Depuis au moins 2011, la Cour de justice de l’Union européenne (CJUE) s’est imposée comme une juridiction supra-nationale cherchant à protéger au mieux les droits fondamentaux des internautes. État des lieux de la jurisprudence de la Cour en matière de droits de l’homme et Internet.

S’il est particulièrement remarqué pour ses implications pour l’ensemble de l’industrie du Cloud, l’arrêt spectaculaire rendu le mardi 6 octobre 2015 par la Cour de justice de l’Union européenne (CJUE) dans l’affaire Schrems n’est que le dernier d’une série désormais longue de décisions judiciaires, qui mettent en avant la volonté du juge de protéger les droits des internautes. Un rempart bienvenue à la tentation de législateurs et magistrats nationaux, ou de l’exécutif européen, d’ignorer la Charte des droits fondamentaux de l’Union européenne (.pdf) qui impose aux pays membres de l’UE un standard minimum de respect des droits de l’homme.

Revenons ainsi sur quelques décisions qui ont marqué la jurisprudence de la CJUE ces dernières années, dans un sens clairement volontariste de protection du droit des internautes face aux lobbys industriels.

24 novembre 2011, Sabam c. Scarlet – Non au filtrage imposé aux FAI

Face aux ayants droits de l’industrie musicale qui attaquaient le fournisseur d’accès à internet belge, la Cour a jugé qu’il était illégal d’imposer une obligation de filtrage à un FAI, y compris lorsque la décision est prise par un tribunal d’un pays membre de l’Union européen. Les juges suprêmes de l’UE ont en effet rappelé que le droit à la vie privée était un droit fondamental, et que le droit d’auteur ne lui était pas supérieur. Dès lors, il devient impossible d’imposer une « obligation générale de surveillance » aux FAI, qui n’ont pas à regarder le contenu des communications qu’ils véhiculent pour tenter d’y détecter matière à filtrer. Par ailleurs, le filtrage a nécessairement des effets de bords qui imposent de préserver la liberté d’expression en évitant toute mesure risquant un blocage de communications licites.

16 février 2012, Sabam c. Netlog – Non au filtrage imposé aux services en ligne

Même plaignant, même raisonnement. Quelques mois après la décision sur les FAI, la Cour a confirmé sa jurisprudence en la transposant aux services en ligne. Elle a estimé qu’imposer par la voie judiciaire un filtrage sur une plateforme reviendrait à imposer « une surveillance générale des informations », ce qui serait non seulement incompatible avec la directive de 2001 sur le commerce électronique, mais aussi « susceptible de porter atteinte aux droits fondamentaux des utilisateurs de ses services, – à savoir à leur droit à la protection des données à caractère personnel ainsi qu’à leur liberté de recevoir ou de communiquer des informations« .

13 février 2014, Svensson – Un hypertexte n’exige pas (toujours) autorisation

Dans cet arrêt dont la portée reste un sujet de débat entre juristes, la Cour a jugé que le fait de faire des liens hypertextes vers une oeuvre protégée par le droit d’auteur était une « mise à disposition », ce qui peut interdire de faire de tels liens sans l’autorisation des ayants droits. Mais, ce qui est trop souvent négligé dans cette décision, la Cour a ajouté que cette autorisation n’était requise que s’il permettait de contourner des mesures de protection pour accéder à une oeuvre qui, sans ce lien, ne serait pas consultable par les internautes. C’est donc une décision qui cherche un équilibre protecteur de l’écosystème des liens hypertextes, fondamentaux sur internet.

27 mars 2014, UPC Telekabel – Pas de blocage de sites sans garantie des droits

Dans les affaires Sabam précédentes, le juge avait interdit les mesures générales de surveillance. Cette fois-ci, la CJUE autorise le blocage de sites particuliers, car les mesures sont ciblées. Mais la Cour le fait en exigeant que les droits fondamentaux des internautes soient respectés. En particulier, les FAI ne doivent avoir qu’une obligation de moyen et non de résultat, ce qui impose de se limiter à ce qui est est proportionné à l’objectif. Pas question de réaliser du DPI pour bloquer l’accès à des pages précises en regardant ce que consulte l’internaute, et il faut offrir des voies de recours aux internautes pour leur permettre de contester la légalité d’une décision de blocage qui les prive de leur droit d’accéder à une information.

8 avril 2014, Digital Rights Ireland – Des limites à la conservation des données de connexion

C’est la première décision post-Snowden de la Cour de l’UE, et elle est très importante. La cour a annulé la directive de 2006 qui imposait aux états membres de mettre en place des obligations de conservation des données de connexion chez les FAI et les hébergeurs, pour permettre aux autorités d’y piocher des informations lors d’enquêtes pénales ou administratives. La CJUE a mis en avant la menace de la surveillance de masse en partie déléguée par ce biais aux FAI et hébergeurs, pour juger que la directive était disproportionnée, et exiger que les prétentions policières des Etats soient revues à la baisse. La cour a jugé que la directive créait « une ingérence caractérisée dans le droit fondamental des citoyens au respect de la vie privée, en établissant une obligation pour les fournisseurs de services de communications téléphoniques ou électroniques de collecter et de conserver les données de trafic et de localisation de ces communications« .

13 mai 2014, Google Spain – Les internautes ont le droit à l’oubli

L’arrêt a été très mal reçu lors de sa publication, mais a clairement marqué la volonté de la CJUE d’imprimer sa patte dans la hiérarchie des droits contre les puissances privées, en faisant prévaloir le droit des internautes. Contre l’avis de l’Avocat général, ce qui est très rare, la Cour a jugé que les moteurs de recherche comme Google réalisaient bien une collecte de données personnelles lorsqu’ils référencent des informations sur un individu, et qu’ils devaient donc suivre la loi européenne sur la protection des données, en offrant « un droit à l’oubli » aux internautes qui le demandent. L’arrêt est plus mesuré dans ses effets qu’il n’y paraissait au premier abord, puisqu’il n’impose pas de déréférencer des pages, mais simplement de ne plus afficher certains résultats lorsque la requête porte sur le nom exact de la personne qui demande la rectification. Il impose par ailleurs d’établir un équilibre entre le droit à la vie privée et la liberté d’expression, en demandant à Google de trier les demandes de droit à l’oubli, ce qui est l’aspect le plus contestable (mais difficilement évitable) de l’arrêt, puisqu’il confie à une entreprise privée un pouvoir quasi-juridictionnel.

6 octobre 2015, Schrems – Pas d’export de données sans protection réelle de la vie privée

Suivant cette fois-ci totalement l’avis de son Avocat général, la CJUE a pris acte des révélations d’Edward Snowden pour estimer que les Etats-Unis n’accordaient pas le « niveau de protection adéquat » aux données personnelles exportées par Facebook et de très nombreux services en ligne vers les USA. La Cour a ainsi invalidé le Safe Harbor accordé par une décision de la Commission européenne de 2000 qui avait présumé de la sécurité de l’encadrement des données personnelles importées aux Etats-Unis, pour obliger à la re-négociation d’un cadre plus sûr et à des engagements plus solides.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !