettre en conformité avec le RGDP, si leur business model implique qu’elles vont collecter, détenir ou traiter des données personnelles de personnes physiques de l’UE (c’est à dire les consommateurs, prospects, salariés, contractants et contractuels, fournisseurs, etc).

Les enjeux sont très élevés pour la plupart des businesses et, pour de nombreuses sociétés, cela devient une problématique et une conversation qui se déroule au niveau du top management et du conseil d’administration.

Pour assurer la mise en conformité avec le nouveau système juridique sur la protection des données, et le respect des nouvelles dispositions, le RGPD a introduit un système de poursuites avec des sanctions financières très lourdes qui seront imposées aux businesses qui ne sont pas en conformité. Si une organisation ne traite par les données personnelles des personnes physiques de l’UE de manière appropriée, elle peut être sanctionnée à payer une amende pouvant aller à, soit 4% de son chiffre d’affaires annuel global, soit 20 millions d’euros – quel que soit le montant le plus élevé[2].

Ces amendes futures sont bien plus élevées que la somme de GBP500.000 d’amende plafonnée que l’Autorité de Protection des Données Personnelles (« APDP« ) du Royaume Uni, l’Information Commissioner Office (“ICO”), ou la somme de 300.000 euros d’amende plafonnée que l’APDP française, la Commission Nationale Informatique et Libertés (“CNIL”), peuvent infliger à des personnes morales actuellement.

  1. Que couvrent les dispositions du RGPD?

Le RGPD est constitué de 99 articles énonçant les droits des personnes physiques, et les obligations placées sur les organisations et personnes morales, dans le champ du RGPD.

Comparé à la Directive, voici les concepts clé nouveaux apportés par le RGPD.

4.1. Privacy by design

Le principe de « privacy by design » signifie que les businesses doivent prendre une approche proactive et préventive en relation avec la protection de la vie privée et des données personnelles. Par exemple, un business qui limite la quantité de données personnelles collectées, ou qui anonymise ces données, est conforme au principe de “privacy by design”.

Cette obligation de “privacy by design” implique que les businesses doivent intégrer – par tous moyens techniques appropriés – la sécurité des données personnelles dès le lancement de leurs  applications ou procédures commerciales.

4.2. Responsabilité (« Accountability »)

La responsabilité (« accountability ») signifie que le responsable du traitement (« data controller »), ainsi que le sous-traitant (« data processor »), doit prendre des mesures juridiques, organisationnelles et techniques appropriées leur permettant de se mettre en conformité avec le RGPD. En outre, les responsables de traitement et les sous-traitants doivent pouvoir démontrer l’exécution de ces mesures, en toute transparence et à tout moment dans le temps, tant auprès de leurs APDP respectifs, qu’auprès des personnes physiques dont les données personnelles ont été traitées par eux.

Ces mesures doivent être proportionnées au risque, c’est à dire au préjudice qui serait causé aux personnes physiques de l’UE, en cas d’utilisation inappropriée de leurs données personnelles.

Afin de savoir si un business est en conformité, il est par conséquent nécessaire d’exécuter un audit des processus relatifs aux données personnelles d’une telle société. Notre cabinet d’avocats Crefovi exécute souvent des audits certifiés par la CNIL ou le ICO.

4.3. Etude d’impact (« Privacy impact Assessment »)

La société en charge de traiter et gérer les données personnelles, ainsi que ses sous-traitants, doit faire une analyse, une étude d’impact aussi appelée « Privacy Impact Assessment » (“PIA”) relative à la protection des données personnelles.

Les businesses doivent exécuter un PIA, une étude d’impact, sur leurs actifs constitués par des données personnelles (« data assets »), afin de suivre et de cartographier les risques inhérents à chaque processus et traitement de données mis en place, en fonction de leur plausibilité et de leur sérieux. A côté de ces risques, le PIA énonce la liste des mesures organisationnelles, technologiques, physiques et juridiques mises en oeuvre pour adresser et minimiser ces risques. Le PIA a pour but de vérifier l’adéquation de ces mesures et, si ces mesures échouent ce test, à déterminer des mesures proportionnées pour adresser ces risques découverts et pour s’assurer que le business devienne conforme au RGPD.

Crefovi accompagne les sociétés dans l’exécution de PIAs et en vérifiant l’efficacité des mesures de protection et de sécurité, grâce à l’exécution de tests d’intrusion.

4.4. Correspondant informatique et liberté (« Data Protection Officer »)

Le RGPD requiert qu’un officier de la protection des données (« Data Protection Officer », “DPO”) soit nommé, afin d’assurer la conformité du traitement des données personnelles par les administrations publiques et les entreprises dont les traitements de données personnelles présentent un fort risk de violation de la protection de la vie privée. Le DPO est le porte-parole de l’organisation en relation avec les données personnelles: il ou elle est le point de contact à qui s’adresser, pour le APDP, en relation avec la mise en conformité du traitement des données personnelles, mais aussi pour les personnes physiques dont les données ont été collectées, afin qu’elles puissent exercer leurs droits.

En plus d’avoir les prérogatives de correspondant informatique et liberté (“CIL”) en France, ou « chief privacy officer » au Royaume Uni, le DPO doit informer ses interlocuteurs de tout piratage informatique qui pourrait intervenir dans l’organisation, et analyser leur impact.

4.5. Profiling

Profiling est un processus automatisé des données personnelles permettant la construction d’informations complexes concernant une personne particulière, telles que ses préférences, sa productivité au travail ou ses allées et venues.

Ce type de traitement des données personnelles peut générer une prise de décision automatisée, qui peut avoir des conséquences juridiques, sans aucune intervention humaine. De ce fait, profiling constitue un risque aux libertés individuelles. C’est pour cela que les entreprises faisant du profiling doivent limiter ses risques et garantir les droits des personnes physiques qui font l’objet de ce profiling, en particulier en leur permettant de requérir une intervention humaine et/ou de contester la décision automatisée.

4.6. Droit à l’oubli

Comme expliqué ci-dessus, le droit à l’oubli permet à une personne physique d’éviter que des informations concernant son passé interfèrent avec sa vie actuelle. Dans le monde numérique, ce droit comprend le droit à l’effacement ainsi que le droit au déréférencement. D’un côté, la personne peut avoir du contenu potentiellement nocif effacé du réseau numérique, et, de l’autre côté, la personne peut dissocier un mot clé (tel que son prénom et son nom de famille) de certaines pages web sur un moteur de recherche.

Crefovi peut conseiller un business faisant face à une demande d’exécution du droit à l’oubli.

4.7. Autres droits des personnes physiques

Le RGPD complémente le droit à l’oubli en remettant les personnes physiques de l’UE fermement en contrôle de leurs données personnelles, renforçant de manière notoire l’obligation de consentement au traitement des données personnelles, ainsi que les droits des citoyens (droit à l’accès des données, droit de rectifier les données, droit de limiter le traitement des données, droit à la portabilité des données et droit de s’opposer au traitement des données personnelles), et les obligations d’information par les businesses à propos des droits des citoyens.

  1. Quel est le bon côté du RGPD?

5.1. Une opportunité de gérer ces données personnelles constituant des actifs précieux

La mise en conformité avec le RGPD devrait être vu par les businesses comme une opportunité, autant qu’une obligation: alors que les données personnelles sont de plus en plus importantes dans une organisation aujourd’hui, ceci est une excellente opportunité d’évaluer quelles données personnelles votre société détient, et comme vous pouvez en tirer le plus gros avantage.

Le principe clé du RGPD est qu’il vous donnera la capacité de trouver les données personnelles dans votre organisation qui sont très sensibles et à haute valeur, et de vous assurer que ces données personnelles sont protégées de manière adéquate des risques et des piratages informatiques.

5.2. Moins de formalités et une APDP à guichet unique

En outre, le RGPD retire l’obligation de déclaration préalable auprès du APDP compétent, avant tout traitement de données personnelles, et remplace ces formalités avec la création obligatoire et la gestion d’un registre de traitement des données personnelles.

De plus, le RGPD instaure une APDP à guichet unique: en cas d’absence d’une législation nationale spécifique, une APDP localisée dans un état-membre de l’UE dans lequel l’organisation a son principal ou unique établissement sera en charge de contrôler la conformité avec le RGPD.

Les businesses détermineront leur APDP respective en se basant sur le lieu d’établissement de leurs fonctions de management, concernant la supervision du traitement des données personnelles, ce qui permettra d’identifier l’établissement principal, y compris quand une société unique gère les opérations d’un groupe entier.

Cette APDP à guichet unique permettra aux sociétés de gagner du temps et de l’argent de manière substantielle, en simplifiant leurs processus.

5.3. Règlement unifié, transferts de données facilités

Afin de favoriser le marché européen des données personnelles et l’économie numérique, et ainsi de créer un environnement économique favorable, le RGPD renforce la protection des données personnelles et des libertés fondamentales.

Cette réglementation unifiée permettra aux businesses de réduire de manière substantielle les coûts du traitement des données personnelles qui sont à ce jour engagés dans les 28 états-membres de l’UE: les organisations n’auront plus à se mettre en conformité avec des réglementations nationales multiples pour la collecte, la récolte, le transfert et le stockage des données personnelles qu’elles utilisent.

En outre, étant donné que les données personnelles seront conformes avec la législation applicable dans tous les états de l’UE, il deviendra possible d’échanger les données et elles auront la même valeur dans différents pays, alors que pour l’instant les données personnelles ont différents prix en fonction de la  législation avec laquelle elles sont en conformité, ainsi que des coûts différents pour les sociétés qui les collectent.

5.4. Un champ géographique étendu par la concurrence loyale

Le champ du RGPD s’étend à des sociétés qui ont leurs siège social hors de l’UE, mais qui ont l’intention de marketer des produits et services dans le marché de l’UE, tant qu’elles ont en place des processus et traitements des données personnelles relatives à des personnes physiques de l’UE. Suivre ces résidents sur internet, afin de créer des profils, est aussi couvert par le champ du RGPD.

Par conséquent, les sociétés européennes, assujetties à des règles plus strictes, et potentiellement plus chères, ne seront pas pénalisées par la concurrence internationale sur le marché unique de l’UE. En outre, elles peuvent acheter aux entreprises non-UE certaines données personnelles qui sont conformes aux dispositions du RGPD, créant ainsi un marché des données plus large.

5.5. Ouvrir les services numériques à la concurrence

Le droit à la portabilité des données personnelles permettra aux personnes physiques de l’UE, qui font l’objet de traitement et gestion de leurs données personnelles, d’obtenir ces données personnelles sur un format exploitable ou de transférer ces données personnelles à un autre responsable de traitement (« data controller ») si cela est techniquement possible.

