Table des matières
Si Hans Kelsen venait à ressusciter, il serait à coup sûr horrifié : la révolution numérique a fait voler en éclats sa célèbre représentation pyramidale de l’ordre juridique. Au modèle hiérarchique de différents blocs normatifs – constitutionnel, législatif et réglementaire – qui s’emboitent harmonieusement de l’abstrait au concret, du général au particulier, du primaire au secondaire, a succédé un modèle éclaté, voire chaotique, qui voit les sources juridiques s’enchevêtrer ou s’entrechoquer au mépris de toute logique.
Certes, la pyramide qui s’est effondrée n’était plus celle d’origine, mais une pyramide minée, d’abord par la multiplication des attributions de compétences législatives à des entités administratives de rang inférieur, ensuite par l’essor d’une normativité hybride, fruit de concertations et coopérations entre le secteur public et le secteur privé (contrats administratifs) ou de validations étatiques de réglementations privées (extension de conventions collectives, avalisation de règles déontologiques notamment)1. Bref, du droit délégué à l’auto-régulation régulée en passant par le droit négocié, le modèle kelsenien avait déjà perdu beaucoup de sa pureté. Mais il tenait encore le coup : moyennant aménagements et correctifs, il suffisait, peu ou prou, à décrire la réalité.
Tel n’est plus le cas aujourd’hui : la gouvernance du numérique est à bien des égards une gouvernance privée2. l’Etat s’est mis en retrait, laissant, nolens volens, le champ libre aux acteurs du marché (opérateurs de télécommunications, plateformes Internet, moteurs de recherches et autre wikis), lesquels ne se privent pas de dicter leur volonté. Au point que les conditions générales des contrats de fourniture de services, les règlements d’entreprises, les codes de conduite des associations professionnelles ou encore les normes ISO en viennent à constituer la majeure partie du cadre juridique du cyberespace, engendrant « une normativité cacophonique » (Gautrais/Trudel 2017, 919).
La présente contribution entend exposer et commenter cette dérive vers une privatisation de la fonction législative. Nous en expliquerons les tenants et aboutissants dans les grandes lignes, car le phénomène est hautement complexe et volatil. Nous décrirons ensuite quelques tentatives de l’Etat, plus ou moins abouties, pour reprendre la main. Cela dit, une remarque s’impose d’emblée : si le terrain a été en grande partie abandonné aux acteurs privés, c’est parce que l’Etat s’est révélé, et se révèle encore, défaillant. Voyons d’abord pourquoi.
Pendant longtemps, on a cru bon de se dispenser de légiférer sur le numérique au motif que les normes du droit commun sont technologiquement neutres. Ainsi celui qui profère des insultes racistes sera sanctionné au titre de l’art. 261bis CP3 (qui réprime le discours de haine), qu’il se soit exprimé devant un parterre de suiveurs fanatiques ou dans un clip vidéo posté sur sa page Facebook. Tout aussi indifférentes au vecteur des propos, le sont la plupart des normes civiles et pénales qui régissent la communication ; leur mise en œuvre étant conditionnée par le seul contenu du message, elles sont, elles aussi, pleinement applicables dans un environnement virtuel4. Cette belle mécanique s’est toutefois vite grippée, le numérique affichant des particularités qui requièrent soit des dérogations ponctuelles au droit commun, soit des réglementations propres. Or, à ce jour, le législateur est loin d’avoir répondu à ces attentes.
Certes le Parlement fédéral et, le cas échéant, le Conseil fédéral ont réagi dans certains cas. Quelques exemples en vrac : la LDA5 a été modifiée pour reconnaître expressément la licéité de la reproduction provisoire d’une œuvre dans la mémoire cache d’un ordinateur (art. 24a), la LJAr6 consacre un régime spécifique pour les casinos en ligne (art. 9, 12, 17, 18, 46, 53, 62, 67–69, 72, 86–93), des réglementations dédiées visent la signature électronique7 et les noms de domaine8. Hormis ces interventions ponctuelles, il n’en demeure pas moins que de nombreux pans du numérique (à commencer par le régime de l’économie de partage ou la responsabilité des plateformes Internet pour les contenus de tiers qu’elles diffusent) sont encore plongés dans l’incertitude juridique. Au grand dam du Tribunal fédéral qui se refuse de remédier, par une jurisprudence créative, aux insuffisances du législateur ; à témoin ce considérant extrait d’une affaire concernant le retrait d’une contribution diffamatoire postée sur le forum de discussion d’un quotidien genevois : « Pour le surplus, il n’appartient pas à la justice, mais au législateur, de réparer les « graves conséquences » pour Internet et pour les hébergeurs de blogs auxquelles pourrait conduire l’application du droit actuel » (TF 5A_792/2011, cons. 6.3)9. Cet appel n’a pas été entendu.
