La France dans la transformation numérique : quelle protection des droits fondamentaux ?

Par Jean-Marc Sauvé, Vice-président du Conseil d'État
Discours
Passer la navigation de l'article pour arriver après Passer la navigation de l'article pour arriver avant
Passer le partage de l'article pour arriver après
Passer le partage de l'article pour arriver avant

Colloque organisé par le Conseil d’État le vendredi 6 février 2015

<a href="/admin/content/location/36596"> Lien à reprendre : > Télécharger au format pdf</a>

La France dans la transformation numérique : quelle protection des droits fondamentaux ?

Colloque organisé par le Conseil d’Etat le vendredi 6 février 2015

Introduction de Jean-Marc Sauvé[i], vice-président du Conseil d’État

 

Mesdames et Messieurs,

Mes chers collègues,

 « Avec la révolution numérique, c’est un nouvel imaginaire qui domine nos sociétés. L’objet fétiche, sur le modèle duquel le monde est conçu, n’est plus l’horloge et son jeu de forces mécaniques, mais l’ordinateur et sa puissance de calcul. (…) La révolution numérique va ainsi de pair avec celle qui s’observe en matière juridique, où l’idéal d’une gouvernance par les nombres tend à supplanter celui du gouvernement par les lois. (…) Se pose, ainsi, la question de la domestication par les hommes des nouvelles techniques immatérielles, qui peuvent aussi bien contribuer à libérer qu’à écraser leurs capacités de création »[ii]. Cette question, que soulève le professeur Alain Supiot, s’adresse à l’Etat, régulateur des relations sociales et des flux économiques, mais aussi garant des droits fondamentaux des personnes et de l’ordre public. Elle s’adresse à la France, comme nation souveraine, mais aussi comme Etat membre de l’Union européenne et, dès lors, partie prenante à l’élaboration de sa législation. Elle s’adresse aussi à l’Union européenne dans son ensemble, car la transformation numérique déborde le cadre des Etats-nations, elle innerve des marchés d’ampleur mondiale et elle ne supprime bien sûr ni les rivalités économiques, ni les rapports de force géopolitiques, ni la capacité de régulation des Etats, qu’elle affaiblit cependant. La transformation numérique est une transformation technique et elle appelle désormais une transformation juridique qui doit être conduite, conformément au principe de subsidiarité, à l’échelle nationale et européenne.

Cette transformation, comme l’a montré l’étude annuelle du Conseil d’Etat en 2014, doit porter en priorité sur le cœur de notre Etat de droit et de notre souveraineté, à savoir sur la protection des droits fondamentaux et sur la sécurité et la sûreté publiques. Les technologies numériques exercent, à ce titre, des effets ambivalents : elles catalysent l’exercice des droits, mais elles synthétisent aussi des risques inédits face auxquels nos catégories juridiques et nos capacités d’intervention apparaissent aujourd’hui inadaptées. La protection de la vie privée et la faculté d’autodétermination des personnes doivent être mieux protégées, les responsabilités des opérateurs économiques, entre hébergeurs, plateformes et éditeurs, doivent être redistribuées et les capacités de régulation, de contrôle et d’intervention des Etats doivent être sécurisées. Nous ne pouvons pas nous abstenir d’agir, en nous retranchant derrière la technicité des débats sur le numérique, encore moins derrière la prétendue impuissance des Etats face à ce nouvel aspect de la globalisation. Car il importe que, par le droit et, en dernière instance, sous le contrôle des juges, soient mis en balance des intérêts parfois concurrents, ceux des opérateurs, des internautes et des citoyens et, au-delà d’eux, des intérêts publics essentiels et des intérêts privés.

 

C’est précisément à cette tâche que le présent colloque nous invite. Je présenterai, tout d’abord, les domaines dans lesquels une adaptation de notre droit est attendue, avant d’insister sur le cadre territorial de mise en œuvre de nouveaux outils.

I. Face à la transformation numérique, mieux protéger les droits fondamentaux, c’est renforcer les capacités d’autodétermination des personnes, mais c’est aussi redistribuer les responsabilités entre les différents acteurs numériques.

 

 A. En premier lieu, si le principe de consentement encadre d’ores et déjà le traitement des données à caractère personnel, une réflexion doit être engagée sur les modalités pratiques de sa mise en œuvre.

Deux phénomènes ont, en effet, rebattu les cartes. D’une part, l’automatisation du traitement des données à caractère personnel relativise et, en fait, minimise l’exigence de consentement éclairé, lequel est d’autant plus formel ou entravé que les conditions d’utilisation de ces données sont présentées d’une manière inintelligible ou subreptice. A ce titre, comme l’a jugé le Conseil d’Etat, l’effectivité du droit d’accès aux données - et du droit rectification - doit être appréciée à l’aune de la complexité de leurs procédures concrètes de mise en œuvre[iii]. D’autre part, la massification des données (« Big data ») et le développement corrélatif des techniques d’agrégation et de profilage affaiblissent les principes garantissant la qualité des données. Ces dernières doivent, comme le prévoit l’article 6 de la directive du 24 octobre 1995[iv], être traitées d’une manière loyale, être collectées pour des finalités déterminées, de manière proportionnée et pour une durée limitée, mais aussi être exactes, complètes et mises à jour. Or de la qualité des données traitées, dépend aussi l’effectivité du principe de consentement, désormais protégé par l’article 8 de la Charte des droits fondamentaux de l’Union européenne.