De cette façon, le client pourra changer de fournisseur de services numériques (email, photographies, etc.) sans avoir à manuellement récupérer toutes les données, durant un processus tant fastidieux que chronophage. En enlevant de telles barrières techniques, le RGPD rend le marché plus fluide, et offre aux utilisateurs une mobilité numérique supérieure. Les fournisseurs de services numériques vont par conséquent évoluer dans un marché plus concurrentiel, les incitant à fournir des services à meilleur marché et de plus haute qualité, étant donné que leurs clients ne seront plus les otages de leurs fournisseur initial.

5.6. Labels et certifications

Le comité européen sur la protection des données personnelles, ainsi que les institutions de l’UE, proposeront certaines certifications et labels afin de certifier la conformité avec le RGPD des traitements de données effectués par les entreprises.

Des reconnaissances monétaires et de vrais actifs pour l’image de marque d’une entreprise, les labels et certifications deviendront aussi un outil commercial important afin de gagner la confiance des prospects et pour obtenir leur loyauté.

  1. Quelles sont les étapes concrètes à suivre, aujourd’hui, pour être en conformité avec le RGPD?

Il n’y a pas un moment à perdre pour mettre en oeuvre les étapes suivantes, ci-dessous

  • Décider qui à la responsabilité de mettre en oeuvre les dispositions du RGPD dans votre organisation; assigner cette responsabilité au département ou à l’équipe le plus ou la plus approprié(e) (Service juridique? Compliance? Technologie IT?);
  • Correspondre avec l’APDP à guichet unique, puisque plusieurs d’entre elles ont préparé des informations explicatives et des guides sur la mise en conformité avec le RGPD, telles que le ICO au Royaume Uni, la CNIL en France et le Data Protection Commissioner en Irlande (ce dernier étant l’APDP de nombreux géants numériques, tels que Google, Facebook et Twitter);
  • Préparer une cartographie des traitements de données dans votre organisation, et identifier les lacunes dans la conformité avec le RGPD en relation avec ces différents processus – nous, avocats du cabinet d’avocats Crefovi, avons rédigé des documents détaillés sur comment faire cette cartographie des traitements et du processing de données et pour vous épauler pour identifier les lacunes dans la conformité avec le RGPD;
  • Valoriser les différents processus et traitements de données personnelles et évaluer lesquels sont à haut risque et faire une liste de vos données personnelles constituant des actifs ((« data assets ») à haut risque;
  • Exécuter un étude d’impact ou PIA sur ces data assets à haut risque (telles que les données des ressources humaines, les données personnelles des clients) – Crefovi épaulent les sociétés dans la mise en place des PIAs et pour vérifier l’efficacité des mesures de sécurité et de protection, grâce à l’exécution de tests d’intrusion;
  • Mise en oeuvre de mesures juridiques, techniques, organisationnelles et physiques pour réduire les risques sur ses data assets se mettre en conformité avec le RGPD;
  • S’assurer que vos contractants et sous-contractants ont mis en place des mesures de sécurité conformes, en leur envoyant une liste des points à vérifier;
  • Faire des formations de connaissance de la protection de la vie privée pour vos salariés étant donné qu’ils doivent comprendre que les données personnelles sont constituées par n’importe quoi qui peut être directement lié à une personne physique et qu’il y aura des conséquences s’ils violent les dispositions du RGPD et volent des données personnelles;
  • Développer une politique « Apporter Son Propre Appareil » (“ASPA”) et la mettre en oeuvre dans votre organisation et parmis vos salariés, étant donné que vous êtes responsable pour toutes les informations d’utilisation des données personnelles qui sont stockées dans le cloud et accessibles depuis tant des appareils d’entreprise (tablettes, smartphones, ordinateurs portables) que des appareils personnels. Aussi, quand les salariés partent ou sont licenciés, assurez-vous que vous avez inclus ASPA dans votre processus de fin de contrat de travail, afin que le personnel partant perde accès aux données personnelles de la société immédiatement sur leurs appareils;
  • Vérifier et/ou amender les notifications d’information ou les politiques de confidentialité afin qu’elles tiennent en compte les nouvelles informations requises par le RGPD;
  • Mettre en place des mécanismes automatisés afin d’obtenir le consentement explicite des personnes physiques résidentes dans l’UE, particulièrement si votre business est impliqué dans la collection de données comportementales, la publicité comportementale ou tout autre forme de profiling;
  • Mettre en place un plan de management solide au cas où des piratages informatiques de données personnelles ont lieu, ce qui vous permettra d’être en conformité avec les conditions obligatoires de notification de votre APDP en 72 heures – notre expérience approfondie de plans d’alerte, de plans de risk management, de plans analytiques et de plans de notification, en France et au Royaume Uni, nous place, chez Crefovi, dans une position adéquate pour épauler nos clients dans leur mise en conformité avec les exigences contraignantes énoncées dans le RGPD.

 

[1]The world’s most valuable resource is no longer oil, but data”, The economist, 6 Mai 2017.

[2]Preparing for the general data protection regulation: a roadmap to the key changes introduced by the new European data protection regime”, Alexandra Varla, 2017.

 

Annabelle Gauberti est l’associée fondatrice de Crefovi, notre cabinet d’avocats basé à Londres et Paris spécialisé dans le conseil aux industries créatives en général, en particulier sur leurs besoins en matière de protection des données personnelles et contre les piratages informatiques. Elle est un avocat au barreau de Paris et un solicitor of England & Wales.

Annabelle est aussi présidente de l’International association of lawyers for the creative industries (ialci).

 

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Le droit d’auteur à l’ère numérique: comment les industries créatives peuvent en tirer profit

Pourquoi les auteurs, compositeurs, éditeurs musicaux, producteurs de films, scénaristes, ainsi que les fournisseurs de services numériques, ont tout à gagner en trouvant un consensus sur le droit d’auteur à l’ère numérique.

Droit d'auteur à l'ère numériqueEn juillet 2015, j’ai écrit un article détaillé sur les droits voisins à l’ère numérique, et comment l’industrie de la musique peut profiter de cette source de revenus en croissance exponentielle.

Deux ans plus tard, et après avoir assisté au Festival du Film de Cannes et au MIDEM 2017, je suis convaincue que la dominance des canaux de distribution numérique, et le streaming en particulier, est en train de s’accélérer dans les industries créatives. 

Focus 2017, le rapport sur les tendances du marché mondial du film, publié par le Marché du Film au Festival de Cannes 2017, note que, alors que les films disponibles sur l’offre de Video On Demand transactionnelle (VODT, tel que iTunes) et la VOD par abonnement (VODA, tel que Netflix ou Amazon Prime) sont en hausse, il y a toujours des barrières à la sortie sur VOD en Europe. L’obstacle majeur étant la perception que le niveau de revenus provenant de l’exploitation VOD est toujours bas, avec 80% des revenus générés par 20% de films ainsi que des coûts marketing élevés. Une autre difficulté au développement à grande échelle des services de VOD est le protectionnisme juridique que certains pays, tels que la France avec son « exception culturelle », mettent en place afin de limiter les perturbations que le succès financier et commercial flagrant des fournisseurs de services numériques ne manquerait pas de générer, vis-à-vis des salles de cinéma locales, des exploitants de salles de cinéma nationaux, des productions de film faites localement, et du public local.

Quoi qu’il en soit, de tels obstacles ne résisteront pas au test du temps et seront balayés par la seule force des demandes et attentes des consommateurs, poussées par une approche plus customisée, conviviale et personnalisée de la consommation de contenu audio ou video, à tout moment, en toute location géographique et sur tout support. 

Déjà, le secteur de la musique, qui a toujours été l’industrie créative la plus rapidement affectée et perturbée par la révolution numérique, est beaucoup plus à l’écoute des potentialités du streaming et de la nécessité d’adapter son propre business model afin de monétiser une telle révolution numérique, pour le profit de toutes les parties prenantes impliquées. Par exemple, le plus gros fournisseur de services musicaux numériques, Spotify, a confirmé qu’il a plus de 140 millions d’utilisateurs actifs, mondialement, en juin 2017, en hausse par rapport au chiffre de 100 millions déclaré il y a un an.

Durant le Midem 2017, on a beaucoup parlé de transparence, de rémunération équitable, de la value gap, pour sensibiliser les participants au Midem et le secteur de la  musique en général, aux besoins des titulaires de droits d’auteur dans cette success story numérique. En effet, comment cette chaîne logistique du contenu audio peut-elle fonctionner, si les titulaires de droits d’auteur (c’est à dire les éditeurs et les auteurs-compositeurs) se sentent privés, et laissés pour compte, de la manne commerciale et financière représentée par le streaming? Ils refuseront tout simplement de garder leurs chansons sur les plateformes des fournisseurs de services numériques, tels que Spotify, Apple Music et Deezer, s’ils ne sont pas bien rémunérés pour une telle utilisation, ce qui pourrait potentiellement handicaper l’expansion des canaux de distribution numérique audio.

Comme j’avais promis de le faire, dans mon précédent article sur les droits voisins, je tourne maintenant mon attention sur la façon dont les transactions sont faites avec les fournisseurs de services numériques, dans le domaine du streaming, en ce qui concerne les aspects de licence des droits d’auteur, en particulier les droits de représentation pour les titulaires de droits dans la composition musicale (à la différence de l’enregistrement sonore). Ici, nous ciblons uniquement le droit d’auteur et la situation des titulaires de droits dans les chansons et compositions musicales – typiquement, les auteurs-compositeurs, les éditeurs musicaux – dans les films – typiquement, les scénaristes, les producteurs de films – et dans les livres – typiquement, les auteurs et les éditeurs de presse.

1. S’attaquer au droit d’auteur à l’ère numérique

Le droit d’auteur a été consacré dans la loi, étape par étape, afin d’assurer aux personnes qui créent, écrivent et/ou produisent du contenu original ou une oeuvre (tels que les auteurs, compositeurs et artistes) des droits exclusifs pour son utilisation et distribution.

Le droit d’auteur est arrivé avec l’invention de la presse à imprimerie et a été établi tout d’abord en Angleterre, par réaction aux monopoles des imprimeurs au début du 18ème siècle. Le parlement anglais était préoccupé par la copie non régulée des livres, et a adopté le Licensing of the Press Act 1662, qui a établi un registre des livres sous licence et requérait qu’une copie soit déposée auprès de la Stationers’ Company, continuant ainsi la licence de contenu qui avait longtemps été en vigueur.

Le droit d’auteur s’est développé, d’un concept juridique régulant les droits de copie dans la publication de livres et de cartes, à un concept ayant un impact significatif sur presque toutes les industries modernes, couvrant des éléments tels que les chansons, les films, les photographies, les oeuvres d’art, les oeuvres architecturales, les logiciels, etc.