L’inertie est donc toujours et encore de mise. Sauf que sa justification a aujourd’hui changé : l’objection de la neutralité technologique a fait place à celle de la prudence. En deux mots : il est prématuré de légiférer, attendons d’en savoir plus…Dernier exemple de temporisation, celui d’un Conseil fédéral emprunté face aux menaces que font planer les fake news sur la vie politique suisse: « Le risque d’influence des fausses informations et surtout des robots sociaux sur la formation démocratique de l’opinion est reconnu. Faute de recul, il n’est cependant pas possible à l’heure actuelle d’affirmer dans quelle mesure une réglementation étatique est nécessaire. Pour l’instant, le Conseil fédéral mise sur une autorégulation de la branche et observe attentivement l’évolution de la situation au niveau national et international10 ».
Le profond désarroi du législateur face au numérique ne se traduit pas toujours en inertie pure et simple ; il fait aussi trainer en longueur les rares projets finalement lancés. Un exemple : la révision de la LPD11, destinée à contrer les évolutions technologiques qui menacent la personnalité des citoyens, a démarré en 2010 ; une décennie plus tard, elle n’a toujours pas abouti ….
La défaillance du législateur s’explique par la conjugaison de trois facteurs : la fulgurance du progrès technologique, la complexité de l’environnement numérique et la mondialisation des enjeux12.
C’est devenu un lieu commun que de souligner que nous vivons une ère caractérisée par un progrès technologique d’une rapidité exceptionnelle. A y regarder de plus près ce qui est exceptionnel, c’est moins la rapidité du progrès que sa constante accélération: les avancées de la connaissance scientifique comme les transformations de la société qu’elles génèrent se succèdent en effet à un rythme qui n’est pas linéaire, mais exponentiel. De surcroît ces avancées sont imprévisibles. De même que personne n’avait vu venir, il y a quarante ans, la révolution Internet, personne ne peut aujourd’hui affirmer quelles seront demain les effets indésirables du recours massif à l’intelligence artificielle.
Quant à l’extrême complexité du numérique, elle tient avant tout au fait qu’il met en jeu une foule d’intermédiaires allant des opérateurs purement techniques (exploitants de réseaux de télécommunication, fournisseurs d’accès et hébergeurs) aux générateurs de contenus (exploitants de réseaux sociaux, plateformes collaboratives de l’économie de partage) en passant par les facilitateurs d’accès (moteurs de recherches, agrégateurs d’informations, fournisseurs de liens hypertextes ou de flux RSS). Si tous ces intermédiaires participent à la communication en ligne et à l’interconnexion des réseaux, leur implication précise, et partant leur degré de responsabilité, n’est guère aisée à déterminer concrètement. Ce d’autant que les intermédiaires jouent souvent plusieurs rôles à la fois ; ainsi nombres d’exploitants de réseaux de télécommunications offrent aussi l’accès à Internet et/ou hébergent des sites personnels et des forums de discussion.
Le dernier facteur d’inertie, la mondialisation, est certainement le plus prégnant des trois. La révolution Internet a en effet bousculé l’ordre juridique classique, basé sur des territoires géographiques gouvernés par des Etats souverains ; désormais le législateur national est confronté à des réseaux et à des communautés transfrontières qui lui échappent. Un défi d’autant plus aigu que cette même révolution a vu l’émergence de géants planétaires. Google, Facebook, Amazon et, dans une moindre mesure, Uber et AirBnB, dominent insolemment leurs marchés transnationaux respectifs (moteurs de recherche, réseaux sociaux, vente en ligne et économie de partage). Quant au législateur international, il peine lui aussi à intervenir ; ainsi, un comité d’experts en économie digitale, mandaté par le Secrétaire général des Nations-Unies, a conclu ses travaux en constatant benoitement qu’il est temps de prendre des mesures pour défendre les droits humains dans l’environnement numérique et pour garantir la sécurité dans le cyberespace (on s’en doutait…), mais en n’indiquant aucune solution pratique13.
Le phénomène de privatisation de la fonction législative prend la forme de codes de conduite des associations professionnelles, de standards posés par les organismes privés de normalisation et de conditions générales des exploitants de plateformes et des fournisseurs de services en ligne. De ces trois formes, la dernière est incontestablement celle qui affecte le plus l’ordre juridique du cyberespace ; cette catégorie est en effet dominée par les terms of service de ces géants mondiaux du numérique que sont Facebook (2,41 milliards d’utilisateurs) et Google (plus de 90% du marché des moteurs de recherche)14.
