Accueil Actualités juridiques du village Droit des TIC, informatique, propriété intellectuelle Publicité sur internet et e-réputation

Les sites de notation sont-ils licites ?

Par Arnaud Dimeglio, Avocat, et Sofia Carmeni, Juriste.

Partie I - Le respect de la loi de 1978

Lorsqu’un professionnel est référencé, cela passe souvent par un traitement de ses données à caractère personnel. Commerçants, gérants, salariés, personnes exerçant en profession libérale… sont concernés. La loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés est alors susceptible de s’appliquer pour veiller à ce que ce traitement s’effectue conformément au droit.

A) L’application de la loi du 6 janvier 1978

Pour que la loi du 6 janvier 1978 s’applique, plusieurs conditions sont requises : il faut un traitement (automatisée ou non) de données à caractère personnel réalisé par un responsable auquel s’applique la loi du 6 janvier 1978.

Selon la Commission Nationale de l’Informatique et des Libertés (CNIL), les données d’une personne sont traitées lorsque, par exemple, son nom apparaît dans un fichier.

Mais encore, lorsqu’un fichier comporte des informations permettant indirectement son identification : adresse IP, nom, n° d’immatriculation, n° de téléphone, photographie, le lieu de résidence, profession, sexe et âge etc. [1].

Par ailleurs, précisons qu’une diffusion de données faites sur Internet constitue un traitement au sens de la loi de 1978, peu importe l’existence ou non d’un « fichier ».

Il convient également de souligner que la loi ne porte que sur les données relatives à des personnes physiques, excluant ainsi de son champ d’application les données relatives à des personnes morales telles que le nom d’un établissement.

Alors, quid du nom du cabinet de médecin reprenant les noms et prénoms de celui-ci ?

La CNIL a répondu à cette question notamment dans la délibération n°2009-329 où elle rappelle que les données des professionnels exerçant sous leur nom propre constituent des données à caractère personnel au sens de l’article 2 de la loi du 6 janvier 1978 [2].

Les données d’un professionnel personne physique sont donc protégées par la loi de 1978.

La question se pose également de savoir si les sociétés établies en dehors du territoire français sont soumises à la loi n° 78-17 du 6 janvier 1978.

Mais ces sociétés étrangères diffusent les données des professionnels à des Français, la loi de 1978 leur apparaît donc applicable.

A titre d’exemple, la CNIL a rendu un délibéré le 3 janvier 2014 considérant que la société Google Inc était soumise aux dispositions de la loi française [3].

De plus, dans son arrêt du 13 mai 2014, la Cour de Justice de l’Union Européenne a reconnu l’application de la Directive 95/46/CE [4] aux sociétés Google Inc et Google Spain.

La loi de 1978 apparaît donc applicable aux sites de notations.

B) Les dispositions de la loi du 6 janvier 1978

La loi du 6 janvier 1978 pose plusieurs conditions à la légalité du traitement des données à caractère personnel.

• L’obligation de déclaration à la CNIL

L’article 22 de la loi du 6 janvier 1978 pose comme principe que les traitements automatisés de données à caractère personnel doivent faire l’objet d’une déclaration auprès de la Commission Nationale de l’Informatique et des Libertés.

En principe, les sociétés éditrices de sites de notations sont soumises à cette formalité.

A titre d’exemple, le site de notation www.palmares.com a fait l’objet d’une délibération de la part de la CNIL la mettant en demeure, entre autre, de lui présenter une déclaration conforme au traitement mis en œuvre [5].

Le site était dédié à l’évaluation de professionnels tels que des avocats, des médecins ou des chefs d’entreprise, ainsi que des personnalités publiques.

Des « fiches profils » étaient créées pour chaque professionnel et personnalité publique et contenaient leur nom et prénoms, leurs coordonnées professionnelles, leur spécialisation et le cas échéant, les notes attribuées par les internautes. Une section permettant de laisser des commentaires était également à la disposition des internautes.

Le fait de ne pas effectuer de déclaration à la CNIL constitue une infraction pénale.