De tels droits exclusifs accordés aux créateurs de contenu sont normalement à durée limitée (dans la plupart des juridictions, la vie de l’auteur plus 70 ans après la mort de l’auteur) et peuvent être limités par des exceptions au droit d’auteur, telles que le ‘fair use’ aux États-Unis et le ‘fair dealing’ au Royaume-Uni et au Canada. En outre, le droit d’auteur protège uniquement l’expression originale d’idées, non pas les idées elles-mêmes, ce à quoi on se réfère par la dichotomie « idée-expression ».

Le droit d’auteur fréquemment inclus la reproduction, le contrôle sur les produits dérivés, la distribution, l’exécution publique, le transfert de ces droits aux autres, et les droits moraux, tels que l’attribution.

Les droits d’auteur sont considérés des droits territoriaux, ce qui signifie qu’ils ne s’étendent pas au-delà du territoire d’une juridiction spécifique. Toutefois, le champ géographique du droit d’auteur a été étendu grâce aux accords de droits d’auteur internationaux, tels que la Convention de Berne de 1886 pour la protection des oeuvres littéraires et artistiques. La Convention de Berne a introduit le concept selon lequel un droit d’auteur existe à partir du moment où l’oeuvre est « fixé », plutôt que de requérir un enregistrement: selon la Convention de Berne, les droits d’auteur pour les oeuvres créatives n’ont pas à être affirmés, déclarés ou enregistrés, étant donné qu’ils sont automatiquement en vigueur dès la création. La Convention de Berne enforce, en outre, la condition que les pays reconnaissent les droits d’auteur détenus par les citoyens de toutes les autres parties à la convention. Par conséquent, les auteurs étrangers sont traités de la même manière que les auteurs domestiques, dans tout pays signataire de la Convention de Berne. Les dispositions de la Convention de Berne sont intégrées dans l’accord TRIPS de l’Organisme Mondial du Commerce de 1995, donnant ainsi, en pratique, une application presque globale à la Convention de Berne. Les traités multilatéraux ont été ratifiés par presque tous les pays, et les organisations internationales telles que l’Union Européenne (« UE« ) ou l’Organisation Mondiale du Commerce exigent que leurs états-membres respectent leurs dispositions.

Etant donné que les oeuvres protégées par le droit d’auteur sont consommées de plus en plus en ligne, sur des canaux numériques (le VOD pour le contenu vidéo et le streaming, et les téléchargements pour le contenu audio), un nouveau challenge est apparu, afin d’assurer que les titulaires de droits d’auteur puissent monétiser l’exploitation de leurs oeuvres en ligne.

Au niveau de l’UE, un nouveau cadre juridique a été mis en place, afin de protéger le droit d’auteur dans les 28 états-membres et dans le monde numérique. Par exemple, la directive sur l’harmonisation de certains aspects du droit d’auteur dans la société de l’information (2001/29/CE) aspire à adapter la législation sur le droit d’auteur afin de refléter les développements technologiques, alors que la directive 2006/115/CE harmonise les dispositions relatives aux droits de location et de prêt d’oeuvres protégées par le droit d’auteur. Toutefois, c’est surtout la directive 2014/26/UE sur la gestion collective du droit d’auteur (la « directive GCDD« ) qui a refaçonné le cadre juridique de l’UE vers plus d’efficacité dans la monétisation du droit d’auteur à l’ère numérique.

2. Les sociétés de perception, le droit d’auteur musical et la directive GCDD: un pas dans la bonne direction pour les titulaires de droits de l’UE

Une société de perception de droits d’auteur, aussi appelée société de gestion de droits, société de collecte de droits ou organisme de délivrance de licences, est une institution créée par la loi sur le droit d’auteur ou par un accord privé relatif à la gestion collective des droits. Les sociétés de collecte ont l’autorité d’accorder des licences sur des oeuvres protégées par le droit d’auteur et perçoivent des redevances dans le cadre d’un système de licences obligatoires ou individuelles, négociées au nom et pour le compte de leurs membres respectifs. Les sociétés de collecte perçoivent les paiements de redevances auprès d’utilisateurs d’oeuvres protégées par le droit d’auteur, et redistribuent ces redevances aux titulaires de droits d’auteur.

Les sociétés de collecte sont des organisations qui gèrent l’externalisation de la fonction de gestion de droits. Les titulaires de droits d’auteur transfèrent à des sociétés de collecte les droits de:

  • délivrer des licences non-exclusives;
  • percevoir des redevances en leur nom et pour leur compte;
  • redistribuer ces redevances collectées aux adhérents;
  • souscrire des accords de réciprocité avec d’autres sociétés de collecte dans le monde et
  • faire respecter leurs droits.

Pour comprendre le rôle des sociétés de gestion collective de droits, nous devons tout d’abord parler des droits d’exécution. Ces droits d’exécution représentent la plus large source de revenus de redevances continus. A travers le monde, les auteurs et éditeurs reçoivent à peu près 6 milliards USD en redevances chaque année, provenant des droits d’exécution. Le droit d’exécution est un droit dérivant du droit d’auteur, qui s’applique au paiement de frais de licence par les utilisateurs de musique, lorsque ces utilisateurs jouent les compositions musicales, protégées par le droit d’auteur, des auteurs et des éditeurs. Ce droit reconnaît que la création d’un auteur est son droit de propriété, et que son utilisation requiert sa permission ainsi que sa rémunération. Par exemple, les exécutions peuvent être des chansons entendues à la radio, des  bribes musicales dans une série TV ou de la musique jouée live ou sur enregistrement durant un spectacle, dans un parc d’attractions, à un évènement sportif, dans une salle de concert majeure, dans un jazz club ou dans une salle de concert symphonique. Les exécutions peuvent être de la musique lorsque l’on est en attente au téléphone, ou sur des chaînes musicales en avion, ou sur des fournisseurs de services numériques, tels que Spotify et Apple Music.

Les sociétés de collecte négocient en outre les frais de licence pour la représentation publique et la reproduction publique, et agissent comme des groupes d’intérêts et de lobbying. Elles octroient des licences générales (c’est à dire qu’elles octroient des droits pour le compte de multiples titulaires de droits dans un unique accord de licence générale, pour un paiement unique), qui donnent le droit d’exécuter leurs catalogues pendant une période de temps.

Les utilisateurs de musique (ceux qui payent les frais de licence) comprennent les réseaux TV principaux, les stations de radio, les services de cable payants, les fournisseurs de services numériques, les sites internet, les salles de concert, l’industrie hôtelière, les boîtes de nuit, les bars, les parcs d’attraction, etc.

Les titulaires de droits d’auteur joignent une société de collecte en tant que membres et la mandatent pour mettre en place des licences sur leurs droits, pour leur compte. La société de perception fait payer une somme pour la licence, de laquelle elle déduit des frais d’administration avant de distribuer ce qui reste en redevances. Les sociétés de collecte sont en général des organismes à but non-lucratif et sont détenues et contrôlées par leurs membres, les titulaires de droits.

La plupart des pays au monde ont une seule société de gestion collective des droits musicaux (SACEM en France, SIAE en Italie, PRS au Royaume Uni) mais les Etats-Unis ont décidé d’avoir trois organisations, afin d’éviter des comportements monopolistiques et anti-concurrentiels. Par conséquent, ASCAP est en concurrence avec BMI et SESAC, avec 96% des frais de licence découlant des droits d’exécution générés par ASCAP ou BMI, aux USA.

Pendant de longues années, les sociétés de gestion de droits collectives ont eu une vie bien tranquille, sauf aux Etats-Unis où ASCAP, BMI et SESAC se vouent une concurrence sans merci afin de détenir les meilleurs catalogues et hits musicaux, dans leurs répertoires respectifs.

Toutefois, vers 2008, plusieurs sociétés de gestion de droits collectives européennes avaient de sérieux problèmes de performance, aggravés par une attitude hautement protectrice vis-à-vis des autres sociétés européennes, et une incapacité à s’adapter aux changements dans la façon dont la musique est en train d’être de plus en plus distribuée en ligne, sur internet.

Le 16 juillet 2008, la Commission européenne a adopté une décision (la « décision CISAC« ) interdisant aux 24 sociétés collectives européennes de restreindre la concurrence en ce qui concerne les conditions relatives à la gestion et aux licences de représentation publique des oeuvres musicales des auteurs. Les sociétés de perception avaient en effet été identifiées comme ayant restreint les services qu’elles offraient aux auteurs et aux utilisateurs commerciaux hors de leur territoire domestic. Bien que la décision CISAC simplifiait la sélection, pour les auteurs, des sociétés qui gèreraient leurs droits d’exécution publique (par exemple, un auteur italien serait en mesure de licencier ses droits à PRS au Royaume-Uni, ou à la SACEM en France), elle a été estimée insuffisante pour contraindre les sociétés de gestion collective de droits européennes à effectuer les changements nécessaires pour qu’elles s’ouvrent d’elles-mêmes au marché.

Par conséquent, les institutions européennes sont passées au niveau supérieur et, suite à une proposition de directive sur la gestion collective des droits et les accords de licence multi-territoriale d’oeuvres musicales pour leur utilisation en ligne, publiée le 11 juillet 2012, l’UE a adopté la directive GCDD, la directive 2014/26/UE sur la gestion collective des droits et les accords de licence multi-territoriale d’oeuvres musicales pour leur utilisation en ligne.

Ainsi, dans l’UE, la conduite des sociétés de collecte est maintenant gouvernée par les réglementations nationales qui ont transposé la directive GCDD dans les 28 états-membres, à la date de transposition du 10 avril 2016. Suite à l’entrée en vigueur de la directive GCDD sur la gestion collective du droit d’auteur et des droits y étant reliés, et sur les accords de licence multi-territoriale d’oeuvres musicales, pour leur utilisation en ligne sur le marché interne, une concurrence plus juste – ainsi qu’une collaboration saine – ont enfin émergées entre toutes les sociétés de collecte de l’UE.

La directive GCDD a pour but d’atteindre les objectifs suivants:

  • moderniser et améliorer la gouvernance, la gestion financière et la transparence des sociétés de collecte de l’UE, en particulier pour s’assurer que les titulaires de droits aient plus de pouvoir dans le processus de prise de décision et reçoivent des paiements de redevances qui soient exacts et ponctuels;
  • promouvoir des règles du jeu équitables pour les accords de licence multi-territoriale de musique en ligne et
  • aider à créer des structures de licence innovantes et dynamiques qui encouragent le développement de services de musique en ligne légaux.

