Quelles responsabilités sur WhatsApp et les réseaux sociaux Facebook, Twitter, LinkedIn ?

Facebook, Twitter, LinkedIn, WhatsApp… Ces applications vous les connaissez et vous les utilisez sans doute régulièrement voire quotidiennement afin de discuter avec vos amis, famille, collègues mais également pour suivre l’actualité. En tant qu’utilisateur, vous devez vous comporter de manière responsable. Vous êtes également en droit d’attendre le même comportement responsable de la part des autres utilisateurs et surtout de la plateforme qui traite vos données personnelles. Voyons ensemble les éléments importants de la législation et de la jurisprudence applicables.

Qu’est-ce qu’un réseau social ?

Sachez qu’un groupe de protection des personnes à l’égard du traitement des données à caractère personnel a été institué par l’article 29 de la directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995, publiée au Journal Officiel de l’Union européenne du 23 novembre 1995 :

« Groupe de protection des personnes à l’égard du traitement des données à caractère personnel

1. Il est institué un groupe de protection des personnes à l’égard du traitement des données à caractère personnel, ci-après dénommé « groupe ».

Le groupe a un caractère consultatif et indépendant.

2. Le groupe se compose d’un représentant de l’autorité ou des autorités de contrôle désignées par chaque État membre, d’un représentant de l’autorité ou des autorités créées pour les institutions et organismes communautaires et d’un représentant de la Commission.
Chaque membre du groupe est désigné par l’institution, l’autorité ou les autorités qu’il représente. Lorsqu’un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d’un représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes communautaires.
 »

Ce groupe de travail plus connu sous le sigle G 29 a rendu un avis 5/2009 sur les réseaux sociaux en ligne adopté le 12 juin 2009.

Le 2. de cet avis définit les réseaux sociaux comme « des plateformes de communication en ligne qui permettent à tout internaute de rejoindre ou de créer des réseaux d’utilisateurs ayant des opinions similaires et/ou intérêts communs. »

Ces réseaux sociaux partagent, selon l’avis, certaines caractéristiques :

« les utilisateurs sont invités à fournir des données à caractère personnel permettant de donner une description ou un « profil ».

les SRS mettent également à disposition des outils permettant aux utilisateurs de mettre leur propre contenu en ligne (contenu généré par l’utilisateur tel que des photos, des chroniques ou des commentaires, de la musique, des vidéos ou des liens vers d’autres sites) ;

les « réseaux sociaux » fonctionnent grâce à l’utilisation d’outils mettant à disposition une liste de contacts pour chaque utilisateur avec une possibilité d’interaction. »

Quel régime de responsabilité pour les réseaux sociaux ?

La loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, publiée au Journal Officiel du 22 juin 2004, consacre quatre régimes de responsabilités spécifiques incombant aux acteurs d’internet : celui de l’hébergeur ou prestataire de stockage, celui du fournisseur d’accès à internet, celui du commerçant en ligne et enfin celui de l’abonné. L’hébergeur est défini comme « les personnes physiques ou morales qui assurent, même à titre gratuit, la mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d’écrits, d’images de sons ou de messages de toute nature fournis par des destinataires de ces services. »

Par une ordonnance de référé remarquée rendue par le tribunal de grande instance de Paris du 13 avril 2010, son président a qualifié Facebook d’hébergeur car le réseau social n’était pas à l’origine du contenu litigieux dans les faits. Par conséquent, les réseaux sociaux sont considérés comme des hébergeurs puisqu’ils assurent une activité de mise à disposition au public de moyens techniques de diffusion sans se mêler du contenu.

Quelles sont les conséquences qu’emportent cette responsabilité limitée ?

Étant reconnus comme des hébergeurs, les réseaux sociaux sont soumis à une responsabilité allégée. Les hébergeurs ne sont pas soumis à une obligation générale de surveiller les informations qu’elles transmettent ou stockent, ni à une obligation générale de rechercher des faits ou des circonstances révélant des activités illicites [1].

Les responsables des réseaux sociaux ne peuvent pas voir leur responsabilité civile, et a fortiori pénale, engagée s’ils n’avaient pas connaissance du caractère illicite du message posté par un internaute ou s’ils ont agi promptement pour retirer le contenu publié dès lors qu’ils ont pris connaissance de son caractère illicite [2].

