• Français -fr 

vie privée

Rumeurs sur internet, Interview, France 3, 15/03/15

Ci-après le lien vers mon interview diffusé sur France 3 le 15 mars 2015.

Blandine Poidevin – Journal Télévisé FR3 – 15 mars 2015

Le droit à l’image des personnes filmées, panorama de jurisprudence

L’utilisation des réseaux sociaux met la photographie et la vidéo au cœur de nos échanges. Se pose de façon omniprésente, la question du droit à l’image des personnes filmées.

I/ PRINCIPE DU CONSENTEMENT EXPRÈS

De façon constante, les Tribunaux rappellent que l’acceptation de la personne à la diffusion de son image doit être expresse (CA Paris 22/03/1999, CA Versailles 21/03/2002…).

Toutefois, le consentement peut être tacite dans certaines circonstances.

II/ EXCEPTION DU CONSENTEMENT TACITE

Si la personne a conscience d’être filmée et ne s’y est pas opposé, les Tribunaux reconnaissent un consentement tacite de cette captation.

Ainsi, en 2006, dans le cadre d’un reportage télévisé sur M6 consacré aux chauffeurs de taxi, la Cour de Cassation a estimé que « le consentement à la diffusion d’images de la personne ou de faits de sa vie privée peut être tacite ».

Elle a retenu que l’intéressé « avait autorisé en toute connaissance de cause la captation de ses traits aux fins de télédiffusion sur M6 et s’était prêté de bonne grâce à toutes les séquences du film (…) » (Cour de Cassation. 1ère. 07/03/2006).

En 2008, dans le cadre du film « Être et Avoir » pour lequel un instituteur a été filmé pendant ses cours, la Cour de Cassation est allée encore plus loin en reconnaissant le consentement tacite de l’instituteur à la diffusion de son image « sous quelque forme que ce soit ».

Elle estime que l’instituteur « n’ignorait pas que le documentaire était destiné à faire l’objet d’une exploitation commerciale, peu en important la forme, et qu’il a accepté, en toute connaissance de cause de participer activement aux différentes opérations de promotion du film », ce dont la Cour d’appel a justement déduit que « par son comportement, l’intéressé avait tacitement mais sans équivoque consenti à la diffusion de son image sous quelque forme que ce soit dès lors que cette diffusion était directement rattachée au film » (Cour de Cassation. 1ère.13/11/2008).

Toutefois, cela suppose que la personne filmée soit informée de l’usage projeté. Son consentement doit être complet.

Comme l’a souligné, la Cour de Cassation en 2008, l’instituteur n’ignorait pas que le documentaire était destiné à faire l’objet d’une exploitation commerciale et a accepté de faire la promotion du film.

De même, en 2006, la personne filmée avait accepté en toute connaissance de cause la captation de son image en sachant que celle-ci serait utilisée dans le cadre d’un documentaire.

En conséquence, la personne filmée doit avoir été informée de l’usage qui serait fait ultérieurement de ces images (TGI Paris 18/05/2009 dans le cadre d’un documentaire sur les médecins urgentistes à l’occasion duquel des journalistes ont filmé l’accouchement d’une jeune fille accompagnée de sa mère alors même qu’elle avait refusé d’être filmée).

Cette exception se déduit des circonstances de fait et suppose une analyse concrète de la situation en question.

A titre d’illustration, un individu filmé chez lui prétend n’avoir pas consenti à être filmé et à la diffusion du reportage. Pourtant, la Cour a considéré que son consentement tacite ressort du fait « qu’il a lui-même guidé l’équipe de tournage dans son appartement, qu’il n’a pas tenu compte des protestations de sa femme, profitant au contraire de la présence des caméras pour expliquer sa bonne foi et les raisons pour lesquelles il n’avait pu payer sa dette. Enfin, il n’a jamais manifesté son refus de voir son image diffusée et ses propos relayés avant la date de diffusion du reportage » (CA Toulouse 31/03/2009).

Dans une autre affaire, le Tribunal a estimé que le demandeur savait que le reportage était réalisé pour la télévision et a accepté de s’exprimer devant la caméra : « il s’en déduit qu’en acceptant de prendre la parole, en tout état de cause publiquement en présence d’une foule nombreuse […], devant la caméra tournant un reportage pour une télévision française, le demandeur a donné une autorisation implicite, mais certaine, d’utilisation de son image » (TGI Paris 05/12/2007).

Ou encore, des personnes filmées en boîte de nuit pour un reportage sur la communauté homosexuelle n’ont pas à donner leur consentement exprès si les sociétés organisatrices de la soirée ont averti les clients de la présence d’une équipe de télévision faisant un reportage (TGI Nanterre 15/09/2004).

Néanmoins, la charge de la preuve du consentement repose sur l’exploitant du film.