L’article 226-16 du Code pénal prévoit en effet que « le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu’aient été respectées les formalités préalables à leur mise en œuvre prévues par la loi est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende ».

Un site de notation de notaires a par exemple été condamné faute de déclaration préalable à la CNIL [6] .

Dans cette affaire, une association de défense des victimes de notaires donnait accès, par le biais de son site internet, au nom des notaires et l’adresse des études sur lesquels elle affirmait détenir un dossier par des clients mécontents.

Les notaires désignés dans cette publication ont notamment fait valoir que le traitement des données qui les concernaient n’était pas déclaré à la CNIL.

Le juge a reconnu les atteintes à la loi du 6 janvier 1978 et a condamné l’association.

Les obligations relatives à la collecte des données

L’article 6 de la loi de 1978 exige une collecte loyale et licite des données, pour des finalités déterminées explicites et légitimes. En outre, les données doivent être adéquates, pertinentes et non excessives au regard des finalités poursuivies par le traitement

Il s’agira donc d’analyser la légalité du traitement à l’aune de ces critères.

La question se pose particulièrement en matière de sites de notation.

Dans l’affaire « Note2be », le site de notation proposait aux élèves internautes de noter les enseignants nommément désignés. Il mettait également un forum de discussion à disposition des élèves.

Dans une ordonnance de référé rendue par le TGI de Paris le 3 mars 2008 [7] , le demandeur, soit le syndicat d’enseignements, a obtenu la suspension des pages où étaient accessibles les données personnelles des enseignants au motif que les intérêts poursuivis par le site méconnaissaient les droits et intérêts légitimes des enseignants référencés.

La cour d’appel, dans un arrêt rendu le 25 juin 2008, a confirmé cet arrêt et a sanctionné la société Note2be.com sur le fondement de la loi du 6 janvier 1978.

Elle justifie notamment la confirmation de la décision entreprise en raison du fait que « n’importe qui peut « noter » un professeur, sans qu’un système ne limite cette possibilité aux seuls élèves ayant le professeur concerné comme enseignant ».

La cour en déduit donc que les données du site litigieux ne sont dans ces conditions « manifestement pas collectées de façon loyale, et ne présentent aucune garantie tant sur leur pertinence que sur leur caractère adéquat ».

Seules les personnes « clientes » des professionnels devraient ainsi pouvoir les noter, les évaluer.

Or, le plus souvent, les sites de notation ne contrôlent pas les personnes qui évaluent les professionnels, ce qui n’apparait pas conforme à la loi de 1978.

Les données sont en outre collectées à l’insu des professionnels ce qui, selon la CNIL, constitue une collecte déloyale [8] .

A titre d’exemple, dans l’affaire « palmares.com », la CNIL avait reprochée à la société Svertel 3000 de collecter et diffuser les données à caractère personnel à l’insu des personnes notées, procédant ainsi à une collecte déloyale.

L’article 6 exige également que les données soient exactes, complètes et mises à jour. Des mesures appropriées doivent être mises en place afin de garantir ces exigences.

Or les données référencées des professionnels contiennent parfois des erreurs et ne sont pas nécessairement mises à jour par les sociétés qui effectuent le référencement.

Souvent, le seul moyen mis à la disposition des professionnels pour rectifier les erreurs est de « se créer un compte utilisateur », et donc de souscrire à un contrat avec les sociétés éditrices des sites de notation.

Les professionnels se trouvent ainsi contraints de contracter avec ces sociétés. Outre la validité de tels contrats, se pose, au sens de l’article 6, la question du caractère « approprié » d’une telle mesure.

Par ailleurs, la loi du 6 janvier 1978 pose un principe général aux termes duquel la durée de conservation des données doit être proportionnée à la finalité du traitement. La CNIL est fondée à exercer ce contrôle de proportionnalité.

Dans l’affaire Google Inc, la CNIL a par exemple reproché à la société Google de ne pas avoir suffisamment précisé cette durée de conservation.

Précisons enfin que de tels agissements peuvent être réprimés pénalement.

En effet, l’article 226-18 du Code pénal prévoit que « le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300.000 Euros d’amende ».