S’agissant des infractions particulièrement graves telles que l’incitation à la haine raciale, l’apologie de crimes contre l’humanité, l’atteinte à la dignité humaine ou encore la pédopornographie, l’hébergeur doit remplir plusieurs obligations. En effet, il doit notamment mettre en place un dispositif permettant aux internautes de dénoncer ce type de contenu et il doit ensuite, dès qu’il en est informé, dénoncer ces faits constitutifs d’infractions aux autorités publiques.

Les droits des internautes sur les réseaux sociaux.

Comme vous le savez, sur les réseaux sociaux les risques sont nombreux. En effet, vous pouvez être victime d’injure, de spam, d’usurpation d’identité, d’atteinte à votre personne mais également de la collecte de vos données personnelles. Si cela vous arrive, il vous est possible de signaler le propos en question directement sur le réseau social où a été publié le message litigieux.

Sachez également que vous ne pouvez pas tout dire sur les réseaux sociaux. Ainsi, une salariée a été licenciée pour avoir tenu des propos insultants envers son employeur par le biais de Facebook. Le juge a estimé que le « mur » de Facebook, au regard de sa finalité et de son organisation et qui n’opère aucune restriction, doit être considéré comme un espace public.

Les juges du fond ont déjà pu se prononcer sur le caractère public ou privé du « mur » Facebook.

La Cour d’appel de Reims a estimé en 2017 qu’il était présumé public :

« Nul ne peut ignorer que Facebook, qui est un réseau accessible par connexion internet, ne garantit pas toujours la confidentialité nécessaire » [3].

Toutefois, un « mur » dont l’accès est limité à vos seuls amis sera considéré comme un espace privé ainsi que la chambre sociale de la Cour de cassation l’a précisé dans un arrêt rendu le 20 décembre 2017, 16-19.609, inédit :

« Attendu que la société J… fait grief à l’arrêt de la condamner à payer à la salariée une somme à titre de dommages-intérêts pour atteinte à la vie privée alors, selon le moyen, que les informations recueillies par l’employeur au moyen d’un téléphone mis à la disposition d’un salarié pour les besoins de son travail sont présumées avoir un caractère professionnel, en sorte qu’elles constituent un mode de preuve licite, sauf si elles sont identifiées comme étant personnelles ou portent atteinte de manière disproportionnée à la vie privée du salarié  ; (…). »

« Mais attendu qu’ayant relevé que le procès-verbal de constat d’huissier établi le 28 mars 2012 à la demande de la société J… rapportait des informations extraites du compte facebook de la salariée obtenues à partir du téléphone portable d’un autre salarié, informations réservées aux personnes autorisées, la cour d’appel a pu en déduire que l’employeur ne pouvait y accéder sans porter une atteinte disproportionnée et déloyale à la vie privée de la salariée  ; que le moyen n’est pas fondé. »

En conséquence, vous devez impérativement mesurer ce que vous écrivez et diffusez sur les réseaux sociaux, la liberté de communication électronique ne vous autorisant pas à porter atteinte notamment à la dignité de la personne humaine.

A défaut pour vous de respecter les règles impératives de civilité et de bonne conduite numérique, votre responsabilité civile et pénale pourra être retenue en raison de vos écrits et diffusions indélicats (diffamation, injure, discrimination, etc.).

Qu’en est-il des mineurs ?

En France, la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles est venue adaptée le droit français, principalement l’emblématique loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, plus connue sous le nom de loi informatique et libertés au « paquet européen de protection des données ». Ce paquet européen est constitué d’une part, par le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE [4] et d’autre part, par la directive (UE) 2016/680 du Parlement européen et du Conseil du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil dite directive police.
Le RGPD est applicable dans tous les Etats européens depuis le vendredi 25 mai 2018. Vous pourrez comprendre la nature et la portée du RGPD en lisant notre article Le RGPD : qu’est-ce qui change au-delà de cet acronyme ?

La loi du 20 juin 2018 a donc adapté la loi informatique et libertés du 6 janvier 1978 et fixe notamment à son article 20 l’âge à partir duquel un mineur peut s’inscrire sur les réseaux sociaux à 15 ans. On parle ici de « majorité numérique » par rapport à la majorité légale fixée à 18 ans.

Toutefois, certaines précautions sont mises en place. Ainsi, pour les mineurs âgés de 13 à 15 ans, les opérateurs de sites devront recueillir le consentement de l’enfant ainsi que celui de ses représentants légaux afin d’autoriser la collecte de ses données personnelles.

Pour rappel, le RGPD a fixé par défaut l’âge numérique à 16 ans (seuil que souhaitait retenir le gouvernement et le sénat), les Etats ayant toujours la possibilité d’abaisser ce seuil d’âge numérique à 13 ans.