Les sociétés collectives de l’UE qui octroient des licences multi-territoriales sont maintenant tenues d’avoir une « capacité suffisante » pour traiter efficacement et de manière transparente les données nécessaires pour administrer les licences multi-territoriales. La « capacité suffisante » comprend, au minimum, la capacité à facturer les utilisateurs, à collecter les revenus de droits et à distribuer les montants dûs aux titulaires de droits. En outre, les sociétés collectives de l’UE doivent, en réponse à une requête « dûment justifiée » formulée par des fournisseurs de services, des titulaires de droits ou d’autres sociétés, fournir des informations à jour concernant leur répertoire en ligne. Ces deux exigences sont des challenges pour de nombreuses sociétés de perception de l’UE, étant donné que la facturation à jour et exacte n’a jamais été une caractéristique forte de la licence collective en Europe.

Pour les fournisseurs de services numériques qui souhaitent laisser leurs utilisateurs accéder facilement une vaste bibliothèque de contenu en ligne, la capacité à obtenir des licences multi-territoriales est un facteur essentiel pour établir un service auprès d’une base d’utilisateurs pan-européenne. A une époque où les fournisseurs de services numériques sont non seulement pressurisés par les labels, mais aussi acculés par les auteurs et éditeurs à augmenter leurs redevances, il n’est pas encore clair si les règlementations nationales de transposition de la directive GCDD iront assez loin pour protéger les intérêts de ces fournisseurs de services numériques.

Au moins, les sociétés de perception de l’UE sont maintenant en train de s’embarquer dans des collaborations de licence pan-européenne, telles que ICE (un hub de licence et gestion des droits musicaux en ligne formé par trois des sociétés de collecte de l’UE les plus larges, PRS (Royaume Uni), STIM (Suède) et GEMA (Allemagne)) et Armonia (un autre hub de licence et gestion des droits musicaux en ligne formé par la SACEM (France), SGAE (Espagne), SIAE (Italie), SACEM Luxembourg, SABAM (Belgique), SUISA (Suisse), AKM (Autriche), SPA (Portugal), Artisjus (Hongrie)) qui ont tous deux reçu l’aval de la Commission Européenne pour permettre des négociations de droits plus rapides et simplifiées pour les fournisseurs de services numériques opérant dans l’UE. En mai 2016, ICE a signé sa première transaction de licence dans la place de marché numérique, en passant un accord avec Google Play Music.

3. Le coup de maître: droit d’auteur et marché unique numérique de l’UE

En juillet 2014, avant sa présidence à la Commission Européenne, Jean-Claude Juncker a publié ses directives générales politiques pour une nouvelle Europe. Au centre de son agenda se trouvait un Marché Unique Numérique connecté (« MUN« ), qui a engendré des propositions de réglementations de l’UE tendant à profiter des technologies numériques, et au retrait des restrictions à la libre circulation des biens et services numériques. Parmi ces réformes, se trouvaient des amendements aux réglementations sur les télécoms (la fin des frais de roaming de téléphones portables), la protection des données personnelles (avec l’approbation du Règlement Général sur la Protection des Données personnelles) et les lois de l’UE sur le droit d’auteur.

Les réformes de l’UE sur le droit d’auteur, en particulier, sont très ambitieuses avec une série de propositions clés annoncées par la Commission Européenne en septembre 2016:

  • un règlement de l’UE facilitant la tâche aux diffuseurs, en requérant uniquement l’autorisation du pays d’origine pour les services en ligne ancillaires (par exemple, les simulcasts ou les services de musique, e-books, jeux ou de ‘catch-up’/rattrapage) qui sont disponibles à travers l’UE, et qui a été adopté le 8 juin 2017;
  • une directive de l’UE et un règlement de l’UE pour mettre en oeuvre le Traité de Marrakech: la première fournissant une exception obligatoire pour faciliter l’accès aux oeuvres publiées, protégées par le droit d’auteur, aux personnes qui sont aveugles, malvoyantes ou incapables de lire les imprimés, et le second permettant l’échange transfrontalier de copies entre l’UE et les autres pays qui sont parties au Traité et
  • une proposition pour une directive de l’UE sur le droit d’auteur dans le MUN (la « directive MUN »).

Les dispositions clé de la proposition de directive MUN comprennent:

  • fournir des droits à une rémunération équitable dans les contrats pour les auteurs et les interprètes;
  • la création d’un droit ancillaire pour les éditeurs de presse;
  • l’obligation pour les fournisseurs de services en ligne (réseaux sociaux, plateformes, etc.) de prendre des mesures pour prévenir les infractions au droit d’auteur;
  • de nouvelles exceptions obligatoires aux infractions au droit d’auteur;
  • faciliter l’utilisation d’oeuvres hors-du-commerce par les institutions d’héritage culturel.

La proposition de directive MUN vise à réduire les différences entre les régimes de droit d’auteur nationaux et à élargir l’accès en ligne aux oeuvres protégées par le droit d’auteur par les utilisateurs partout dans l’UE. Elle reconnait que, malgré le fait que les technologies numériques doivent faciliter l’accès transfrontalier aux oeuvres, des obstacles persistent, en particulier pour les utilisations et oeuvres où l’autorisation des droits est complexe.

En ce qui concerne les oeuvres audiovisuelles, la proposition de directive MUN précise, malgré l’importance croissante des plateformes VOD, que les oeuvres audiovisuelles de l’UE constituent uniquement un tiers des oeuvres disponibles aux consommateurs sur ces plateformes! Encore une fois, ce manque de disponibilité découle partiellement d’un processus d’autorisation de droits complexe. La proposition de directive MUN fournit par conséquent des mesures destinées à faciliter le processus de licence et d’autorisation des droits, afin de finalement faciliter l’accès transfrontalier des consommateurs au contenu protégé par le droit d’auteur.

En particulier, la proposition de directive MUN prévoit la rémunération équitable dans les contrats d’auteurs et d’interprètes, en ses articles 14 à 16. Etant donné que les auteurs et interprètes ont souvent un pouvoir de négociation faible, lorsqu’ils accordent des licences sur leurs droits, la proposition de directive MUN énonce une « obligation de transparence » par laquelle les états-membres seront requis de s’assurer que les auteurs et interprètes peuvent avoir un droit à l’information concernant l’exploitation de leurs oeuvres. L’obligation peut être ajustée lorsqu’elle est disproportionnée, ou retirée lorsque la contribution de l’auteur n’est pas significative. Les dispositions continuent ainsi, pour fournir un « mécanisme d’ajustement contractuel » afin que les auteurs et interprètes puissent requérir une rémunération supplémentaire de la part de la partie avec qui ils concluent un contrat, lorsque la rémunération accordée au départ est disproportionnellement basse par rapport aux revenus et bénéfices subséquents dérivés de l’exploitation des oeuvres ou interprétations. Les états-membres sont aussi requis de fournir un mode alternatif et volontaire de résolution des litiges. Le parlement de l’UE propose deux petits amendements: reconnaître les droits à une rémunération équitable, et fournir aux auteurs et interprètes une option pour mandater des représentants afin de demander des ajustements contractuels pour leur compte.

Une autre réforme, énoncée à l’article 11 de la proposition de directive MUN, tendant à monétiser efficacement le droit d’auteur à l’ère du numérique, est le droit ancillaire pour les éditeurs de presse. La Commission européenne a dit que le droit proposé tend à résoudre les difficultés auxquelles sont confrontées les éditeurs de presse en licenciant leurs publications en ligne: le problème provient du recouvrement de leur investissement, par rapport à ceux qui reproduisent leur contenu en ligne gratuitement. L’article 11 de la proposition de directive MUN tend à lutter contre ce problème en requérant que les états-membres fournissent aux « éditeurs de publications de presse » des droits pour contrôler la « reproduction » et la « mise à disposition au public ». Ce droit ancillaire devrait avoir une durée de vingt ans, commençant à courir à partir du 1er janvier de l’année suivant la publication de presse. Une « publication de presse » est définie comme la « fixation d’une collecte » d’oeuvres littéraires journalistiques. Des lois similaires ont été introduites en Allemagne et en Espagne et celles-ci ont déjà conduit à des retraits de publications de presse sur des sites d’actualités, résultant en un trafic réduit vers les propres sites des éditeurs.

La Commission européenne propose de prendre en considération la soit-disante « value gap » entre les services de streaming licenciés, qui payent pour le contenu qu’ils hébergent, et les intermédiaires, tels que les réseaux de médias sociaux (Facebook) et les plateformes en ligne (YouTube), qui hébergent du contenu contrefait. La directive de l’UE sur le e-commerce fournit une défence de « safe harbour » à ces intermédiaires, avec un régime de notification et retrait. Toutefois, au lieu de faire des amendements à la directive de l’UE sur le e-commerce, l’article 13 de la proposition de directive MUN prévoit que « les fournisseurs de services de la société de l’information qui stockent et fournissent au public un accès à de larges quantités d’oeuvres téléchargées par leurs utilisateurs doivent, en coopération avec les titulaires de droits, prendre des mesures pour s’assurer que le fonctionnement des contrats conclus avec les titulaires de droits pour l’utilisation de leurs oeuvres, ou pour prévenir la mise à disposition sur leurs services d’oeuvres identifiées par les titulaires de droits, par le biais d’une coopération avec les fournisseurs de services« . La Commission européenne suggère que de telles mesures peuvent inclure l’utilisation de technologies de reconnaissance de contenu. Cet article 13 semble en contradiction avec la directive de l’UE sur le e-commerce, ces dispositions sur le ‘safe harbour’ et l’assurance d’absence d’obligation de surveiller les informations transmises ou stockées. Toutefois, nous pouvons nous attendre à des discussions supplémentaires entre la Commission européenne et le parlement de l’UE sur comment prendre en compte, de manière adéquate, cette « value gap ». Une chose qui est certaine est que les titulaires de droits d’auteur musicaux, les éditeurs en particulier, sont très irrités par les lois existantes sur le safe harbour mises en place dans l’UE et aux USA et veulent que les intermédiaires deviennent pleinement responsables pour les dommages que la contrefaçon sur leurs plateformes cause aux titulaires de droits d’auteur.

Une autre réforme notable introduite par la proposition de directive MUN est l’amélioration des pratiques de licence et l’accès plus large au contenu. La Commission européenne a mis en avant des mesures pour faciliter la digitalisation et l’octroi de licences sur des oeuvres hors du commerce. Celles-ci sont des oeuvres qui ne sont pas disponibles au public par le biais des canaux commerciaux ordinaires et qui sont souvent détenues par les institutions d’héritage culturel. Le but de ces dispositions est de fournir un plus large accès à ces matériaux et de garantir l’effet transfrontalier des accords de licence. 