Avant de passer en revue ces divers instruments de gouvernance privée15, il sied de souligner le caractère rampant de la privatisation de la fonction législative qui a cours. Elle ne résulte en effet pas d’un quelconque complot pour prendre le pouvoir, mais de la seule défaillance du législateur étatique. En d’autres termes, les entreprises et organisations privées n’ont fait qu’occuper un terrain vacant ; une occupation qui est allée grandissant au fur et à mesure que la nécessité de discipliner leurs activités et celles de leurs usagers s’est fait plus pressante.
Ce recours croissant à l’autorégulation répond en effet à des besoins divers, qui souvent s’additionnent. Ceux-ci vont de la nécessité de faire régner l’ordre pour sauvegarder la qualité des services fournis au désir de faire prévaloir une certaine éthique de la communication en ligne (ou à tout le moins de montrer qu’on y est sensible) en passant par la volonté de consacrer des régimes uniformes d’application mondiale et/ou par la tentative de prendre les devants pour se prémunir de toute ingérence intempestive du législateur étatique.
Deux types d’instruments d’autorégulation sont ici envisagés : ceux qui régissent généralement les activités d’un groupe professionnel déterminé et contiennent l’une ou l’autre norme visant des problématiques afférentes au numérique, et ceux qui sont dédiés au numérique.
S’agissant des instruments du premier type, on citera, à titre d’exemple, les Règles Loyauté dans la communication commerciale de la Commission Suisse pour la Loyauté16, lesquelles ont été récemment complétées par une palette de normes sur le commerce électronique (règles C1 à C4) et une disposition sur les fraudes aux clicks (ad-frauds)17. Autre exemple d’ajout ponctuel, la règle spéciale qui régit le droit à l’oubli numérique et les archives en ligne des médias insérée dans le code de déontologie de la presse suisse18. Chacune de ces dispositions s’appliquent à des cas nouveaux, ignorés par le législateur étatique.
L’un des plus importants textes dédiés au numérique est le Code de conduite Hébergement de la SIMSA19. Entré en vigueur en 2013, cet instrument entend remédier à cette lacune majeure du droit suisse du numérique qu’est l’absence de règles spéciales sur la responsabilité des intermédiaires techniques. A cet objectif, il met sur pied une procédure de notification et de retrait. Sur le modèle de la procédure de notice and take down, consacrée depuis près d’une vingtaine d’années par le droit américain20, les membres de la SIMSA se réservent le droit de supprimer les contenus illicites portés à leur connaissance.
A l’instar des banques, des assurances ou encore des compagnies de transports, les fournisseurs de services numériques précisent les modalités de la relation contractuelle qui les lient à leurs clients dans des textes préformulés, qui portent le plus souvent le titre de conditions générales. Relativement succincts lorsqu’ils émanent des intermédiaires techniques (hébergeurs, fournisseurs d’accès notamment), ces textes s’étoffent considérablement s’agissant des exploitants de réseaux sociaux, des plateformes de l’économie digitale ou encore des moteurs de recherches. A tel point que les géants de l’Internet ont développé de véritables « corpus juridiques » qui définissent dans le détail les droits et obligations des parties au contrat.
Emblématique de ce phénomène sont assurément les conditions d’utilisation de Facebook. Celles-ci sont en effet constituées d’un texte fondateur posant les règles de base qui régissent la communauté (modalités de fournitures et de financement des différentes prestations offertes, comportement des usagers, prérogatives administratives de Facebook, résolution des litiges et modification des conditions d’utilisation) et d’une pluralité de prescriptions spécifiques (utilisation des données à des fins commerciales, publicité, administration par les usagers de leurs pages, recours à des plugins sociaux, services de paiement, publication d’œuvres musicales, etc.). A leur tour ces réglementations sont souvent concrétisées par des bonnes pratiques qui détaillent ce qui peut être fait ou pas fait21. Ainsi hiérarchisé, le cadre juridique qui gouverne la communauté Facebook se révèle très semblable à l’ordre juridique interne d’une nation, lequel se décline aussi du général au particulier (au sommet la constitution, suivie, aux échelons inférieurs, des lois formelles et des règlements administratifs). Seule ombre au tableau : alors que les règles Facebook de rang supérieur sont formulées dans une multitude d’idiomes nationaux, celles de rang inférieur n’existent qu’en anglais.