L’obligation d’un consentement préalable

La création des fiches profil des professionnels s’effectue le plus souvent sans leur consentement.

Or l’article 7 de la loi du 6 janvier 1978 prévoit qu’un tel traitement ne peut s’effectuer qu’avec le consentement de la personne intéressée ou dans le cas où le traitement réalisé par son responsable ou son destinataire poursuit un intérêt légitime, sous réserve de ne pas méconnaître l’intérêt ou les droits et libertés fondamentaux de la personne concernée.

L’article 2 de la directive 95/46/CE définit le consentement comme étant « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

En outre, la CNIL exige que le consentement soit « exprès ».

Or le plus souvent les sites de notations n’informent même pas les professionnels du traitement de leurs données.

Concernant l’intérêt légitime poursuivi par les sites de notations, celui-ci est généralement commercial.

La question se pose de savoir si cet intérêt commercial est légitime. Nous verrons dans la seconde partie de cet article que la légitimité de cet intérêt s’arrête là où commence le parasitisme du professionnel.

• L’obligation d’information des professionnels

L’article 32 de la loi n°78-17 du 6 janvier 1978 prévoit une obligation d’information des personnes dont les données sont traitées.

Or la plupart des professionnels ne découvrent que par hasard ou alertés par une connaissance le traitement de leurs données à caractère personnel.

L’utilisation qui est faite de ces données est donc susceptible de porter atteinte aux dispositions de l’article 32 de la loi du 6 janvier 1978.

Dans l’affaire « palmares.com », la CNIL avait également mise en demeure le site d’informer les personnes dont les données à caractère personnel étaient collectées et traitées.

La société éditrice du site avait fait valoir que les personnes étaient susceptibles d’être informées du traitement de leurs données du fait de leur mention dans les pages jaunes ou dans un annuaire professionnel.

Mais la CNIL n’avait pas été sensible à cet argument. En effet, le fait d’être informé d’un traitement particulier de ses données par une société ne permet pas d’être informé que les données feront l’objet d’un autre traitement et/ou par une autre société.

Rappelons qu’outre les mises en demeure, la CNIL peut prononcer des sanctions pécuniaires à l’encontre des responsables qui ne respectent pas les dispositions de la loi du 6 janvier 1978.

La société Google Inc a par exemple été condamnée à une sanction pécuniaire le 3 janvier 2014, notamment sur le fondement de l’article 32 de la loi du 6 janvier 1978 pour défaut d’information des utilisateurs de son moteur, et notamment de l’usage de cookies [9].

• Le droit d’opposition

La loi du 6 janvier 1978 prévoit en son article 38 le droit de s’opposer à ce que des données à caractère personnel fassent l’objet d’un traitement.

L’article 38 al.1 énonce que « toute personne physique a le droit de s’opposer, pour des motifs légitimes, à ce que des données à caractère personnel la concernant fassent l’objet d’un traitement. »

Le non-respect des dispositions précédentes devrait suffire à qualifier la demande d’opposition de « légitime ».

En effet, lorsque la collecte des données est déloyale, inadéquate ou excessive, il apparait légitime que le professionnel puisse s’y opposer.

En outre, l’article 38 al. 2 énonce que toute personne physique « a le droit de s’opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d’un traitement ultérieur. »

La prospection est un processus commercial consistant, pour une entreprise, à rechercher des clients potentiels (appelés des prospects) afin d’en faire des clients réels.

Or les sociétés qui effectuent ces traitements utilisent le trafic lié aux données des professionnels pour promouvoir leurs propres services :

  • service d’évaluation, notation, commentaires, etc.
  • autres services associés : géolocalisation, recherches associées…

Cette utilisation va même jusqu’à contraindre les professionnels dont les données ont été diffusées de souscrire à leurs services afin de leur permettre de répondre aux commentaires et de gérer leur « page » – et donc leur image – sur internet.

Par exemple, le service Google My Business référence des professionnels et leurs coordonnées sur un espace en haut à droite de la page de résultat d’une recherche.