Il appartient à celui qui exploite le film ou qui publie une photographie de prouver que l’intéressé avait donné son consentement (CA Paris 05/06/1979, CA Versailles 04/11/1999, TGI Paris 22/09/1999, CA Toulouse 05/09/2002). 

C’est à celui qui se prévaut d’une autorisation d’en rapporter la preuve, « il n’appartient pas à l’appelante de rapporter la preuve d’un usage non autorisé de son image mais à la société de presse de justifier des droits d’utilisation de cette image » (CA Aix-en-Provence 11/01/2005).

C’est à la société qui diffuse des photographies de prouver le droit d’utilisation de l’image du mannequin même si le consentement était tacite (Cour de Cassation. 2ème. 04/11/2004).

En conclusion, il peut être dérogé à la règle du consentement écrit selon les circonstances de l’avant tournage et du tournage en lui-même.

« Comment protéger ses données personnelles sur internet après sa mort ? », Notre temps.com

« Comment protéger ses données personnelles sur internet après sa mort ? »

Retrouvez l’article de « Notre Temps » consacré à cette question, au sujet de laquelle j’avais été consultée.

Cliquez ici pour lire l’article

Ecoutes sur les lieux de travail : la nouvelle norme

La CNIL vient d’adopter une nouvelle norme simplifiée pour les traitements d’écoute et d’enregistrement des conversations téléphoniques sur le lieu de travail à des fins de formation, d’évaluation ou d’amélioration de la qualité du service rendu.

Droit à l’oubli : lignes directrices des autorités de protection

Les autorités de protection européennes, réunies au sein du G29, ont adopté le 26 novembre 2014 des lignes directrices relatives aux modalités applicables aux demandes fondées sur le « droit à l’oubli ».

Elles proposent une interprétation commune de l’arrêt de la CJUE rendu le 13 mai 2014 et des critères communs pour l’appréciation du bien fondé des demandes de déréférencement. En effet, les autorités de protection reçoivent, depuis cet arrêt, un nombre croissant de plaintes résultant des refus de déréférencement opposés par les moteurs de recherche.

La biométrie et le droit, Biometrics Alliance Initiative Summit, Euratechnologies, 28/10/14, Lille

J’ai eu le plaisir de participer à la 1ère journée d’étude sur l’évaluation et les usages, l’implantation et l’environnement juridique des technologies biométriques de Biometrics Alliance Initiative, le 28 octobre dernier, à Euratechnologies.

Le thème principal abordé était : « Droit et biométrie : une introduction sous l’angle des objets connectés et des données de santé« .

Objets connectés

Je suis intervenue hier au Biometrics Initiative Alliance Summit, qui avait lieu à Euratechnologies, sur le sujet des objets connectés.

Voici une synthèse des thèmes abordés :

Selon les projections courantes, le monde devrait compter, d’ici 2020, plus de 26 milliards d’objets connectés, qui constituent, ensemble, l’internet des objets. Il s’agira probablement de la troisième vague de croissance d’internet.

Le terme « internet des objets » renvoie en effet à la notion générale d’objets (électroniques ou d’usage courant) lisibles, reconnaissables, adressables, localisables ou contrôlables à distance via internet (résolution du parlement européen du 15 juin 2010).

L’internet des objets, c’est la perspective de mettre en réseau des milliards de machines capables de dialoguer et d’interagir par le biais de technologies sans fil.

De nombreuses applications existent déjà :

  • les bracelets connectés, de type fitbit, qui permettent de suivre son activité physique et ses paramètres de santé (rythme cardiaque, rythme du sommeil, calories ingérées etc.)

  • la station Mother, qui repose sur l’utilisation de différents capteurs, appelés cookies mesurant 5 cm et pèsant 6g et se fixant sur tout objet afin de le transformer en objet connecté et suivre ainsi leurs déplacements -la finalité est, par exemple, de s’assurer que les enfants ont bien, en l’absence des parents, pris leurs médicaments, de savoir si le réfrigérateur a été ouvert …),

  • la e-cigarette smokio, permettant au fumeur de mesurer sa consommation de nicotine, l’impact sur sa santé par rapport à la consommation d’une cigarette classique et les économies réalisées,

  • les masques utilisés pour traiter les apnées du sommeil.

Ces objets connectés traitent des données personnelles, parfois sensibles. Et encore n’en sommes nous qu’au premier stade de développement des objets connectés. L’inventivité des créateurs nous réserve probablement de nombreuses surprises.

Les enjeux économiques, éthiques, sociaux et juridiques attachés à ces perspectives sont colossaux.