L’émergence de volumineux codes communautaires des géants de l’Internet s’explique par deux raisons. Il y a d’abord la technique législative anglo-saxonne qui, redoutant l’abstrait et le flou interprétatif qu’il génère, privilégie le concret (en somme, la loi ou le contrat doit tout prévoir) ; il y a ensuite, et surtout, la nécessité de dépasser l’hétérogénéité des législations nationales pour poser des règles uniformes, valables pour tous les usagers quels que soient leur nationalité ou leur lieu de résidence.
Elaborées par l’Organisation internationale de normalisation (une organisation privée indépendante, basée à Genève, qui réunit 165 pays), les normes ISO sont destinées à faciliter le commerce mondial de biens et de services en définissant des standards de qualité et de sécurité.
A ce jour, on recense près de 22’550 normes. Celles traitant du recours aux nouvelles technologies sont de plus en plus nombreuses. Si certaines abordent des questions générales liées à la protection de la vie privée dans l’univers numérique (telle la norme ISO/IEC 29100:2011) ou la lutte contre le piratage informatique (telle la norme ISO/IEC 2700:2012), la plupart abordent des thématiques très pointues, comme l’expurgation de documents numériques (ISO/IEC 27038:2014), le mesurage des risques informatiques (ISO/IEC 27004:2016) ou prochainement la protection des données dès la conception des solutions technologiques (privacy par design)22.
Les normes ISO sont adoptées à la suite d’une « procédure législative » multipartite. Rédigé par des experts du domaine, le projet de norme est soumis à la consultation de diverses parties prenantes (représentants de l’industrie, mais aussi des associations de consommateurs, de la société civile ou du monde académique). La durée moyenne de cette procédure est de trois ans. Les normes sont régulièrement révisées (en moyenne tous les cinq ans) pour être adaptées aux changements de circonstances (ainsi la norme 2700:2012 mentionnée ci-dessus a été significativement modifiée deux ans plus tard déjà pour contrecarrer de nouvelles formes de criminalité informatique).
L’adhésion aux normes ISO est toujours volontaire. Même si l’on ne dispose pas de chiffres précis quant aux nombres d’entreprises privées et d’organismes publics qui ont souscrit aux différentes normes ISO, il est avéré que celles-ci sont très prisées. La raison de ce succès planétaire tient à leur crédibilité : le respect des standards posés fait l’objet d’un contrôle de conformité débouchant sur une certification (la validation est limitée dans le temps et n’est renouvelée qu’après réexamen). On comprend dès lors que les géants de l’Internet adhèrent volontiers aux normes ISO qui concernent leurs activités ; ainsi, la norme ISO/IEC 27018:2014, qui traite de la protection des données dans le nuage (cloud), a été rapidement reprise par Microsoft, Dropbox, Amazon et Google23.
A première vue, l’immixtion des privés dans la fonction proprement régalienne de produire le droit peut s’avérer un moindre mal : le législateur étatique ne faisant pas son travail, mieux vaut des règles émanant des privés que pas de règles du tout. De surcroît, ces règles peuvent être adoptées et modifiées rapidement (un atout dans l’univers hautement dynamique et imprévisible du numérique), sans avoir à passer par des procédures législatives longues, dispendieuses et risquées (un référendum peut tout faire capoter). Enfin, comme on l’a vu (cf. supra 3.3.), les réglementations privées, à commencer par les codes communautaires des géants du Net et les normes ISO, sont transnationales ; leur champ d’application n’est plus délimité par un territoire géographique – un critère inadapté au cyberespace sans frontières –, mais par une communauté d’usagers ou un cercle de contractants. Sans oublier que les auteurs de ces textes ont souvent tiré parti des qualités communicatives de l’édition numérique pour faciliter leur lisibilité par tout un chacun (graphisme attractif, liens hypertextes pointant sur des explications des concepts juridiques notamment).