L’avenir nous en dira plus, en ce qui concerne la proposition de directive MUN, mais elle constitue vraiment un pas dans la bonne direction, afin d’améliorer la monétisation des oeuvres protégées par le droit d’auteur dans le MUN de l’UE. 

4. Les solutions technologiques pour une meilleure monétisation du droit d’auteur à l’ère numérique: un travail en cours

Le Midem 2017 fut un tourbillon de propositions technologiques élégantes afin de s’attaquer à la transparence, ainsi qu’aux façons efficaces et exactes de payer des redevances aux titulaires de droits d’auteur à l’ère numérique. 

La création d’une base de données globale de droits d’auteur et d’oeuvres musicaux fut, encore une fois, envisagée, malgré le fait que le ‘Global Repertoire Database’ (« GRD »)  fut un flop total en 2014 du fait d’un manque de coordination appropriée entre, et de financement de la part de, diverses parties prenantes, telles que Universal, EMI Music Publishing, les entreprises de technologies telles que Apple, Nokia et Amazon, et les sociétés de collecte comme PRS (Royaume Uni), STIM (Suède) et la SACEM (France).

D’autres suggestions technologiques envisagées étaient l’utilisation de solutions sophistiquées de logiciels de gestion et d’administration de droits telles que Counterpoint, la standardisation des données en rationalisant les codes ISWC, l’amélioration des métadonnées fournies aux fournisseurs de services numériques par les éditeurs de musique et les labels, et l’utilisation de la blockchain pour structurer une nouvelle base de données, avec des codes ISWC rationalisés et en accélérant le paiement de redevances par le biais des contrats intelligents et des bitcoins. 

Il me semble que toutes ces solutions techniques, en particulier la création d’une base de données de droits d’auteur et la mise en place de codes ISWC clairs, ainsi que de séquences de métadonnées ne seront exécutables que lorsque leur installation est coordonnée par des réglementations pan-européennes et obligatoires applicables dans les 28 états-membres de l’UE. 

 

Pour conclure, alors que les intérêts des titulaires de droits d’auteur sont de plus en plus préservés, grâce aux processus légaux et techniques et aux outils plus adaptés aux changements fluides déclenchés par de nouveaux modes de consommation des oeuvres protégées par le droit d’auteur à l’ère du numérique, cela semble toujours être une approche précaire qui est mise en place ici. Alors que tant les titulaires de droits d’auteur, que les fournisseurs de services numériques, ont tout à gagner en augmentant la transparence et la collecte rapide des redevances numériques, tout en réduisant substantiellement la ‘value gap’ qui bénéficie énormément aux intermédiaires protégés par le ‘safe harbour’, j’ai l’impression qu’ils ne communiquent pas vraiment efficacement entre eux et ne pensent pas que leurs intérêts sont alignés.

 

Annabelle Gauberti, associée fondatrice du cabinet d’avocats en droit de la musique Crefovi, qui se spécialise dans le conseil aux industries créatives, depuis Paris et Londres. Avant travaillé avec des clients créatifs pour plus de quinze ans, Annabelle est une fervente adepte de l’importance et de la valeur de regarder de l’avant, et de planifier à l’avance, pour prospérer dans l’industrie de la musique actuelle et son nouveau paradigme. Le travail qu’elle effectue de manière régulière, comprend le conseil aux compositeurs de musique et paroliers sur des deals d’édition; aux producteurs et interprètes sur les deals d’enregistrement et, pour toutes les parties prenantes susmentionnées, sur les deals de streaming et les transactions de sync; ainsi que l’enregistrement et la défense des droits de propriété intellectuelle; le contentieux relatif à la propriété intellectuelle et aux transactions commerciales; la négociation de deals de merchandising et de partenariat entre les marques de mode et les groupes de musique.

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Droit du marketing luxe et mode: comment sécuriser vos pratiques

Crefovi s’associe à Les Echos Formation pour présenter une formation d’une journée de pointe sur le droit du marketing luxe et mode: comment  sécuriser vos pratiques.

 

Droit du marketing luxe et modeCette journée de formation très innovante fournira une vue complète sur les aspects juridiques auxquels il faut faire attention, lorsque l’on planifie et organise des campagnes de marketing et de publicité, ainsi que des défilés de mode.

Du droit à l’image et du « publicity right » aux contrats avec les égéries et les ambassadeurs de la marque, en passant par les contrats d’endorsement, ainsi que la gestion des relations de la marque avec les agences (agences de mannequins, agences de publicité, superviseurs musicaux, etc), aucune pierre ne sera laissé en jachère par Crefovi durant ce séminaire.

Dates de cette formation:

  • mardi 25 avril 2017
  • jeudi 30 novembre 2017

Objectifs de cette formation:

  • Maîtriser les éléments essentiels d’une négociation gagnant-gagnant avec les égéries et mannequins, ainsi que les agences de publicité, les sync agents et les superviseurs de musique
  • Comprendre qui sont les parties prenantes, leurs postures et leurs différents rôles dans la prise de décision et d’influence, concernant le choix des égéries, des chansons accompagnant le défilé ou la campagne publicitaire, des mannequins, des campagnes publicitaires et des défilés
  • Comparer les stratégies et voies de négociation, pour obtenir le maximum d’investissement dans la campagne publicitaire ou le partenariat, de la part d’une égérie ou d’un « brand ambassador », tout en respectant le droit à l’image et les « publicity rights »
  • Maximiser le potentiel « marketing » des médias sociaux tout en minimisant les risques juridiques
  • Utiliser la lutte anti-contrefaçon comme stratégie de marketing du luxe

Résumé du programme:

09:30 – 11:30: LA CAMPAGNE PUBLICITAIRE : UN VIVIER DE RÉFLEXIONS JURIDIQUES
  • Les rapports entre la marque de luxe et les agences de publicité : comment s’assurer que le « brief » écrit par la maison de luxe est bien compris ?
  • Le contrat avec l’égérie : gérer les agents, les talent agencies et la relation contractuelle avec la star
  • La musique synchronisée dans la publicité : un parcours balisé
  • Les rapports avec les médias, droit à l’image et propriété intellectuelle : presse écrite, TV, sites de streaming (YouTube, Vimeo)
  • Médias sociaux et droit : comment maximiser le potentiel du digital tout en maîtrisant le risque juridique ?
11:45 – 13:30 – LE DÉFILÉ CHAQUE SAISON: UN CHALLENGE JURIDIQUE CERTAIN !
  • Les contrats avec les mannequins et autres prestataires de service : un enjeu important
  • Le photographe et le défilé : droit à l’image, contrefaçon et redevances
  • Le défilé en musique : comment ça marche, d’un point de vue juridique ?

Témoignage
Un directeur juridique témoigne sur son expérience de gestion de la négociation et de l’élaboration de l’ensemble des contrats de partenariats avec les brands ambassadors de sa marque. Il s’exprime sur les enjeux juridiques existants lors de telles négociations.

14:30 – 15:30 – ETUDE DE CAS
  • Rihanna v Topshop.
  • Pourquoi le respect du droit à l’image est primordial dans le secteur du luxe et de la mode.
  • Catherine Zeta-Jones v Caudalie
15:45-17:15 – LA LUTTE CONTRE LA CONTREFAÇON COMME OUTIL DE MARKETING ET DE PUBLICITÉ
  • L’état des lieux de la lutte contre la contrefaçon dans le luxe et la mode
  • Les nouveaux outils de lutte contre la contrefaçon – juridiques ou non-juridiques
  • Les actions de lobbying contre la contrefaçon avec l’ECCIA, le Walpole, le Comité Colbert, etc.
17:15-18:00 – RÉSUMÉ FINAL

Résumé final sur les points-clés à retenir de la journée, pour développer à bien les campagnes marketing et promotionnelles d’une maison de luxe, dans le respect de la réglementation en vigueur

Intervenant sur la formation

Annabelle Gauberti est avocat au barreau de Paris, ainsi que solicitor en Angleterre et au pays de Galles. Elle développe sa pratique sur la fourniture de services juridiques, pour des dossiers soit contentieux soit non-contentieux, à des entreprises et des particuliers travaillant dans les industries créatives en général, et les secteurs du luxe et de la mode, de la musique, du cinéma, de la télévision, de l’internet et des multimédias en particulier.

Mme Gauberti a plus de treize ans d’expérience dans la pratique du droit du luxe et de la mode. Depuis 2003, elle a écrit de nombreux articles sur cette discipline juridique.

Mme Gauberti est à la pointe de l’expansion et du développement du droit du luxe et de la mode, notamment en fournissant des cours et séminaires à des professionnels du luxe à l’Institut de la Recherche de la Propriété Intellectuelle (IRPI) et aux étudiants de MBAs en Luxury Brand Management, autour du monde.

Voici des liens vers les séminaires que Madame Gauberti a organisé et auxquels elle a participé comme intervenante:

https://crefovi.fr/couverture-mediatique/stars-hip-hop-cinema-produits-mode-luxe/

https://crefovi.fr/couverture-mediatique/propriete-intellectuelle-mode-luxe/

https://crefovi.fr/couverture-mediatique/crefovi-sync-license-midem-2015/

 

Les Echos Formation

Depuis 2003, Les Echos Formation accompagne aussi les grandes entreprises et le service public dans le développement de leurs compétences managériales avec une pédagogie à distance. Pour répondre à vos besoins, nous vous proposons notre savoir-faire d’éditeur de contenus (on et offline), d’intégrateur et d’animateur pour des programmes sur mesure dédiés aux équipes de management en s’appuyant sur ses multiples ressources et réseaux.

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Comment obtenir le déréférencement de liens concernant les personnes décédées sur Google | Le droit au déréférencement et les défunts

Que faire quand une personne aimée est décédée et que des écrits, images ou vidéos dégradantes et/ou indiscrètes concernant son décès sont publiés sur internet?

Comment les amis, la famille et les héritiers de cette personne décédée peuvent-ils rétablir une image appropriée et la réputation de cette défunte, sur le Far West virtuel qu’est le world wide web?

Comment  obtenir le déréférencement de liens concernant les personnes décédées sur Google?

 

Déréférencement de liens concernant les personnes décédées sur Google1. Déréférencement ou retrait: faits généraux et modalités

1.1. Qu’est-ce que le déréférencement ou le retrait?

Le déréférencement, aussi appelé retrait, est le procédé selon lequel les liens vers certains contenus écrits/audios/vidéos/photographiques disponibles sur internet (le “Contenu”) sont supprimés, des résultats générés par les fournisseurs de services de moteurs de recherche, après que des mots-clés précis aient été insérés dans l’outil de barre de recherche de ces mêmes moteurs de recherche. C’est ainsi que l’on retire les liens concernant des personnes décédées de Google.