C’est pourquoi il apparaît nécessaire de réaffirmer ce principe et de réexaminer ses modalités pratiques de mise en œuvre. L’étude du Conseil d’Etat préconise à cette fin d’inscrire dans notre droit positif le principe d’autodétermination informationnelle, plutôt qu’un droit de propriété sur les données à caractère personnel. En effet, un tel droit ne saurait rééquilibrer à lui seul les relations entre les personnes et les opérateurs numériques, dans la mesure où les données d’un seul individu n’ont, sauf exception, qu’une faible valeur marchande. Par ailleurs, en introduisant une logique mercantile, ce droit de propriété réduirait la portée des garde-fous mis en place par les autorités publiques. « Somme toute, la reconnaissance du droit de propriété impliquerait une moindre capacité de protection des pouvoirs publics, sans renforcer pour autant la capacité des individus à veiller à leurs propres intérêts »[v]. Le droit d’autodétermination informationnelle apparaît ainsi plus approprié à la défense du principe de consentement. Tel que défini par la Cour constitutionnelle fédérale allemande, ce droit garantit en effet « la capacité de l’individu à décider de la communication et de l’utilisation de ses données à caractère personnel »[vi], dans l’intérêt de son épanouissement, mais aussi dans l’intérêt global d’une société libre et démocratique. Un tel droit inaliénable peut, dès lors, servir de point d’appui à l’élaboration de nouvelles protections contre tout risque d’abus ou d’utilisation illicite des données personnelles par des personnes privées ou publiques. A ce titre, si la prévention des infractions les plus graves appelle un renforcement des capacités de contrôle et de surveillance des autorités publiques, les impératifs de sécurité et de sûreté nationales doivent être conciliés d’une manière exigeante avec la protection des libertés individuelles. Il ne suffit pas, en effet, qu’un traitement se prévale d’une finalité légitime, il doit encore user, d’une manière claire et précise, de moyens adéquats et proportionnés au but visé. C’est ce qu’a rappelé avec force la Cour de justice de l’Union européenne en invalidant, par son arrêt Digital Rights[vii], la directive du 15 mars 2006 sur la conservation des données traitées dans le cadre de services de communications électroniques accessibles au public[viii]. Moins qu’une prohibition générale et absolue des obligations de conservation des données à caractère personnel, il faut désormais mettre en œuvre des critères clairs et objectifs de collecte et surtout d’accès à ces données.

B. En second lieu, les responsabilités doivent être mieux distribuées entre les différents acteurs numériques en tenant compte des nouvelles techniques de mise à disposition des données.

Si les éditeurs de site sont soumis à un régime de responsabilité analogue à celui des éditeurs de presse, les hébergeurs voient, quant à eux, leur responsabilité civile et pénale limitée, dès lors qu’ils ne jouent qu’un rôle passif d’intermédiation et qu’ils n’ont pas connaissance des données qu’ils stockent. Cette summa divisio entre hébergeurs et éditeurs apparaît désormais en partie obsolète, car des entités revendiquant le statut d’hébergeur, parmi lesquelles des sites de partage ou des moteurs de recherche, opèrent en réalité un traitement actif et profond sur les données personnelles, qu’elles les indexent, les référencent ou les classent. Plusieurs décisions de justice, nationale et européenne, témoignent de l’inadéquation entre la qualification d’hébergeur, son régime de responsabilité et la réalité de pratiques observées[ix]. Dès lors qu’il détermine lui-même les finalités et les moyens d’un traitement, l’hébergeur doit être en mesure d’assumer les obligations incombant à un « responsable de traitement », au sens de la directive 95/46. C’est ce qu’a jugé la Cour de justice de l’Union européenne dans son arrêt Google Spain : « en explorant de manière automatisée, constante et systématique Internet à la recherche des informations qui y sont publiées », l’exploitant du moteur de recherche procède à un traitement dont il définit les finalités et les moyens. Or,« dans la mesure où l’activité d’un moteur de recherche est susceptible d’affecter significativement et de manière additionnelle par rapport à celle des éditeurs de sites web les droits fondamentaux de la vie privée (…), l’exploitant de ce moteur de recherche (…) doit assurer, dans le cadre de ses responsabilités, de ses compétences et de ses possibilités, que [son activité] satisfait aux exigences (…) d’une protection efficace et complète des personnes concernées »[x]. La Cour a abouti à cette conclusion à partir d’une analyse très concrète des pratiques de référencement et de leurs effets sur la vie privée des personnes.[xi]