Pour indéniables qu’ils soient ces avantages ne l’emportent pas face aux inconvénients. Aux critiques dirigées traditionnellement à l’encontre du droit souple (soft law) – absences de force contraignante et de légitimité démocratique, laxisme24 –, s’ajoutent des reproches ciblant spécifiquement la gouvernance privée du numérique. On déplore la dominance du droit américain, particulièrement frappante dans les normes ISO et les règles communautaires des plateformes ; une dominance qui se manifeste tant dans la forme rédactionnelle des règles (recours à la lourde technique législative anglo-saxonne) (cf. infra 3.3) que dans leur contenu (notions de la pornographie et surtout du discours raciste aux antipodes de celles qui prévalent en Suisse notamment). On déplore aussi un manque de coordination entre la multitude des textes de soft law qui sont censés régir le cyberespace ; un foisonnement et un émiettement qui nuisent à la clarté et à la certitude de la normativité. On déplore encore la bilatéralité de façade des conditions générales des géants de l’Internet : le consentement de l’usager est obtenu par un simple double-clic ; dans l’immense majorité des cas, cet accord est donné dans la précipitation, sans prise de connaissance de la teneur des règles applicables, lesquelles n’apparaissent d’ailleurs pas directement à l’écran. Plus grave : les modifications sont considérées comme automatiquement acceptées par quiconque continue à utiliser le service25.
Ici ou là, les premier signes d’une reprise en mains par l’Etat se font jour. La réaction tend moins à légiférer à la hâte pour rattraper le temps perdu26 qu’à encadrer les prescriptions du législateur privé. Ces signes prennent les formes classiques de l’agrément27 ou de l’incorporation28 des produits de l’autorégulation, mais aussi des formes inédites, telles ce que l’on pourrait appeler, faute de mieux, la transposition renforcée, la validation silencieuse ou l’autorégulation provoquée29.
La transposition renforcée peut être définie comme la reprise en droit dur de règles de droit souple, mais en intensifiant leur rigueur. Dernier exemple en date : la révision partielle de la LTC30 adoptée par le Parlement en mars 2019 (2019 2585). D’une part cette révision consacre un « Internet ouvert » avec moins d’exception que les (laxistes) règles dont s’étaient dotés, en 2017, les fournisseurs d’accès suisses par le biais de leur Code conduite sur la neutralité des réseaux31. D’autre part, il institue des mesures de retrait des contenus de pornographie dure qui vont au-delà de celles prévues par l’Initiative sectorielle pour une meilleure protection de la jeunesse dans les nouveaux médias de l’Association suisse des télécommunications32; datant de 2008, ce texte n’envisageait que le blocage des seuls sites pédophiles.
On trouvera le premier cas de validation silencieuse à l’article 39d nouveau de la LDA (FF 2019 6249). Cette disposition, qui fait partie d’un arsenal destiné à lutter contre le piratage en ligne des oeuvres protégées, prévoit en effet que :
1 Le fournisseur d’un service d’hébergement Internet qui sauvegarde les informations saisies par les usagers est tenu d’intervenir afin d’empêcher qu’une oeuvre ou un autre objet protégé ne soit à nouveau rendu accessible de manière illicite à des tiers par le biais de son service (...).
Autant dire que c’est le monde à l’envers; alors que traditionnellement le droit souple est appelé à préciser le droit de dur, l’art. 39d nouveau LDA consacrera l’inverse : le droit dur complétera le droit souple. En effet, cette disposition impose à l’hébergeur une obligation légale de stay down, laquelle vient parachever la procédure de notice and take down introduite par le Code de conduite Hébergement de la SIMSA33. Si cette procédure de droit souple n’est pas mentionnée à l’art. 39d, elle y est toutefois sous-entendue. En effet, il n’y pas de stay down sans take down préalable, comme l’explique le message du Conseil fédéral: « L’autorégulation est toutefois inefficace lorsqu’un hébergeur transforme les atteintes aux droits d’auteur en modèle commercial. Dans ces cas, une fois retirés des serveurs, les contenus illicites sont régulièrement remis en ligne, de sorte que les titulaires des droits se voient obligés de réagir à nouveau. C’est pourquoi, afin de mettre fin au jeu du chat et de la souris, l’autorégulation est complétée par une obligation légale pour les hébergeurs qui génèrent un risque particulier de violations du droit d’auteur. Ces fournisseurs d’hébergement doivent veiller à ce que les contenus qui ont été retirés une fois de leurs serveurs n’y soient pas réintroduits (obligation de stay down) » (FF 2018 568).
Autre forme de reprise en mains par l’Etat, l’autorégulation provoquée, autrement dit l’adoption, par les fournisseurs de services numériques ou par les associations professionnelles du domaine, de réglementations déontologiques sous la pression, plus ou moins forte, des autorités publiques. La Commission européenne a eu recours à cette méthode lorsqu’en 2016 elle a « persuadé » les géants du Net de se donner un Code de conduite pour la lutte contre les discours haineux illégaux en ligne. Signés à l’origine par Facebook, Microsoft, Twitter et YouTube34 – des opérateurs tous basés dans un pays, les Etats-Unis, qui se refuse à réprimer les propos discriminatoires au nom de la liberté d’expression –, ce texte prévoit, notamment, le retrait dans les 24 heures des messages racistes sur signalement de tiers. Le respect du code de conduite est strictement monitoré par la Commission. Avec succès : dans son quatrième rapport d’évaluation, publié début 2019, la Commission se félicite de la diligence des opérateurs, soulignant que plus de 70 % des contenus racistes dénoncés aux opérateurs ont été retirés.
