Conférence de clôture sur le cyber harcèlement Stratégies des syndicats d enseignants en matière de cyber harcèlement Bratislava, 7 juin 2010 La législation sur la protection des données en Europe, la prévention du cyber harcèlement par la protection des données à caractère personnel et de la vie privée Giovanni Buttarelli, Contrôleur européen adjoint de la protection des données Points de discussion 1. J ai été invité à vous parler de la législation en matière de protection des données en Europe dans le contexte du cyber-harcèlement en milieu scolaire. Vous souhaitiez notamment savoir dans quelle mesure la législation en matière de protection des données peut empêcher ou avoir un effet dissuasif sur le cyber-harcèlement à l égard, par exemple, des enseignants et des étudiants. 2. Avant d aborder ce sujet, je voudrais tout d abord dire quelques mots sur le harcèlement et la manière dont ce phénomène a été aggravé par les technologies de l information et de la communication. 3. Deuxièmement, je souhaiterais vous expliquer pourquoi la protection des données s applique et quelle est la responsabilité des personnes qui publient des informations sur autrui sur l internet, y compris la responsabilité des plateformes. Dans ce contexte, le principe de «privacy by design» (respect de la vie privée dès la conception) ou de
«privacy by default» (respect de la vie privée par défaut) revêt une grande importance. 4. Troisièmement, j aimerais parcourir avec vous les principes essentiels qui sous-tendent la législation européenne en matière de protection des données. En particulier, je voudrais illustrer la manière dont les principes de la protection des données peuvent être violés dans certains cas de cyber-harcèlement et je vous parlerai du rôle des individus qui téléchargent sur l internet des informations harcelant d autres personnes. 5. Quatrièmement, j évoquerai le rôle des autorités chargées de la protection des données, qui sont des organes indépendants responsables, entre autres choses, de l application des législations européenne et nationale en matière de protection des données. Les personnes qui ont été victimes de cyber-intimidation devraient envisager de porter plainte devant ces autorités. 6. Commençons par le premier point et plantons le décor. 7. Le harcèlement, défini comme étant un comportement indésirable ou malvenu pouvant aller de remarques déplaisantes à une violence physique, existe depuis longtemps. Lorsque les technologies de l information et de la communication sont utilisées pour harceler des individus, on parle de cyber-harcèlement. Comme plusieurs orateurs l ont confirmé ce matin, le cyberharcèlement se développe chaque jour un peu plus. Les échos d enfants et d adolescents humiliés ou harcelés par leurs pairs sur des blogs, sur des réseaux sociaux ou par messagerie instantanée, sont fréquents. Très souvent, des rumeurs ou des commérages sont publiés sur des réseaux sociaux afin d inciter d autres personnes à nourrir une aversion ou à se liguer contre les personnes ciblées. Dans certains cas, les auteurs du cyber-harcèlement endossent l identité de leurs victimes pour publier en leur nom des données qui les diffament ou les ridiculisent. Le cyber-harcèlement peut avoir des conséquences terribles, comme l intimidation, des dommages affectifs, voire le suicide. Les enseignants ne sont pas non plus épargnés par le cyberharcèlement. Des images publiées sur des réseaux sociaux afin de les radicaliser, de commenter leur apparence ou leur vie sociale sur des blogs, ne sont quelques exemples de ce phénomène. Vous avez probablement tous entendu parler du site web «RateMyTeacher», qui présente des évaluations d enseignants. Il convient également de souligner les difficultés qui existent pour supprimer ces informations. 2
À partir du moment où une vidéo ou une donnée est publiée sur YouTube ou sur un autre site, on en perd le contrôle et il est très difficile de l effacer ou de la rectifier. La diffusion et la perte de contrôle sont des problèmes majeurs liés au cyber-harcèlement. L utilisation des TIC et son évolution vers le cyber-harcèlement créent trois nouvelles dimensions, qui doivent être soulignées et étudiées afin de bien comprendre les nouveaux dommages potentiels qu elles peuvent causer et d identifier les mesures possibles: - la personne qui commet le harcèlement bénéficie d un anonymat quasi absolu fourni par les plateformes en ligne, qui n exigent aucune identification poussée, ni même une simple inscription. Elles offrent donc une position sûre, «à l abri». D autre part, la traçabilité signifie le traitement de données à caractère personnel et les fournisseurs de plateformes comme les réseaux sociaux devront se conformer aux règles applicables en matière de protection des données. Dans toute la mesure du possible, un équilibre délicat devra être trouvé entre la nécessité de protéger les internautes contre le harcèlement et la nécessité d éviter de bloquer les discussions sociales, qui génèrent des revenus de la publicité