Le déréférencement est un service que Google, ainsi que d’autres moteurs de recherche, peut fournir, soit de son plein gré, soit après y avoir été obligé par décision de justice.

Le déréférencement ne doit pas être confondu avec le fait de retirer du contenu d’internet en contactant directement les webmasters des sites web originaux qui publient le Contenu.

Google étant un moteur de recherche, il liste simplement le résultat des recherches, et permet l’accès grâce à des liens cliquables vers les sites web reliés aux mots-clés que l’on saisit dans la barre de recherche. Google, à la différence des webmasters des sites originaux, n’a aucun contrôle sur le contenu des pages web; les liens desquelles il propose d’afficher. Par conséquent, il serait inutile de demander à Google le retrait d’informations affichées sur une page web exposée sur un site internet tiers.

1.2. Quel est le but du déréférencement?

Google est, de loin, le plus populaire au monde des moteurs de recherche.

Selon Net Marketshare, Google occupe 80,52% du marché global des moteurs de recherche. La plupart des gens font appel à Google pour trouver le Contenu qu’ils recherchent et pour accéder aux pages web qui les intéressent.

Ainsi, le simple fait de faire déréférencer de Google un lien URL de ses classements rend le Contenu beaucoup plus difficile à trouver par les utilisateurs du Web. Le Contenu sera presque impossible à trouver par accident, et sera toujours assez difficile à trouver même en le cherchant spécifiquement.

1.3. Comment envoyer des demandes de déréférencement à Google?

Bien qu’il n’y ait aucune obligation légale de le faire, il peut être avisé, durant la première étape du processus de déréférencement, de contacter les webmasters des sites web tiers affichant le Contenu que vous souhaitez faire effacer.

Dans la plupart des cas, cette étape est malheureusement péniblement inefficace puisque de nombreux webmasters et éditeurs de sites web soit ne prennent même pas la peine de répondre, soit refusent de retirer le Contenu en question de leur site web.

Si vous avez tenté de contacter le webmaster et éditeur du site web tiers en vain, la prochaine étape sera alors de faire une demande auprès du moteur de recherche Google de retirer les liens URL, liant au Contenu controversé, de ses listes de recherches, afin que, alors même que le Contenu reste sur internet, les internautes ne le trouveront pas en utilisant le moteur de recherche Google, Google Images, Google recherches avancées (« Google advance search ») ou Google alertes.

Si vous avez décidé de ne contacter ni les webmasters, ni les éditeurs du Contenu directement en premier, comme cela est votre droit, la première étape sera de contacter Google et de requérir le retrait de ces liens, comme expliqué ci-dessus.

Alors qu’il est possible d’exercer votre droit auprès des opérateurs de moteurs de recherche tels que Google par tous moyens, Google a rendu cela relativement aisé pour vous.

Donc, comment retirer des liens concernant des personnes décédées de Google? Google a créé et publié certains formulaires en ligne, qui peuvent être remplis de son site web.

Il y a deux types de formulaires Google:

  • le formulaire de « retrait d’informations de Google »: ce formulaire vous permets de remplir une demande afin que Google déréférence les informations vous concernant de ses résultats de recherche, de façon plus générale. Il est destiné aux résidents européens ainsi qu’aux résidents non-européens.

Ces formulaires requièrent que vous divulguez les informations suivantes:

  • le nom complet de la personne dont vous voulez faire retirer les données;
  • votre nom complet, si vous agissez pour le compte d’une autre personne;
  • votre relation avec la personne dont les données sont l’objet de la demande de déréférencement faite à Google (par exemple, “parent”, “avocat”, etc.);
  • une adresse de contact électronique;
  • le pays de la loi duquel la demande devrait être examinée;
  • les URLs que vous souhaitez voir effacer des listes de Google;
  • quelques explications écrites sur les raisons pour lesquelles vous voulez que ces URLs soient déréférencés (limitées à approximativement 500 caractères, ce qui, en pratique, ne vous permet de donner que des explications très limitées) et
  • une copie scannée de la preuve d’identité de la personne dont vous voulez que les données soient effacées.

1.4. Taux de succès des demandes de déréférencement

Google a supprimé 345 millions de liens URL en 2014, 558 millions de liens URL en 2015 et 908 millions de liens URL en 2016.

Bien que le nombre de liens supprimés ait augmenté considérablement d’année en année, le nombre de demandes de déréférencement s’est aussi accru.

Au mois de mars 2016, Google avait reçu plus de 400.000 demandes, examiné plus de 1,4 millions de liens URL, et retiré  42,6% des liens URL pour lesquels ils avaient reçu des demandes de déréférencement.

Toutefois, le taux des effacements, comparé au nombre de demandes, est maintenant en déclin.

Est-ce parce que de plus en plus de personnes font des demandes de déréférencement déraisonnables et/ou parce que Google devient de plus en plus difficile dans son processus de sélection de ces liens URL qui devraient être déréférencés?

2. Cadre réglementaire en Europe: le régime le plus protecteur des personnes physiques au monde

La réglementation sur la protection des données personnelles est, dans l’Union Européenne, rédigée par chaque état-membre séparément, à la date de cet article.

2.1. La décision de la CJUE Costeja: le droit au déréférencement dans l’UE

Cette décision est un jugement de la Cour de Justice de l’Union Européenne (“CJUE”) rendu le 26 novembre 2014, à laquelle il est généralement fait référence comme la décision sur le “Droit à l’oubli”.

Ce jugement avant-gardiste reconnaît que les opérateurs de moteurs de recherche, tels que Google, traitent des données personnelles et sont qualifiés de responsables du traitement de données au sens de l’Article 2 de la Directive 95/46/EC.

Conformément aux dispositions de la Directive 95/46/EC, les personnes concernées par les données personnelles pourront faire une demande de déréférencement de liens URL vers du Contenu considéré comme étant en violation avec leurs droits fondamentaux (c’est à dire le droit à la vie privée et à la protection des données personnelles).

La décision de la CJUE reconnaît qu’une personne concernée peut “demander (à un moteur de recherche) que les informations (qui la concernent personnellement) ne soient plus disponible au public à cause de son inclusion dans (…) une liste de résultats”. La Cour force alors les moteurs de recherche tels que Google à effacer, quand demandé, les liens URL qui sont “inadéquats, sans pertinence ou ayant perdu leur pertinence, ou excessifs par rapport aux buts pour lesquels ils avaient été traités et à la lumière du temps qui s’est écoulé.”

Si les moteurs de recherche n’accordent pas de telles requêtes de déréférencement, les personnes concernées peuvent déposer une plainte auprès des Autorités Européennes de Protection des Données personnelles (“AEPDs”), ou toute autorité judiciaire compétente, de leurs états européens respectifs. Les AEPDs examineront alors la plainte, touchant au refus partiel ou total de déréférencer le Contenu, utilisant une liste de critères communs. En effet, une première analyse des plaintes reçues jusqu’ici et provenant de personnes concernées dont les demandes de déréférencement avaient été refusées par Google et d’autres moteurs de recherche, a permi aux AEPDs d’établir une liste des critères communs à utiliser par elles afin d’évaluer si la loi sur la protection des données personnelles avait été respectée. Les AEPDs évalueront les plaintes au cas-par-cas, en utilisant des critères tels que:

  • le résultat des recherches concerne-t-il une personne physique – c’est à dire un individu? Et le résultat des recherches apparaît-il lorsqu’une recherche sur le nom de la personne concernée est effectuée?
  • La personne concernée tient-elle un rôle dans la vie publique? Est-ce que la personne concernée est une personne publique?
  • Est-ce que la personne concernée est un mineur?
  • Les données personnelles sont-elles exactes?
  • Est-ce que les informations sont sensibles au sens de l’Article 8 de la Directive 95/46/EC (c’est à dire que ces informations ont un impact supérieur sur la vie privée de la personne concernée que des données personnelles « ordinaires’, telles que du Contenu concernant la santé, sexualité ou les croyances religieuses d’une personne)?
  • Est-ce que les données personnelles sont à jour? Les données personnelles sont-elles disponibles plus longtemps que nécessaire par rapport au but du traitement?
  • Le Contenu est-il volontairement rendu public? Est-ce que la personne concernée pouvait raisonnablement s’attendre à ce que le Contenu serait rendu public?
  • Est-ce que les données personnelles sont relatives à une infraction pénale?

La décision de la CJUE a été reçue, en particulier en Grande Bretagne et aux Etats-Unis d’Amérique, avec des critiques. Un éditorial du New York Times a déclaré qu’elle pourrait saper la liberté de la presse ainsi que la liberté d’expression

Le Groupe de Travail sur la Protection des Données de l’Article 29 (« Article 29 Data Protection Working Party »), un organe consultatif indépendant européen sur la protection des données et le respect de la vie privée, a analysé le jugement de la CJUE, et écrit des lignes directrices exhaustives pour la mettre en oeuvre. Un des points les plus importants de ces lignes directrices rédigées pour mettre en oeuvre le jugement de la CJUE, est que, quand il est décidé que des liens URL doivent être effacés d’un moteur de recherche, ou lorsqu’un moteur de recherche accepte de retirer des liens URL, l’effet de ce déréférencement devrait être effectif dans le monde entier, et non limité seulement à l’extension du pays (c’est à dire les domaines de l’UE) où la demande a été faite. En pratique, cela signifie que dans tous les cas le déréférencement devrait aussi être effectif sur tous les domaines pertinents, y-compris « .com ».

La décision de la CJUE est un énorme pas en avant pour la protection des données personnelles en Europe, étant donné qu’elle renforce le droit d’une personne au contrôle de l’accès à ses données personnelles sur internet, et met en place un « droit à l’oubli » reconnu.

Donc, comment effacer des liens concernant des personnes décédées de Google? La décision de la CJUE ne concerne que la protection des données personnelles et de la vie privée des personnes vivantes. En effet, elle précise que la demande de déréférencement doit être faite par la personne dont les données personnelles sont affichées sur internet.

2.2. Règlement Général sur la Protection des Données Personnelles

Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques eu égard au traitement des données à caractère personnel et à la libre circulation de ces données personnelles, est entré en vigueur le 24 mai 2016 et s’appliquera seulement à partir du 25 mai 2018 (le « Règlement Général sur la Protection des Données personnelles » ou « RGPD »).

Le RGPD consacre en tant que loi le droit à l’oubli, comme énoncé en son Article 17. Conformément à son objectif principal de permettre aux personnes concernées de prendre contrôle de leurs propres données personnelles, le RGPD dispose le droit au déréférencement (« droit à l’oubli ») qui permettra aux personnes concernées de demander aux responsables du traitement des données personnelles (u compris les moteurs de recherche comme Google) de supprimer leurs données, s’il n’y a aucune raison légitime pour leur rétention.