Enfin, on notera que l’Etat tente aussi d’affaiblir l’impact des conditions générales des plateformes Internet en conférant à ses normes un effet extraterritorial. La décision de l’Union européenne (UE) d’étendre l’application RGPD35 aux entreprises situées hors de la zone de l’UE, qui offrent des biens ou des services à des résidents européens (ou profilent des consommateurs européens), est emblématique à cet égard (art. 3, al. 2). On retrouve la même volonté de décloisonnement géographique dans le récent prononcé de la Cour de justice de l’UE qui contraint Facebook à procéder au retrait mondial d’un post qui portait atteinte à la réputation d’une politicienne autrichienne (partant, un simple blocage limité à l’Autriche, voire aux pays de l’UE, comme le préconisait le réseau social, a été jugé insuffisant)36.
Le retour de l’Etat aux commandes du numérique, même s’il est encore hésitant et sectoriel, est le bienvenu37. Le chaos normatif institué par la défaillance du législateur formel ne pouvait s’installer à demeure sous peine d’ébranler les fondements démocratiques de notre société et de menacer les libertés des citoyens. Une réaction était d’autant plus attendue que les géants de l’Internet n’hésitent plus à s’arroger d’autres compétences régaliennes que la fonction législative.
Facebook ne manque pas d’ambitions à cet égard. Il y a d’abord son intention de battre monnaie ; même s’il se heurte à l’hostilité des ministres des finances de nombre de pays, son projet de crypto-devise, baptisé Libra, va de l’avant38. Il y a ensuite, et surtout, sa volonté d’instituer une sorte de cour de justice communautaire, dénommée oversight board. Une appellation trompeuse : sous l’apparence d’un organe de surveillance administratif, se cache une instance quasi judiciaire chargée de trancher les litiges portant sur des contenus publiés par les membres du réseau social39. Voilà la plus colossale des plateformes numériques de la planète qui ne se contente plus de produire le droit par le biais de conditions générales étendues, mais aspire à le dire.
Inutile de préciser que pareille transformation d’une communauté d’usagers en un Etat hors de l’Etat doit être si ce n’est contrée, du moins étroitement canalisée.
Bertil Cottier, dr en droit, professeur de droit de la communication, Faculté des sciences de la communication, Université de la Suisse italienne et Faculté de droit, Université de Lausanne. bertil.cottier@usi.ch.
- Cottier, Bertil, 2018, L’ère numérique et le principe de légalité, in : Epiney, Astrid/Sangsue, Déborah (éd.), Digitalisierung und Schutz der Privatsphäre, Fribourg, 25–41.
- Flückiger, Alexandre, 2019, (Re)faire la loi, Berne.
- Gautrais, Vincent/Trudel, Pierre, 2017, La mondialisation et Internet au Québec, in : La mondialisation (Travaux de l’association Henri Capitant), Paris, p. 895–915.
- Gilli, Natasia, 2019, Selbstregulierung und ihrer Krux mit der Publikation, sui-generis 2019, 49–62.
- Haber, Eldar, 2016, Privatization of the Judiciary, Seattle University Law Review 2016, 115–172.
- Keller, Claudia, 2012, AGB von Social-Media Plattformen, medialex 2012, 188–195.
- Kelsen, Hans, 1934, Reine Rechtslehre, Leipzig.
- Lessig Lawrence, 2006, Code 02, New York (en libre accès sur http://codev2.cc/).
- Metzger Philipp/Schneider Thomas, 2018, Digitale Selbstbestimmung der Schweiz, digma 2018, 86–91.
- Savary Fiona, 2017, Regulierung dominanter Internetplatformen, Saint-Gall.
- 1 Pour une présentation détaillée des classiques de la normativité hybride, voir Flückiger 2019, 366ss et Gilli 2019, 50ss.
- 2 Et technique : l’architecture des réseaux (protocoles, standards et configurations) est aussi une composante, significative mais indirecte, du cadre juridique. Nous laisserons cet aspect de côté, nous contentant de renvoyer le lecteur intéressé à l’ouvrage de référence de Lawrence Lessig, code 2.0, 2006).