en ligne; - la société de l information offre également une diffusion à une échelle incroyablement large du harcèlement et la possibilité d impliquer un grand nombre de personnes. Des images peuvent être diffusées instantanément au grand public et atteindre un nombre pratiquement illimité de personnes. Ce monde numérique offre à ses utilisateurs la possibilité de diffuser largement des «informations», de manière immédiate et gratuite. Les fournisseurs de ces plateformes sont toutefois en mesure de limiter techniquement ces possibilités de communication et d imposer certaines obligations à leurs utilisateurs ou, à tout le moins, de les sensibiliser au risque lié à ces outils et à leur responsabilité du point de vue de la protection des données; - il est important d insister sur la mémoire permanente de l internet en ce qui concerne les informations utilisées à des fins de harcèlement. Ces informations peuvent demeurer à jamais sur l internet et seront extrêmement difficiles à supprimer complètement. Il s agit d un grand défi pour le respect du droit à l oubli ou pour l application d une politique adéquate et proportionnée de conservation des données. Une fois encore, les fournisseurs de ces plateformes sont en mesure de jouer un rôle déterminant et ce rôle pourrait être guidé par le respect des règles de protection des données, lesquelles peuvent, si elles sont correctement appliquées, atténuer les effets secondaires de ces trois facteurs. 3
8. Le deuxième point concerne la responsabilité au titre de la législation européenne applicable en matière de protection des données. 9. Le harcèlement constitue potentiellement une insulte ou une diffamation et à ce titre est passible de poursuites. En outre, ce comportement constitue une infraction pénale. Dans ce contexte et compte tenu du cadre général décrit plus tôt, la première question à se poser est: pourquoi la législation sur la protection des données joue-telle un rôle dans ce contexte? La réponse est simple: la législation sur la protection des données s applique chaque fois que des données à caractère personnel sont collectées par voie électronique, par exemple sur les forums internet, sur les réseaux sociaux, par messagerie instantanée ou par messagerie électronique. La législation dicte plusieurs principes qui doivent être respectés par les personnes qui traitent les données à caractère personnel, telles que les personnes qui publient des informations sur des tiers. Personnes physiques 10. Lorsque des personnes physiques publient des informations sur des tiers, par exemple des commentaires sur leur apparence ou leur comportement, indépendamment de la question de savoir si cela constitue du cyber-harcèlement au sens juridique, elles divulguent des informations à caractère personnel sur leurs victimes. Il peut s agir de leur véritable nom, leur adresse, leur école, etc. Les principes et obligations consacrés par la législation de l UE en matière de protection des données s appliquent pleinement à la divulgation de ces informations, que la législation européenne qualifie de données à caractère personnel, par exemple sur les forums ou les réseaux sociaux. Ainsi, la législation sur la protection des données impose d informer et, dans de nombreux cas, d obtenir le consentement des personnes physiques avant de publier des informations les concernant. Bien évidemment, les auteurs de cyber-harcèlement n informent pas et demandent encore moins le consentement de leurs victimes pour publier leurs données personnelles et enfreignent donc automatiquement la législation en matière de protection des données. 11. Une question connexe très importante qu il convient d examiner est celle de savoir qui, dans ce contexte, est lié par la législation européenne en matière de protection des données. En d autres termes, qui est tenu de se plier aux règles de la législation européenne en matière de protection des données et qui pourra, en fin de compte, être tenu pour responsable et passible de sanctions. Qui est finalement responsable? 4
12. Les adolescents et même les adultes ne réalisent pas toujours qu en publiant des informations sur des tiers, ils deviennent ce que la législation européenne en matière de protection des données appelle des «responsables du traitement». Ce sont les personnes physiques ou morales qui contrôlent et sont responsables de l utilisation des informations personnes qu ils collectent et traitent, par exemple en les téléchargeant sur l internet. Ils ne se rendent pas compte qu aux termes de la loi, être un responsable du traitement crée d importantes responsabilités juridiques. 