Article 20 de la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles :

« La section 1 du chapitre II de la loi n° 78-17 du 6 janvier 1978 précitée est complétée par un article 7-1 ainsi rédigé :

Art. 7-1.- En application du 1 de l’article 8 du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 précité, un mineur peut consentir seul à un traitement de données à caractère personnel en ce qui concerne l’offre directe de services de la société de l’information à compter de l’âge de quinze ans.

Lorsque le mineur est âgé de moins de quinze ans, le traitement n’est licite que si le consentement est donné conjointement par le mineur concerné et le ou les titulaires de l’autorité parentale à l’égard de ce mineur.

Le responsable de traitement rédige en des termes clairs et simples, aisément compréhensibles par le mineur, les informations et communications relatives au traitement qui le concerne. »

Quid de WhatsApp ?

Rappelons que WhatsApp ou encore WhatsApp Messenger est une application qui fournit un système de messagerie instantanée utilisant tant Internet que les réseaux des téléphoniques mobiles.

Cette application a été rachetée par la Facebook en 2014.

S’agissant de WhatsApp, l’âge minimum requis pour utiliser cette application de messagerie dans l’Union européenne est passé de 13 à 16 ans. La plateforme entend ici se mettre en conformité avec le Règlement général sur la protection des données, le RGPD. Les conditions générales d’utilisation de l’application vont encore plus loin puisqu’en plus d’avoir l’âge minimum requis pour utiliser l’application, les utilisateurs âgés de 16 à 18 ans devront, en théorie, faire accepter les conditions générales d’utilisation (CGU) par leurs parents ou représentants légaux.

Il convient de rappeler que WhatsApp avait été mis en demeure par la Commission nationale de l’informatique et des libertés (CNIL) de mieux respecter les règles de transmission de données à sa maison mère, en l’espèce Facebook [5]

« En 2014, la société Facebook Inc. a procédé au rachat de la société WhatsApp. Afin de tirer les conséquences de ce rachat et de tenir compte de ce que les données des utilisateurs de l’application WhatsApp seraient transmises à la société FacebookInc,

La société WhatsApp compte en France près de 10 millions d’utilisateurs de son application. La transmission des données de ces utilisateurs vers la société Facebook Inc., dont le statut et la taille la rendent incontournable dans le paysage numérique mondial, renforce les possibilités dont cette société dispose pour établir un profil précis de chaque personne utilisant l’un de ses services et d’en tirer un avantage économique substantiel. Ce traitement massif d’informations par un seul acteur et pour des finalités non clairement déterminées, entraine un déséquilibre au détriment de l’utilisateur qui ne peut être corrigé qu’en lui permettant de garder la maitrise de ses données. Au surplus, cette absence de mécanisme d’opposition est d’autant plus problématique pour les utilisateurs de WhatsApp qui ne disposent pas de compte Facebook et dont les données seront traitées par la société Facebook Inc. sans motif apparent. Il en résulte que la transmission des données des utilisateurs vers Facebook Inc. par la société est dépourvue de base légale faute pour elle de respecter, dans la recherche de son intérêt légitime en tant que responsable de traitement, l’intérêt et les droits et libertés des personnes, en mettant à leur disposition un mécanisme d’opposition à la transmission de leurs données à caractère personnel. Ces faits sont de nature à constituer un manquement aux dispositions de l’article 7 de la loi du 6 janvier 1978 modifiée. »

Leçon à retenir :
réfléchissez et faites tourner vos doigts au moins sept fois avant de "Facebooker", "Twitter", "Linker" ou "WhatsApper", étant rappelé que vos actions numériques sont traçables et les infractions que vous pouvez commettre ne passeront donc pas inaperçues…

A bon entendeur, Salut !

Patrick Lingibé
Vice-Président de la Conférence dès Batonniers de France
Ancien membre du Conseil national des barreaux
Bâtonnier
Spécialiste en droit public
Diplômé en droit routier
Médiateur Professionnel
Membre du réseau EUROJURIS
Membre de l’Association des Juristes en Droit des Outre-Mer (AJDOM)
SELARL JURISGUYANE
www.jurisguyane.com


Notes

[1Article 6 I 7° de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

[2Article 6 I 2. de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique.

[3Cour d’appel de Reims, 09 juin 2010, 009-03209.

[4Règlement général sur la protection des données dit RGPD.

[5Décision n° MED-2017-075du 27 novembre 2017 mettant en demeure la société WhatsApp.