- 3 Code pénal suisse du 21 décembre 1937 (RS 311.0).
- 4 Il en va autrement en droit administratif où nombre de réglementations visent un moyen d’expression particulier : ici la presse écrite (tarifs de distribution postale réduits pour les imprimés p. ex.), là la radiodiffusion (interdiction de détenir plus de deux concession de télévision p. ex), ailleurs le cinéma (subventions à la production de long-métrages suisses p. ex.) ou encore internet (interdiction de la publicité pour certains médicaments).
- 5 Loi du 9 octobre 1992 sur le droit d’auteur (RS 231.1).
- 6 Loi fédérale du 29 septembre 2017 sur les jeux d’argent (RS 935.51).
- 7 Loi du 18 mars 2016 sur la signature électronique (SCSE; RS 943.03).
- 8 Ordonnance du 5 novembre 2014 sur les domaines Internet (ODI; RS 784.104.2).
- 9 Pour un autre exemple de renvoi de la balle au législateur, voir ATF 136 II 508, cons. 6.4.
- 10 Rapport du Conseil fédéral, Un cadre juridique pour les médias sociaux: Nouvel état des lieux, Berne 2017, p. 52.
- 11 Loi fédérale du 19 juin 1992 sur la protection des données (RS 235.1).
- 12 Ces causes d’inertie législative seront ici brossées à grands traits ; pour plus de détails, voir Cottier 2017, 30–33.
- 13 « The Age of Digital Interdependence », Report of the UN High-level Panel on Digital Cooperation, 2019 (accessible sur le site https://digitalcooperation.org/ ).
- 14 Ces statistiques ont été communiquées par les opérateurs eux-mêmes et valent pour le premier semestre de 2019.
- 15 S’agissant des standards développés par des organismes de normalisation, on n’évoquera que les normes ISO de l’Organisation mondiale de normalisation, car elles sont de loin les plus renommées.
- 16 La Commission Suisse pour la Loyauté est l’organe exécutif de la Fondation de la Publicité Suisse pour la Loyauté dans la communication commerciale dont font partie les principaux annonceurs suisses.
- 17 Règle B. 16 : « Il est déloyal de falsifier ou de dénaturer dans la communication commerciale le nombre de vues (views)/de visites sur Internet, le nombre de visiteurs sur le web, les listes d’évaluation et de classement (ratings) ainsi que d’autres indications objectives en faisant appel à des systèmes automatisés (bots) et/ou à des profils de personnes falsifiés.».
- 18 Art. 7.5 des Directives du Conseil suisse de la presse relatives à la « Déclaration des devoirs et des droits du/de la journaliste » : « Le droit à l’oubli s’applique également aux médias en ligne et aux archives numériques. Faisant suite à une demande fondée, les rédactions devraient vérifier s’il s’impose de rendre anonyme après coup ou d’actualiser un récit médiatique archivé numériquement. En cas de correction, les rédactions devraient faire une annotation supplémentaire plutôt que de simplement effacer la version antérieure. Les demandes d’effacement sont à rejeter. ».
- 19 La SIMSA (Swiss Internet Industry Association) est une association regroupant les principaux hébergeurs du pays.
- 20 Voir l’art. 512 (c) du Digital Millennium Act.
- 21 Ainsi les Standards de la communauté, qui régissent généralement les activités des usagers de Facebook, renferment une section sur les contenus bannis, notamment les représentations à caractère sexuelle. Un texte de niveau inférieur précise dans quelle mesure des images de seins nus tombent sous le coup de cette interdiction : « Nudity is defined as (….) uncovered female nipples except in the context of breastfeeding, birth giving and after-birth moments, health related situations (for example post-mastectomy, breast cancer awareness or gender confirmation surgery) ».
- 22 Une commission spéciale a été mise sur pied en 2018 pour élaborer des standards précis sur cette question dans une perspective de protection des consommateurs (ISO/PC 317).
- 23 Soucieux de leur image, ces géants publient sur leur site respectif (en général sous la rubrique compliance) les diverses mesures prises pour respecter la norme 27018.
- 24 A quoi on peut encore ajouter l’intransparence des normes de droit souple déléguées ou validées (Gilli 2019, 5ss).
- 25 Voir par exemple le chiffre 10 de la Politique de confidentialité (2017) d’Instagram. Quoique formulée différemment, la règle correspondante de YouTube exprime la même idée : « Si vous n’acceptez pas les conditions modifiées, vous devez supprimer tout Contenu mis en ligne sur le Service et cesser l’utilisation de ce dernier » (Conditions d’utilisation applicables dans l’Espace Économique Européen et la Suisse, 2019).