D’un point de vue juridique, les principaux enjeux peuvent être présentés de la manière suivante :

Le premier enjeu est lié à la question de l’utilisation qui est faite des données ainsi massivement collectées et du rapprochement des données en provenance de différents terminaux. On peut ainsi aisément imaginer qu’un bracelet connecté comprenant un accéléromètre soit ensuite utilisé pour déterminer les habitudes de conduite du porteur du bracelet. Le même bracelet décomptant le nombre de marches gravies, couplé au rythme cardiaque, pourrait également permettre à un employeur, ou à un assureur, d’avoir des informations sur l’état de santé de la personne concernée.

Les différentes données issues des objets connectés utilisés (par exemple le poids tiré d’une balance connectée, le rythme tiré d’un bracelet de coaching et l’heure à laquelle les volets de la maison connectées sont abaissés) et regroupés sur des plates-formes, donnent des indications précieuses sur les habitudes de vie des personnes et accentuent le risque d’atteinte à la vie privée.

Le deuxième enjeu correspond à un enjeu sécuritaire. Dans le domaine des objets connectés, la sécurité ne doit pas se limiter aux terminaux eux-mêmes mais doit s’étendre aux moyens de communication et aux infrastructures de stockage. En effet, à l’heure actuelle, la priorité est donnée, pour les objets connectés, à la maîtrise des coûts et à l’autonomie physique de l’appareil. Aussi, il est rare que les capteurs puissent établir une connexion cryptée, ce qui les rend particulièrement vulnérables aux attaques et pose un réel problème en terme d’atteinte à la vie privée.

Cette question fait écho aux craintes, à l’origine de la mise en place, il y a quelques années, d’un cadre juridique spécifique propre à l’hébergement de données de santé. S’agissant des objets connectés on l’a vu, ils collectent d’ores et déjà et ont vocation probablement à collecter de plus en plus de données de santé. Leur hébergement doit donc être confié à un hébergeur agrée, même si un débat peut naître sur la notion de donnée de santé.

La notion de donnée de santé n’est pas définie dans la LIL. Pour l’appréhender, il est possible, tout d’abord, de se référer à un arrêt de la CJUE (arrêt Landqvit) « il convient de donner à l’expression « données relatives à la santé une interprétation large de sorte qu’elle comprenne des informations concernant tous les aspects, tant physiques que psychiques, de la santé d’une personne. »

Le projet de règlement européen définit, quant à lui, les « données concernant la santé » comme « toute information relative à la santé physique ou mentale d’une personne, ou à la prestation de services de santé à cette personne ».

Cette notion ne se confond pas avec celle de biométrie, qui regroupe l’ensemble des techniques informatiques permettant d’identifier un individu à partir de ses caractéristiques physiques, biologiques, voire comportementales. Les données biométriques ont la particularité d’être uniques et permanentes.

Il semble en réalité que la meilleure façon de définir la notion de donnée de santé repose sur une approche par la finalité, qui est celle retenue par l’AFCDP. C’est à dire qu’une donnée est rarement une donnée de santé en tant que telle. Elle le devient en fonction de sa finalité, médicale ou sanitaire.

Un autre enjeu important est lié à la question de la responsabilité. Différents acteurs interviennent en effet : le fabricant de l’objet connecté, les réseaux sociaux sur lesquels les détenteurs d’objets connectés partagent aisément leurs performances, sportives par exemple, l’éditeur qui propose la plate-forme agrégeant les données, les développeurs d’applications tierces (tels que par exemple un assureur, qui offrirait une prime d’assurance allégée à la personne qui s’engagerait à courir trois fois par semaine et à justifier de ses performances via son bracelet connecté), les courtiers qui traitent les données etc.

Le G29 a rendu, en septembre 2014, un avis intéressant sur les objets connectés, dans lequel il préconise, notamment :

  • que soit réalisée, préalablement à tout lancement d’une nouvelle application dans l’internet des objets, une étude d’impact sur la vie privée ou « Privacy Impact Assessments (PIA) »,

  • que soit laissée aux personnes la possibilité d’utiliser les objets connectés de manière anonyme (par l’usage par exemple d’un pseudonyme),

  • que la confidentialité par défaut soit appliquée à tout objet connecté ainsi que le Privacy by Design).

Il s’agit ensuite, ni plus ni moins que d’appliquer les principes régissant le droit des données personnelles à savoir :

  • informer les personnes concernées des différentes finalités du traitement de données effectuées. Cette information peut être, selon le G29, délivrée par exemple au moyen d’un flashcode apposé sur l’objet lui-même.

  • indiquer auxdites personnes à qui seront, de façon exhaustive, communiquées les données,

  • recueillir leur consentement préalable en cas de collecte de données sensibles,

  • mettre en place les formalités préalables adaptées auprès de la CNIL (demande d’autorisation ou autre),

  • permettre aux personnes concernées d’exercer leur droit d’accès et de suppression des données qui les concernent,

  • prendre les mesures propres à assurer la sécurité et la confidentialité des données traitées.

Viviane Gelles, Avocat

Cabinet JURISEXPERT