Cyberviolence : quelles responsabilités des fournisseurs de services numériques ?

Il y a quelques semaines de cela, la multinationale d’origine américaine Meta a procédé à la fermeture de la page Facebook « Mia Moglie », qui avait pour objet le partage et la diffusion d’images de femmes prises à leur insu, et qui regroupait plus de 30.000 membres qui commentaient, de façon violente et vulgaire, les photos publiées. Successivement, le forum « Phica.net », dont l’objet était similaire, a également été fermé.

En sus des implications pénales des agissements des membres de ces groupes, qui ne font pas l’objet de cet article, la captation, l’enregistrement et la diffusion d’images de tierces personnes identifiables, sans avoir obtenu leur consentement préalable – plus encore quand il s’agit de photos intimes – constitue une violation du droit au respect de la vie privée, et précisément du droit à l’image. Bien qu’il existe des exceptions en matière de droit à l’information ou, parfois, dans l’espace public, le principe demeure le suivant : quel que soit le support, la diffusion de l’image d’une personne identifiable est soumise à son autorisation préalable.

Les plateformes digitales et réseaux sociaux sont soumis à des règles strictes, mais il semble que les sanctions soient encore inefficaces.
Comment les plateformes numériques peuvent-elles garantir le droit au respect de la vie privée, lorsque l’image publiée est captée et diffusée à l’insu de la personne ? Et dans quelles mesures les éditeurs de sites internet peuvent-ils et doivent-ils intervenir pour limiter la cyberviolence ?
Avant toute chose, il convient de faire un point sur le rôle des intervenants de la chaîne numérique.

Qui sont les principaux acteurs du net et comment sont reparties les responsabilités en matière de diffusion des données ?

Les principaux acteurs du net, identifiés comme fournisseurs de services intermédiaires, sont ceux qui proposent des infrastructures de réseaux, plateformes ou moteurs de recherche en ligne.

Parmi eux, on distingue notamment :
•    L’hébergeur, qui est un prestataire technique qui assure la mise à disposition au public du serveur ou de l’interface et permet le stockage d’écrits, images ou sons diffusés par l’utilisateur.
•    L’éditeur, qui exerce un rôle actif et est supposé avoir connaissance et contrôler les contenus publiés sur son site web.
•    L’auteur du contenu, soit la personne à l’origine de la publication. L’auteur du contenu n’est pas un acteur du net mais, en principe, un bénéficiaire des services intermédiaires des fournisseurs.

La jurisprudence européenne tend à considérer que l’hébergeur a une responsabilité limitée – sauf les hypothèses où il aurait été expressément informé d’un contenu illicite et ne l’aurait pas retiré.
L’éditeur, en revanche, est responsable du contrôle des contenus du site et constitue une sorte de garant de la conformité desdits contenus à la règlementation applicable. Aussi, l’éditeur doit, a priori, prendre toutes mesures nécessaires pour interdire les contenus illicites (notices d’information, conditions générales d’utilisation, etc). A posteriori, l’éditeur doit bloquer et retirer les contenus illicites sans délai, dès qu’il en a connaissance. Toutefois, il n’est pas tenu d’une obligation de « veille » des contenus.
L’auteur, quant à lui, est personnellement civilement et pénalement responsable de ses diffusions et, en cas de violation, un juge pourra ordonner que l’éditeur ou l’hébergeur communique son identité.

L’image, une donnée personnelle traitée par les fournisseurs de services intermédiaires

L’article 4 du Règlement 2016/679 du 27 avril 2016, appelé Règlement Général sur la Protection des Données (RGPD) définit les données à caractère personnel  comme « toute information se rapportant à une personne physique identifiée ou identifiable ». En conséquence, l’image (photo) est considérée comme une donnée personnelle dès lors que la personne est identifiée ou identifiable, et l’usage de ladite image est ainsi susceptible de constituer un traitement de données personnelles.
Selon le Règlement Général sur la Protection des Données (RGPD), c’est l’éditeur qui est responsable du traitement, dès lors qu’il en détermine les finalités et les moyens.

L’hébergeur, quant à lui, est considéré comme un simple intermédiaire et n’est donc pas responsable du traitement. Toutefois, l’hébergeur est généralement considéré comme sous-traitant des données. Aussi, il est soumis à des obligations spécifiques en matière de documentation, de confidentialité, de sécurité et de conseil.

Aussi, il est patent que les différents acteurs du net doivent garantir la conformité de leurs services au RGPD. A défaut, ils sont susceptibles de sanctions pécuniaires importantes.

Digital service act et encadrement des risques lies aux contenus illicites

Le règlement européen 2022/2065 du 5 juillet 2022 « Digital Service Act » (DSA), applicable à toutes les plateformes numériques, a identifié quatre catégories de risques systémiques pouvant résulter de la conception, du fonctionnement et de l’utilisation des services en ligne :

1)    Les risques liés à la diffusion de contenus illicites ; tels que la diffusion de matériel pédopornographique, de discours haineux illégaux ou d’autres types d’usage abusif de leurs services dans le cadre d’infractions pénales, et la poursuite d’activités illégales, telles que la vente de produits ou de services interdits par le droit de l’Union ou le droit national, y compris des produits dangereux ou de contrefaçon, ou des animaux commercialisés illégalement.
2)    L’incidence réelle ou prévisible du service sur l’exercice des droits fondamentaux, tels qu’ils sont protégés par la Charte, ce qui comprend notamment la dignité humaine, le droit au respect de la vie privée, la protection des données et le droit à la non-discrimination.
3)    Les effets négatifs réels ou prévisibles sur les processus démocratiques, le discours civique et les processus électoraux, ainsi que sur la sécurité publique.
4)    Les risques liés à la conception, au fonctionnement ou à l’utilisation, y compris par manipulation, de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne ayant un effet négatif réel ou prévisible sur la protection de la santé publique et des mineurs, ainsi que des conséquences négatives graves sur le bien-être physique et mental d’une personne, ou sur la violence à caractère sexiste.

Le DSA définit ainsi très amplement la notion de contenu illicite, comme « toute information qui, en soi ou par rapport à une activité, y compris la vente de produits ou la fourniture de services, n’est pas conforme au droit de l’Union ou au droit d’un État membre qui est conforme au droit de l’Union, quel que soit l’objet précis ou la nature précise de ce droit ».

L’Union Européenne recense différents types de cyberviolence, comme notamment le cyberharcèlement, l’exploitation sexuelle en ligne et les violations de la vie privée. Les contenus cyber violents sont donc illicites et illégaux.

Aussi, les fournisseurs de grandes plateformes en ligne devraient déployer les moyens nécessaires pour non seulement atténuer avec diligence les risques systémiques mais aussi les éviter, dans le respect des droits fondamentaux. L’idée est de rappeler que ce qui est illégal hors ligne doit être illégal en ligne également.

Toutefois, à la lumière de l’actualité récente, il convient de s’interroger : les dispositifs législatifs en vigueur sont-ils efficaces ? En effet, dès lors que les fournisseurs de services intermédiaires ne sont soumis à aucune obligation générale de surveiller les informations transmises ou stockées, comment peuvent-ils garantir la protection du droit au respect de la vie privée ? 
Même si des mécanismes de signalement et d’alerte sont progressivement mis en place, il semble opportun d’évaluer l’opportunité d’un meilleur encadrement des responsabilités de chaque acteur du net.

Julie Mary