L’innovation dans le RGPD, comparé au régime en vigueur exposé dans la Directive 95/46/EC, est qu’actuellement les personnes concernées ont seulement le droit de demander une décision judiciaire pour cesser le traitement de leurs données personnelles, quand ces dernières causent des dommages, tandis que le RGPD permet aux personnes concernées d’éviter l’intervention d’un tribunal, coûteuse et longue, en réglant la problématique directement avec le responsable du traitement des données personnelles (y compris tout moteur de recherche).

Puisqu’une personne concernée est définie de manière large comme étant « toute personne physique pouvant être identifiée, directement ou indirectement, notamment par référence à un identifiant comme un nom, numéro d’identification, données de localisation, identifiant en ligne, un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale » dans le RGPD, cela vaut la peine de vérifier si une telle définition englobe tant les personnes vivantes que mortes.

Dans son « Considérant 27 », le RGPD donne à chaque État-membre le choix pour étendre la protection aux défunts, ou non. Il précise que ce « Règlement ne s’applique pas aux données personnelles de personnes décédées. Les États-membres peuvent prévoir des règles quant au traitement des données personnelles de personnes décédées« .

Par conséquent, quelques États-membres de l’UE, comme la France, ont choisi d’inclure les personnes décédées dans la définition de personnes physiques à qui les dispositions du RGPD s’appliqueront, tandis que d’autres, comme le Royaume-Uni, excluent explicitement les personnes décédées de leurs règlementations (voir ci-dessous).

Dans le contexte d’un Brexit imminent, et selon l’AEPD britannique, qui s’appelle « Information Commissionner Office » (« ICO« ), « le RGPD s’appliquera au Royaume-Uni à partir du 25 mai 2018 puisque le gouvernement a confirmé que la décision britannique de quitter l’UE n’affectera pas la mise en œuvre du RGPD« , bien qu’il y ait toujours des questions sur la manière dont le RGPD s’appliquera une fois que le Royaume-Uni aura quitté l’UE.

Depuis que le RGPD est entré en vigueur en mai 2016, la plupart des états-membres de l’UE ont déjà commencé à adapter leurs propres réglementations internes afin de s’y conformer.

2.3. Data Protection Act 1998 au Royaume Uni

Le Data Protection Act 1988 énoncé les lois relatives à la protection des données personnelles au Royaume Uni.

Cependant, il expose clairement dès le début, qu’il ne s’applique pas aux données de personnes décédées. En effet, dans sa Partie I « Basic interpretative provisions », le the Data Protection Act 1998 précise que les « données personnelles » signifient les données qui sont reliées à un individu vivant qui peut être identifié« . Ceci exclut donc les défunts.

Le Data Protection Act 1998 ne sera probablement pas amendé dans l’avenir, puisque le RGPD permet aux états-membres de limiter leurs lois relatives à la protection de données personnelles, aux personnes vivantes.

Donc, le Data Protection Act 1998 et l’AEPD britannique, l’ICO, n’offre aucune solution pour, ou de protection à, des personnes voulant voir le Contenu et les liens nuisibles concernant des membres décédés de leur famille, retirés des moteurs de recherche comme Google.

2.4. Loi informatique et libertés en France

La loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés française, généralement mentionnée comme la « Loi informatique et libertés », est bien plus favorable envers des membres de la famille et/ou des amis d’une personne décédée faisant face à une telle situation. En effet, la loi énonce une section entière consacrée aux personnes décédées.

La loi informatique et libertés a été modifiée par la loi n°2016-1321 du 7 octobre 2016, pour prendre en compte le nouvel ensemble de règles résultant du prochain RGPD.

Premièrement, l’Article 40 de cette loi permet aux personnes physiques de demander au responsable d’un traitement des données personnelles de modifier ces données les concernant. Ces données personnelles peuvent être rectifiées, complétées, mises à jour, verrouillées ou effacées si elles s’avèrent inexactes, incomplètes, équivoques, périmées, ou si leur collecte, utilisation, communication ou conservation est interdite.

On donne ainsi aux personnes physiques un grand champ de contrôle sur leurs données personnelles sur Internet. Cependant, la loi informatique et libertés va au-delà, en accordant des droits sur des données personnelles relatives à des personnes décédées.

En effet, l’Article 40-1 de la loi informatique et libertés expose que « toute personne peut définir des directives relatives à la conservation, à l’effacement et à la communication de ses données à caractère personnel après son décès« . De plus, « en l’absence de telles directives rédigées par quelqu’un, les héritiers de cette personne concernée peuvent accéder aux traitements de données à caractère personnel qui concernent cette personne décédée, afin d’identifier et d’obtenir la communication de ces données« .

Un des avantages de cette loi est qu’elle permet à une personne de donner des instructions quant à ce qui devrait être fait avec ses données personnelles en ligne après sa mort. La personne peut décider à l’avance la suppression, la conservation ou la communication de ses données personnelles après son décès. Elle donne aussi des droits aux héritiers de la personne pour agir même lorsque la personne décédée n’a laissé aucune instruction. La partie III de ce même Article 40-1 permet aux héritiers d’une personne décédée de faire prendre en compte aux responsables de traitement de données personnelles, la mort de cette personne et, à cet égard, à s’opposer au traitement de ces données de la personne décédée, et de faire enlever, modifier ou mettre à jour de telles données personnelles.

Donc, comment enlever des liens concernant des personnes décédées de Google? Si Google refuse d’accorder la demande de déréférencement de certains liens URL, qui dirigent vers des pages web exposant un Contenu contrevenant sur une personne morte, il peut vraiment valoir la peine de se plaindre à l’AEPD française, la Commission Nationale Informatique et Libertés (« CNIL« ), de ce que Google a violé les dispositions de la loi Informatique et Libertés. Tant que le moteur de recherche a une filiale en France, la CNIL confirmera qu’elle est compétente pour examiner une telle plainte faite par un héritier d’une personne décédée, bien qu’un tel héritier ou telle personne décédé ne soient pas résidents en France.

3. Cadre règlementaire aux Etats-Unis d’Amérique: aucune protection pour les personnes décédées à ce jour

3.1. Les réglementations de base

Aux Etats-Unis, les régimes spéciaux varient d’un état à un autre, mais, il y a un trait commun très clair par rapport à la protection de données personnelles, qui est que la liberté d’expression (c’est à dire le premier amendement de la Constitution des Etats-Unis), dépasse le droit de contrôle d’une personne  sur ses propres données personnelles.

Avec ceci en mémoire, il est clair que, quand les données personnelles en question sont celles d’une personne décédée, la balance entre la vie privée et la liberté d’expression est plus favorable à cette dernière, aux Etats-Unis.

3.2. L’affaire Nicole Castouras

Ce point de vue est devenu manifeste dans le litige Nicole Castouras, qui s’est déroulé à Orange County, en Californie, entre 2006 et 2012.

Nicole Castouras, 19ans, est morte le 31 octobre 2006, en percutant la Porsche de son père, qu’elle n’était pas autorisée à conduire, dans un poste de péage en béton près de la jonction Alton Parkway sur la Route 241 en Californie. Les photos de son cadavre ont été répandues par la Police de la Route de Californie (« California Highway Patrol »), l’organisme appliquant la loi en Californie et ayant juridiction sur les patrouille de toutes les routes et autoroutes de Californie, et qui peut aussi agir comme police d’Etat. Ces photographies étaient si macabres, qu’elles ont suscité une curiosité malsaine de la part du grand public et ont été repostées des milliers de fois sur Internet, devenant virales.

Nicole’s parents then started an extremely expensive and protracted legal battle, against search engine Google and the California Highway Patrol, which lasted for years. The Castouras family lost the case against Google, further to requesting that the search engine de-link the articles and Content containing the images. Their only victory was to reach a settlement with the California Highway Patrol, under which the family received around USD2.37 millions in damages, caused by negligence and intentional infliction of emotional distress.

Les parents de Nicole ont alors commencé une bataille juridique, extrêmement coûteuse et prolongée, contre le moteur de recherche Google et la Police de la route de Californie, qui a duré pendant des années. La famille Castouras a perdu l’affaire contre Google, suite à sa demande de déréférencement par le moteur de recherche des articles et du Contenu contenant les images. Leur seule victoire a été d’obtenir une transaction avec la Police de la route de Californie, auprès de laquelle la famille a reçu un montant d’à peu près 2,37 millions USD en dommages et intérêts, causés par négligence et le fait d’avoir volontairement infligé de la détresse émotionnelle.

Comment enlever les liens concernant les personnes décédées de Google, quand on se trouve aux Etats Unis d’Amérique? Puisque le droit à l’oubli consacré par la décision de la CJUE, et le RGPD, disposent que le retrait des URL controversés, doit être fait sur toutes les extensions des noms de domaine, y compris le nom de domaine .com, et bien que Google ne respecte pas cette règle pour l’instant (voir ci-dessous), il peut valoir la peine pour les héritiers d’un citoyen américain décédé, de déposer une plainte contre Google auprès de la CNIL française, tant que le Contenu controversé concernant la personne défunte est visible de France, sur Internet.

4. Les effets d’une demande de déréférencement fructueuse

4.1. Seulement les liens URL sont déréférencés de Google, le Contenu n’est pas effacé

Si Google accepte votre demande de retrait des liens (ou s’il est forcé de le faire par une AEPD ou par une décision de justice), cela ne signifie pas que le Contenu, vers lequel ces liens dirigent, sera enlevé d’Internet. Le Contenu restera exactement comme il était et vous pourrez toujours le trouver sur le world wide web.

Cependant, ceci ne signifie pas qu’il est inutile de remplir le formulaire demandant le retrait auprès de Google. Le déréférencement reste utile puisqu’il rend le Contenu beaucoup plus difficile d’accès et à trouver. En effet, le déréférencement signifie que vous ne pourrez pas trouver le Contenu en le cherchant sur Google, puisque Google aura enlevé les liens URL de ses résultats de recherche. Cela signifie également que les membres du public qui ne connaissent pas l’existence de ce Contenu que vous voulez cacher, ne tomberont jamais dessus en naviguant par hasard sur Internet.

Donc, bien que le Contenu reste en ligne, seules les personnes qui ont déjà eu connaissance de celui-ci et qui sont prêtes à dépenser du temps et des ressources importantes pour y avoir accès, pourront le trouver, puisqu’elles devront se donner beaucoup de mal et utiliser un autre moteur de recherche que Google, pour avoir accès au Contenu.