- 26 Encore qu’il y en ait quelques exemples, telle la criminalisation de l’usurpation d’identité. Pendant longtemps le Conseil fédéral s’est obstiné à la juger superflue : « Le Conseil fédéral estime que le droit pénal ne présente pas de lacunes face au phénomène de l’usurpation d’identité. D’une part, l’usurpation d’identité est appréhendée par plusieurs dispositions pénales, qui répriment les fins qu’elle vise. D’autre part, dans la lutte contre l’usurpation d’identité, il est tout aussi important de miser sur l’information et sur la prévention des risques liés au traitement des données personnelles » (réponse à l’interpellation Schwaab, 13.3726). La réalité réfutant toujours plus ces arguments, un art. 179decies CP sur l’usurpation d’identité est en voie d’adoption par le Parlement (le Conseil National a donné son accord en septembre 2019 ; le Conseil des États devrait en faire de même dans un proche avenir).
- 27 Emblématique de ce processus de reconnaissance de règles privées venant préciser ponctuellement le droit étatique est l’art. 40 RGPD. Cette disposition non seulement encourage « les associations et autres organismes représentant des catégories de responsables du traitement ou de sous-traitants » à élaborer des codes de conduite explicitant les dispositions dudit règlement, mais encore prévoit un mécanisme d’agrément et de monitorage par les autorités nationales de protection des données.
- 28 Ainsi, par exemple, l’ODI reconnaît et implémente en droit suisse les prescriptions émanant de l’organisation privée californienne ICANN (The Internet Corporation for Assigned Names and Numbers), qui a la tâche cruciale d’administrer à l’échelon mondial les ressources d’adressage d’Internet (adresses IP, noms de domaines).
- 29 L’expression est d’Alexandre Flückiger (Flückiger 2019, 62).
- 30 Loi fédérale du 30 avril 1997 sur les télécommunications (RS 784.10).
- 31 Art. 12e nouveau LTC : « Les fournisseurs d’accès à Internet transmettent des informations sans faire de distinction, sur le plan technique ou économique, entre émetteurs, destinataires, contenus, services, classes de services, protocoles, applications, programmes ou terminaux ».
- 32 Art. 46 al. 3 nouveau LTC : « Les fournisseurs de services de télécommunication suppriment les informations à caractère pornographique au sens de l’art. 197, al. 4 et 5, du code pénal qui leur sont signalées par l’Office fédéral de la police. Les fournisseurs de services de télécommunication signalent à l’Office fédéral de la police les cas suspects d’informations à caractère pornographique au sens de l’art. 197, al. 4 et 5, du code pénal qu’ils découvrent fortuitement dans le cadre de leurs activités ou que des tiers ont portés à leur connaissance par écrit. ».
- 33 Cf. supra 3.2.
- 34 Le quatuor d’origine a depuis lors été rejoint par Google, Instagram, Snapchat et Dailymotion.
- 35 Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des données, JO L 119 du 4 mai 2016, p. 1.
- 36 Cour de Justice de l’UE, arrêt du 3 octobre 2019, Glawischnig-Piesczek c./Facebook, C-18/18.
- 37 Même si bien des entrepreneurs et des scientifiques sont d’avis que le retour de l’Etat est un obstacle à l’innovation (Metzger/Schneider, 2018:89). Pour une étude détaillée de cette problématique, voir Savary, 2017:56ss.
- 38 Pour plus d’information sur ce projet révolutionnaire et controversé, voir « The Libra official white paper » (accessible sur le site https://libra.org/en-US/white-paper/?noredirect=en-US).
- 39 « (…) the Oversight Board will focus on providing independent, binding judgment on removing or permitting content, with individual cases being heard by panels. These panels would then issue public explanations of the Board’s decision, while offering ‹ interested parties the opportunity to be heard. › Most importantly, the primary objectives also remain the same: increased transparency, legitimacy of decisionmaking, and independent judgment. » (Global Feedback & Input on the Facebook Oversight Board for Content Decisions, Rapport publié par Facebook, 2019, p. 8). Pareille volonté de créer une instance indépendante quasi-judicaire répond aussi aux reproches d’arbitraire et d’intransparence liées à l’exécution des obligations toujours plus nombreuses faites aux plateformes de retirer ou bloquer des contenus illicites (voir par exemple la laborieuse mise en œuvre du droit à l’oubli par Google, Haber 2016, 115ss).