13. La Cour européenne de justice l a confirmé en 2003 dans l arrêt Lindqvist. La Cour a notamment confirmé que (1) l opération consistant à faire référence, sur une page internet, à diverses personnes et à les identifier soit par leur nom, soit par d autres moyens, par exemple leur numéro de téléphone ou des informations relatives à leurs conditions de travail et à leurs passe-temps, constitue un «traitement de données à caractère personnel, automatisé en tout ou en partie» au sens de l article 3, paragraphe 1, de la directive 95/46/CE et que (2) un tel traitement de données à caractère personnel ne relève d aucune des exceptions figurant au paragraphe 2 dudit article de la directive 95/46/CE. 14. Récemment, dans son avis 5/2009 sur les réseaux sociaux en ligne, le groupe de travail Article 29 a confirmé que, souvent, les utilisateurs sont considérés comme des responsables du traitement, notamment lorsqu ils donnent accès à des données à un certain nombre d utilisateurs dépassant des contacts qu ils ont eux-mêmes sélectionnés. À cet égard, il est, de toute évidence, nécessaire que les écoles et les parents prennent les mesures qui s imposent pour inculquer ces responsabilités aux enfants. Un deuxième avis du groupe de travail Article 29, adopté en février 2008 et portant sur la protection des données à caractère personnel de l enfant (Principes généraux et cas particulier des écoles), doit aussi être mentionné ici aujourd hui. 15. Tout ceci me conduit à insister sur la nécessité d éduquer les enfants, dès que possible, sur l importance de respecter la vie privée d autrui, les informations sur les tiers, etc. Il est absolument indispensable d être extrêmement proactif et de ne ménager aucun effort pour faire comprendre aux enfants l importance de l information, l existence d un cadre juridique dans ce domaine et, enfin et surtout, les «dangers» associés à la publication de données à caractère personnel, 5
16. La responsabilité des entités qui fournissent les plateformes, telles que des réseaux sociaux, pourrait être engagée. Vous vous souvenez peutêtre d une affaire qui avait fait grand bruit, dans laquelle un tribunal de Milan avait jugé trois cadres de Google pénalement responsables d une vidéo en ligne montrant un adolescent autiste en train de se faire harceler. Ils ont été jugés coupables de violation de la législation italienne en matière de protection des données pour avoir publié la vidéo filmée par d autres adolescents. Bien que je ne souhaite pas me prononcer sur le fond, il est vrai que la responsabilité d héberger le contenu de tiers, comme dans cette affaire, est soumise aux limitations de responsabilité de la directive sur le commerce électronique, mais il est difficile de dire comment ou dans quelles circonstances ils pourraient être tenus pour responsables au titre de la protection des données pour le contenu de tiers (sauf s ils connaissaient le contenu et ne l avaient pas supprimé). 17. Outre ce qui précède, les autorités chargées de la protection des données dans l UE, tout comme la Commission, ont instamment prié les réseaux sociaux et autres plateformes de mettre en œuvre des paramètres de configuration «respect de la vie privée par défaut». L idée est que les informations des utilisateurs soient confidentielles «par défaut». Cela contribuerait à assurer que seules les personnes désirant volontairement partager leurs données avec d autres suppriment les barrières. Or, nous constatons qu aujourd hui, c est le principe exactement opposé qui tend à être appliqué. Ainsi, Facebook applique par défaut une politique de non-confidentialité, ce qui signifie que seuls les utilisateurs les plus conscients du respect de leur vie privée protègent leur profil. D autres profils d utilisateurs sont accessibles à tous, sans que les utilisateurs en soient informés. 18. Le troisième point de mon exposé concerne les règles de protection de données particulières. Il n est pas possible dans le laps de temps qui m est imparti pour cette présentation de vous décrire dans les détails la législation européenne en matière de protection des données. Cela serait beaucoup trop long. Je pense toutefois pouvoir vous en énoncer très brièvement les principes essentiels et, notamment, ceux qu il convient de respecter. Les principes fondamentaux que je vais évoquer sont ceux de la nécessité et de la proportionnalité, de la limitation des finalités, de la notification et de l information, des droits des personnes concernées et de la rétention des données. Les principes de nécessité et de proportionnalité sont la 6
19. Le quatrième élément de ma présentation porte sur les autorités chargées de la protection des données et sur leur pouvoir répressif. 20. En vertu de la législation de l UE en matière de protection des données, chaque État membre doit instituer une autorité de contrôle compétente pour contrôler le niveau de protection des données dans ledit État membre et pour engager une action juridique lorsque la réglementation en matière de protection des données a été enfreinte. 21. Un élément très important à souligner est que les personnes physiques peuvent introduire des plaintes sur des violations alléguées de la législation relative à la protection des données devant l autorité de contrôle ou devant un tribunal. Les autorités sont tenues d entendre les réclamations concernant la protection des droits et libertés des personnes physiques au sujet du traitement de données à caractère personnel et d informer la personne concernée de l issue de la réclamation. 7