Bien sûr, vous pouvez déposer plusieurs demandes de déréférencement auprès d’autant de moteurs de recherche que vous le voulez, pas seulement avec Google. Ils devront tous respecter la jurisprudence mise en œuvre par la décision de la CJUE et les dispositions du RGPD sur le droit à l’oubli, soit en faisant droit à de telles demandes de référencement, soit en vous répondant et vous expliquant pourquoi ils refusent d’y faire droit.

4.2. Spécifique au pays/géolocalisation: une limitation spécifique à un pays, pour l’instant

Pour le moment, l’accord des demandes de déréférencement reste spécifique à chaque pays. Cela signifie que si Google a accepté, ou a été forcé d’accepter par une décision de justice, d’enlever des liens URL, et que la demande de déréférencement a été faite en France, alors c’est seulement lorsque vous cherchez sur l’extension française de Google « Google.fr », que vous ne trouverez plus ces liens. En effet, si vous prenez le temps pour vérifier aussi sur « Google.com », ou une autre extension de pays, alors vous trouverez les liens URL vers le Contenu. Cela signifie que les liens ne seront pas trouvés par hasard désormais, mais ils seront toujours facilement disponibles pour les membres du public qui les recherchent activement.

Le Groupe de travail de la protection de données personnelles de l’Article 29 mentionné ci-dessus, le groupe de travail européen qui a écrit des directives pour la mise en oeuvre du droit à l’oubli consacré par la décision de la CJUE, expose dans ses directives que le déréférencement devrait être effectif sur toutes les extensions de Google, y compris « Google.com ». Cependant, Google refuse toujours une telle interprétation du jugement de la CJUE, expliquant que moins de 5 % de recherches européennes sont faites via « Google.com » et que Google dirige automatiquement des recherches Internet aux extensions locales. Ainsi, en enlevant simplement le lien URL d’une extension d’un pays européen, il évitait déjà presque toutes les découvertes accidentelles du lien en question, selon Google. Google va plus loin en disant que les personnes trouvant le lien URL étaient celles qui le cherchaient activement de toute façon, et auraient fini par le trouver en utilisant par exemple un autre moteur de recherche s’ils avaient continué leur recherche.

4.3. L’action de la CNIL contre Google: une approche avant-gardiste

Cette approche molle adoptée par Google, par rapport à la restriction géographique étroite du processus de déréférencement des liens URL dirigeant vers le Contenu controversé, n’est pas bien passé en Europe.

Le 10 mars 2016, après plusieurs lettres de mise en demeure et une tentative avortée de régler ce différend à l’amiable, la CNIL française a condamné Google à une amende de 100.000 euros pour violation des dispositions de la Directive 95/46/EC, des dispositions de la loi informatiques et libertés et de la jurisprudence de la CJUE sur le droit à l’oubli. Précisément, la CNIL a indiqué que Google devait déréférencer les URL sur toutes les extensions des noms de domaines de tous les pays, y compris « Google.com ».

La CNIL a souligné deux points majeurs dans sa décision:

  • Les services de moteurs de recherche de Google constituent un seul processus de traitement des données personnelles et ses extensions géographiques ne peuvent être considérées comme un traitement de données séparé. En effet, l’entreprise a initialement exploité uniquement « .com » et a progressivement ajouté des extensions pour chaque pays afin de fournir des services plus adaptés à chaque pays et langue nationale.
  • Donc, pour que le droit des résidents français de déréférencer des liens URL en rapport avec leurs données personnelles soit correctement respecté, le déréférencement doit être appliqué à toutes les extensions des pays de Google.

Google a rapidement fait appel contre la décision de la CNIL publiée publiquement, en déposant un rapport sommaire devant Conseil d’Etat français. Une décision du Conseil d’Etat est attendue et doit être rendue pendant le deuxième trimestre de 2017, donc soyez vigilant!

5. La meilleure stratégie pour obtenir le déréférencement

Comment effacer les liens concernant des personnes décédées de Google ?

Les divers pays en Europe ont des politiques différentes concernant la protection des données personnelles.

Si vous êtes un résident ou citoyen d’un État-membre de l’UE, alors cela vaut la peine de jeter un œil aux réglementations de protection des données personnelles en vigueur dans d’autres États-membres, afin de faire du « forum shopping ».

Si vous êtes un résident ou citoyen des Etats-Unis d’Amérique cependant, votre meilleure stratégie est de ne pas essayer de battre Google devant un tribunal, aux Etats-Unis, puisque vous échouerez indubitablement dans la plupart des cas. L’approche la plus raisonnable est de viser la personne ou l’entité juridique qui a répandu les données personnelles et les informations en premier lieu, si ceci est applicable à votre cas, afin d’obtenir des dommages et intérêts auprès d’eux.

5.1. La meilleure stratégie est d’escalader votre demande auprès de l’Autorité Européenne de Protection des Données personnelles française, la CNIL

Comme nous l’avons vu ci-dessus, les réglementations françaises sur la protection des données personnelles sont parmi les plus protectrices au monde, en particulier pour les données personnelles des personnes décédées. C’est pourquoi cela vaut la peine de passer par l’AEPD française, la CNIL, pour obtenir le déréférencement de liens URL, plutôt que, par exemple, l’AEPD du Royaume-Uni, et cela même pour un résident britannique.

Dans tous les cas, avant d’envisager une assignation en justice, il est moins coûteux et plus sage de d’abord déposer une plainte auprès de la CNIL. La procédure de plainte avec la CNIL est gratuite et assez facile à entreprendre puisqu’elle peut être faite entièrement en ligne. En outre, leur site web possède également une version anglaise, rendant la procédure beaucoup plus simple pour les ressortissants d’un autre pays.

La plainte peut être déposée en ligne, sur le site web de CNIL. Vous devrez remplir un formulaire avec vos informations personnelles et télécharger ensuite une copie de votre demande faite auprès de Google, une copie du message de refus de Google, ainsi que n’importe quel document qui peut soutenir votre plainte. Il y a aussi un espace pour n’importe quelles explications que vous voulez envoyer à la CNIL pour leur examen. La plainte déposée sera alors distribuée à un examinateur de la CNIL, qui a deux mois pour commencer à examiner le refus de Google et votre plainte.

La CNIL examine votre demande selon la loi française. C’est pourquoi vos chances de réussir sont bien plus élevées en passant par la CNIL que par l’ICO, particulièrement si vous voulez déréférencer des liens URL concernant une personne décédée.

En outre, la CNIL a déjà montré son efficacité (et sa robustesse) face à Google, par exemple quand elle a infligé une pénalité de 100.000 euros à Google, comme décrit ci-dessus.

5.2. Agir par étapes progressives: demande de retrait, escalade à la CNIL et, en dernier ressort, assignation devant une juridiction française

Premièrement, vous devez déjà avoir essuyé un refus de Google de déréférencer les liens, pour commencer le processus d’escalade.

Et avant de faire une demande de déréférencement à Google, il serait préférable (mais en aucun cas une obligation légale), d’essayer de contacter les webmasters des sites web exposant le Contenu controversé, puisque ces éditeurs peuvent décider de simplement le retirer.

La raison pour laquelle vous avez besoin de tout d’abord remplir une demande de déréférencement auprès de Google et d’attendre de recevoir un éventuel refus, est que la CNIL contacte Google afin de savoir la raison de refuser le déréférencement du Contenu, et ensuite d’évaluer si Google était dans son droit ou pas de refuser.

Si la procédure de plainte devant la CNIL échoue (ou même avant d’aller devant la CNIL), il est possible de porter cette affaire devant les tribunaux français. Cependant, il est recommandé de commencer par un dépôt de plainte devant la CNIL, puisque la procédure est gratuite (contrairement à l’action devant le tribunal) et plus rapide qu’un procès.

L’article 79.2 du RGPD dispose que toute procédure contre un contrôleur de données, tel que Google, peut être portée devant les tribunaux de l’état-membre de l’UE où le responsable du traitement des données ou son sous-traitant, ont un établissement. Google a un établissement en France: sa filiale, Google France. Par conséquent, les citoyens d’autres états-membres de l’UE peuvent assigner Google en justice en France, pour faire respecter leur droit à l’oubli, ou celui de leur proche décédé. Ceci cependant, sera seulement une option pour les citoyens britanniques tant que le Royaume-Uni est un état-membre de l’UE. Après l’achèvement du Brexit, les citoyens britanniques ne pourront plus faire respecter leur droit à l’oubli en France, à moins que des accords bilatéraux appropriés entre l’UE et le Royaume-Uni n’aient été mis en place.

L’avantage d’engager des procédures judiciaires en France, pour faire respecter son droit à l’oubli, est que la loi française s’appliquera conformément à l’Article 82.6 du RGPD qui dispose que la loi applicable est celle du pays où la procédure devant les tribunaux a été portée. C’est une bonne nouvelle pour les personnes concernées, puisque la loi française est beaucoup plus favorable à la protection des données que la loi britannique, en particulier concernant le droit à l’oubli des personnes décédées.

 

Alix de la Tour et Annabelle Gauberti (traduit en français par Melina MacDonald)

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha

Lawfully Creative | Richard Kirstein de Resilient Music sur le business des licences de droits musicaux

Lawfully Creative | Richard Kirstein de Resilient Music sur le business des licences de droits musicaux
Podcast 'Lawfully Creative'

 
 
00:00 / 43:41
 
1X
 

A propos du show

Lawfully Creative, Crefovi, Annabelle GaubertiLe podcast ‘Lawfully Creative’ est une série de conversations intimes et honnêtes hébergées par Annabelle Gauberti, associée fondatrice du cabinet d’avocats basé à Londres et Paris, Crefovi. Annabelle parle avec des artistes, des législateurs et des professionnels travaillant dans les industries créatives – pour écouter leurs histoires, ce qui inspirent leurs créations, quelles décisions ont changé leurs carrières, et quelles relations ont influencé leur travail. Produit par Crefovi.

Souscrivez

Retrouvez nos épisodes originaux sur iTunes, Spotify, Deezer, Stitcher, YouTube, Patreon, Google Podcasts, Soundcloud, CastboxTuneIn, Breaker, RadioPublic, Anchor, Pocket Casts, PlayerFM, iHeartRadio et Overcast, chaque mois. 

Episode n. 1

Richard Kirstein, Resilient MusicRichard Kirstein de Resilient Music sur le business des licences de droits musicaux.

10 octobre 2016 – Richard Kirstein, pilier du monde de la musique parle de ses vingt ans d’expérience dans le monde de l’entertainment work avec Annabelle Gauberti au Hospital Club à Londres.

Evaluez

Merci de laisser une revue et une évaluation à propos du podcast Lawfully Creative, afin d’encourager les autres auditeurs et internautes à découvrir notre contenu sélectionné.

Votre nom (obligatoire)

Votre email (obligatoire)

Sujet

Votre message

captcha