Ce dernier service du célèbre moteur de recherche permet notamment de présenter un professionnel sous la forme d’une fiche qui apparait sur la page de résultat lorsque l’on effectue une recherche sur son nom. Outre les données du professionnel (nom, adresse, téléphone), apparaissent les avis postés par les internautes et une note sur 5. Cette fiche est couplée avec les services Google Street View, Google Maps, et recherches associées.

Google propose ensuite aux professionnels de « revendiquer » la propriété de l’établissement afin de pouvoir effectuer diverses opérations comme celles de pouvoir modifier les informations erronées et/ou ajouter des informations relatives à l’établissement ou encore de répondre aux commentaires des internautes.

Pour ce faire, la société précise qu’il est nécessaire d’être en possession d’un compte Google (compte Gmail ou Google+) et donc, si le professionnel n’en possède pas déjà un, de s’en créer.

Pour gérer son image et l’exactitude des informations diffusées sur la toile, le professionnel n’a d’autre choix que de souscrire à un contrat avec la société Google.

De même, pour gérer les avis diffusés sur Tripadvisor, le professionnel doit ouvrir un compte.

Ces sociétés effectuent par conséquent une sorte de prospection des professionnels en utilisant leurs données, pour les amener à souscrire à leurs services.

Il nous semble donc que les professionnels devraient pouvoir s’opposer au traitement de leurs données sur le fondement de l’article 38 al.2.

En cas de refus par les sociétés éditrices de sites de notation de faire droit à une opposition légitime, celles-ci s’exposent à la sanction pénale de l’article 226-18-1 du Code pénal qui prévoit que « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l’opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d’emprisonnement et de 300.000 euros d’amende ».

Or le plus souvent, les sites de notation ne font pas droit à la demande d’opposition des professionnels par exemple, dans l’affaire impliquant l’association de défense des victimes de notaires, le site avait également été condamné pour avoir refusé aux notaires qui le souhaitaient d’exercer leur droit d’opposition.

• Le droit à la suppression des données

L’article 40 de la loi du 6 janvier 1978 prévoit également que «  toute personne physique justifiant de son identité peut exiger du responsable d’un traitement que soient, selon les cas, rectifiées, complétées, mises à jour, verrouillées ou effacées les données à caractère personnel la concernant, qui sont inexactes, incomplètes, équivoques, périmées, ou dont la collecte, l’utilisation, la communication ou la conservation est interdite.

Lorsque l’intéressé en fait la demande, le responsable du traitement doit justifier, sans frais pour le demandeur, qu’il a procédé aux opérations exigées en vertu de l’alinéa précédent. »

Il se peut parfois que les données collectées soient inexactes. Dans ce cas, le professionnel peut demander leur suppression.

De plus, comme vu plus haut, dans la mesure où les professionnels n’ont pas donné leur consentement et n’ont pas non plus été informés de la collecte de leurs données personnelles, celle-ci est interdite.

La conséquence devrait être de pouvoir obtenir la suppression de la page où le professionnel est référencé.

La suppression des données personnelles est également prévu par l’article 226-22-2 du Code pénal, qui dispose que « dans les cas prévus aux articles 226-16 à 226-22-1, l’effacement de tout ou partie des données à caractère personnel faisant l’objet du traitement ayant donné lieu à l’infraction peut être ordonné. Les membres et les agents de la Commission nationale de l’informatique et des libertés sont habilités à constater l’effacement de ces données ».

La loi de 1978 pose par conséquent de nombreuses conditions à la licéité des sites de notation.

Par ailleurs, ces sites soulèvent une deuxième problématique concernant l’exploitation économique qu’ils font des données des professionnels, qu’elles soient ou non à caractère personnel.

Partie II – Le parasitisme économique

Les données des professionnels ne sont pas nécessairement personnelles au sens de la loi du 6 janvier 1978. En effet, elles peuvent être relatives à des sociétés et autres personnes morales sans référence à des personnes physiques.

Mais que les données soient personnelles ou non, force est de constater qu’elles ont une valeur économique pour les sociétés éditrices des sites de notation.

Les données des professionnels sont exploitées par ces sociétés à des fins commerciales.