22. Du point de vue des personnes concernées, dans le cas des victimes de cyber-harcèlement, la possibilité de déposer plainte pour violation de la législation en matière de protection des données auprès de l autorité chargée de la protection des données est une procédure tout à fait pertinente. Les autorités de protection des données peuvent (si elles ne sont pas surchargées) apporter une assistance plus flexible ou un accès plus aisé à une réparation que les tribunaux, et à moindres frais. Il va sans dire que l un des problèmes que l on peut rencontrer dans ce contexte est qu il peut parfois être difficile d identifier le responsable lorsque ses commentaires ont été faits de manière anonyme ou en recourant à un pseudonyme, ce qui est souvent le cas. On observe ici un conflit entre le droit à l anonymat (complet), que nous avons toujours défendu, et le droit des personnes harcelées à obtenir réparation. Un autre aspect du problème est que les fournisseurs de services internet refusent parfois de donner accès au nom des auteurs de harcèlement, pour les mêmes raisons de respect de la vie privée qu ils avancent contre les demandes des titulaires de droits de propriété intellectuelle. Je pense qu ils devraient fournir les informations aux autorités chargées de la protection des données parce qu elles agissent à un titre très différent (en tant qu autorités officielles) des titulaires de droits d auteur. Je suppose qu une partie de la solution de ce conflit entre la vie privée de l auteur et celle de la victime repose dans les mains de la justice. 23. Enfin, ce problème est lié à la question du droit applicable, qui se pose parfois, bien que le cyber-harcèlement se déroule généralement uniquement au plan national. Sous l angle de la protection des données, le critère d applicabilité du droit est le lieu d établissement du responsable du traitement (et des moyens lorsque le responsable du traitement est établi en dehors de l UE). Cela signifie que la nationalité et le lieu de résidence habituelle des personnes concernées ne sont pas pertinents, pas plus que le lieu du traitement. Cela entraîne un large champ d application, avec des retombées extraterritoriales. La directive 95/46/CE et les législations nationales qui la transposent s appliquent effectivement au traitement des données à caractère personnel en dehors de l Union européenne (lorsque le responsable du traitement est établi dans l UE) et également aux responsables du traitement établis en dehors de l Union européenne (lorsqu ils utilisent des moyens situés dans l UE). Ce large champ d application a essentiellement pour but d assurer que les personnes physiques ne sont pas privées de la protection que leur 8
confère la directive et, simultanément, d éviter que la loi soit contournée. Conformément à ce cadre, en matière de protection des données, il est particulièrement important de distinguer la notion de droit applicable, qui détermine les dispositions applicables à une matière donnée, de la notion de juridiction, qui concerne la portée matérielle ou géographique de la compétence des autorités qui peuvent appliquer et faire appliquer le droit applicable. 24. Permettez-moi de conclure en insistant sur certains des points abordés durant cet exposé. Premièrement, de toute évidence, lorsque des personnes physiques publient des informations sur des tiers, comme des commentaires sur leur apparence ou leur comportement, indépendamment de la question de savoir si cela constitue du cyber-harcèlement aux yeux de la loi, elles divulguent des informations personnelles sur leurs victimes. Ce comportement est soumis aux règles de protection des données, qui doivent être respectées. Le non-respect de ces règles est passible de sanctions. Deuxièmement, l éducation est essentielle dans ce contexte. Les écoles et autres initiatives en rapport avec l éducation devraient consentir des efforts pour éduquer les enfants. Cette éducation devrait tendre à montrer aux enfants les effets de la publication d informations sur eux-mêmes et sur les autres. Elle devrait leur apprendre de manière proactive les conséquences juridiques et les effets négatifs en général que cela peut avoir sur leur vie. Troisièmement, les personnes dont les droits à la protection des données ont été violés ne devraient pas hésiter à porter plainte auprès des autorités chargées de la protection des données. Ces dernières sont investies d un pouvoir d enquête et de sanction. Cependant, il est vrai que, dans de nombreux cas, l enquête ne sera pas facile en raison, notamment, des difficultés liées à l identification des auteurs ou à la conduite d une enquête dans certaines juridictions. Pour conclure, je dirais qu en tout état de cause, la protection des données doit être considérée comme un instrument utile de prévention et de répression, certes, mais aussi d éducation. Je vous remercie de votre attention. 9
Giovanni BUTTARELLI 10