Celles-ci profitent du trafic lié à leurs données pour augmenter la rémunération publicitaire qu’elles perçoivent et/ou le détourne pour le drainer vers des services qui leurs sont propres :

  • service d’évaluation, notation, commentaires etc.
  • autre services associés : géolocalisation, recherches associées…
  • publicités…

Le site Tripadvisor diffuse par exemple des publicités sur les pages où les professionnels sont référencés.

L’espace Google My Business permet à la société Google de promouvoir des services associés aux fiches des professionnels :

  • Google Map
  • Google Street View
  • Google+
  • Recherches associées.

Or les données professionnelles (dénominations, adresses, photos etc.) sont le fruit d’investissements et d’efforts fournis par les professionnels.

La simple qualité de professionnel est souvent le fruit d’un dur labeur.

Que l’on soit professionnel libéral ou commerçant, que l’on ait ou non un « titre », le professionnel a dû s’investir personnellement pour acquérir une compétence, ou encore se faire connaitre.

Les sociétés éditrices des sites de notation profitent – gratuitement – des résultats des investissements et des efforts des professionnels référencés, sans leur accord, pour percevoir à leur tour une rémunération et promouvoir leurs services.

Elles s’immiscent donc dans le sillage du travail de ces professionnels.

Elles font un usage commercial de leurs données, fruit de leurs investissements.

La question se pose de savoir si ces sociétés parasitent les professionnels qu’elles référencent.

Dans un arrêt du 26 janvier 1999, la Cour de cassation définit les agissements parasitaires comme « un ensemble de comportements par lesquels un agent économique s’immisce dans le sillage d’un autre afin de tirer profit, sans rien dépenser, de ses efforts et de son savoir-faire ».

Or les sites de notation paraissent tirer profit des investissements des professionnels.

Le dommage subi par les professionnels référencés procède d’un manque à gagner consistant en la commercialisation de l’autorisation qu’elles accorderaient à ces sites de :

  • collecter et diffuser leurs données ;
  • permettre la proposition de services les concernant, comme l’évaluation de leurs prestations ;
  • permettre l’association de leurs données à des messages publicitaires insérés sur les pages qui leur sont dédiées sur les sites en question.

Par conséquent les sites de notations, par leur fonctionnement actuel, sont donc susceptibles de voir leur responsabilité engagée sur le fondement de l’article 1382 du Code civil.

C’est une question épineuse qui devra être tranchée par les tribunaux.

En conclusion, la licéité des sites de notation est loin d’être évidente, et apparaît soumise à de nombreuses conditions.

Les sites de notation sont-ils licites ? Par Arnaud Dimeglio, Avocat, et (...)

Arnaud DIMEGLIO
Avocat spécialiste en droit des nouvelles technologie, droit de l’informatique et de la communication

Sofia CARMENI
Juriste

Voir tous les articles
de cet auteur et le contacter.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article : L’avez-vous apprécié ?

33 votes

Notes :

[2Commission Nationale de l’Informatique et des Libertés ; Délibération n° 2009-329 du 4 juin 2009 mettant en demeure la société SVERTEL 3000 ; p.4.

[3Commission Nationale de l’Informatique et des Libertés ; Délibération n° 2013-420 du 3 janvier 2014 prononçant une sanction pécuniaire à l’encontre de la société Google Inc.

[4Directive 95/46/CE du Parlement Européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[5Commission Nationale de l’Informatique et des Libertés ; Délibération n° 2009-329 du 4 juin 2009 mettant en demeure la société SVERTEL 3000.

[6Gisèle N., Ligue européenne de défense des victimes de notaires / Ministère public, Cour d’appel de Bourges, 2ème chambre, 11 janvier 2007.

[7SNES FSU et autres / Note2be.com, TGI Paris, Ordonnance de référé, 3 mars 2008.

[8Commission Nationale de l’Informatique et des Libertés ; Délibération n°2009-329 du 4 juin 2009 mettant en demeure la société Svertel 3000.

[9Commission Nationale de l’Informatique et des Libertés ; Délibération n° 2013-420 du 3 janvier 2014 prononçant une sanction pécuniaire à l’encontre de la société Google Inc.