Dans ce cadre, l’étude annuelle du Conseil d’Etat propose de créer un régime autonome de responsabilité pour les prestataires actifs de services d’intermédiation, autrement appelés « plateformes ». Celles-ci seraient tenues de respecter un principe de loyauté dans la mise en œuvre de leurs services de référencement ou de classement et, à ce titre, de faire connaître la pertinence de leurs critères éditoriaux, de notifier les évolutions de leur politique commerciale et, enfin, de mettre en place un droit au déréférencement – à distinguer d’un « droit à l’oubli » qui consisterait en l’effacement du contenu des données. Les obligations positives de transparence et de contrôle qui en découlent ne sauraient, cependant, porter atteinte à la nature même de leur activité : le principe de neutralité, appliqué aux opérateurs de télécommunication, ne peut régir utilement leurs services qui ont précisément pour objet de fournir un accès hiérarchisé et personnalisé aux contenus numériques. La liberté éditoriale des plateformes est un acquis à préserver mais, comme toute liberté, elle s’accompagne de responsabilités et de devoirs qu’il faut désormais identifier et rendre opposables[xii].

 

II. Pour mener à bien cette adaptation de notre droit, une réflexion doit être menée sur son champ d’application territorial, dans un environnement marqué par la concurrence, sinon la rivalité, entre systèmes juridiques.

A. La transformation numérique emprunte les réseaux ramifiés de la globalisation, elle est transfrontalière dans ses effets et ses acteurs se singularisent par leur forte extranéité. La complexité des règles qui déterminent la loi applicable et la juridiction compétente peut être source d’incertitudes, d’insécurité juridique et de remise en cause des protections nationales.

1. Le droit pénal s’est, en premier lieu, ajusté face aux nouvelles menaces dont peuvent être le vecteur les technologies numériques. Il trouve, en effet, à s’appliquer aux sites, même établis hors de nos frontières, qui « dirigent » leurs activités vers la France au regard d’une pluralité d’indices (langue et monnaie utilisées, terminaison du nom de domaine, publicités visibles par les internautes français…)[xiii]. Cette territorialité directionnelle a conduit les juges français à faire usage de leurs pouvoirs d’injonction à l’encontre de sociétés étrangères. Il a, par exemple, été enjoint, dans l’affaire LICRA et UEJF c. Yahoo !, à la société Yahoo de rendre inaccessible un site vendant des objets de propagande nazie[xiv], ou encore, dans l’affaire Max Mosley c. Google,  à la société Google de faire cesser l’affichage d’images attentatoires à la vie privée[xv]. Dans la première affaire, les demandes présentées par la société Yahoo ! tendant à ce que les décisions de la justice française ne soient pas exécutables aux Etats-Unis ont été rejetées à deux reprises par une juridiction d’appel américaine[xvi]. Cette dernière a pu relever que « la France était en droit en tant que nation souveraine d’adopter des lois contre la distribution de propagande nazie, en réponse à sa terrible expérience des forces nazies durant la seconde guerre mondiale » et que « Yahoo ! ne pouvait s’attendre à bénéficier du fait que ses contenus puissent être vus dans le monde entier, tout en étant protégée des coûts qui en résultent »[xvii].

Toutefois, la prévention et la répression des infractions pénales ne peuvent être pleinement efficaces que par une coopération renforcée entre autorités judiciaires, mais aussi, en amont, entre les autorités administratives et les sociétés de l’Internet. A cet égard, les opérateurs et les hébergeurs sont tenus de conserver pendant un an les métadonnées[xviii] de leurs utilisateurs et de les transmettre, à sa demande, à l’autorité judiciaire[xix]. Les autorités administratives peuvent aussi obtenir la communication de ces données dans le cadre de leurs missions de protection de la sécurité nationale[xx]. Or, les grandes sociétés de l’Internet ayant la qualité d’hébergeur ne s’estiment pas tenues par ces obligations et répondent, à leur guise et selon leurs propres critères, aux demandes qui leur sont adressées. Sans vouloir la stigmatiser, la société Facebook, dont les centres de données (Datacenters) se situent aux Etats-Unis, à l’exception d’un site en Suède à Luleå, n’a ainsi répondu entre juillet et décembre 2013 qu’à 33,9% de ces demandes. Il faut dire que la loi du 21 juin 2004[xxi] ne détermine pas elle-même le champ d’application des obligations de coopération des hébergeurs et que le décret du 25 février 2011, pris pour son application, ne renvoie qu’au territoire national[xxii] ou, comme cela a pu être interprété, au champ d’application de la loi du 6 janvier 1978[xxiii].

2. En second lieu, dans le domaine des obligations contractuelles, le droit applicable est, par principe, librement déterminé par les parties[xxiv] et, à défaut, un contrat ayant pour objet une prestation de service est régi par la loi du pays de résidence habituelle du prestataire[xxv]. Toutefois, s’agissant des contrats conclus par un consommateur avec un professionnel, le droit applicable est la loi du pays où le consommateur a sa résidence habituelle, si le professionnel exerce son activité dans ce pays ou s’il y dirige son activité par tout moyen[xxvi]. Pour autant, même dans ce cas, les parties restent libres de déterminer une autre règle de territorialité, à condition, toutefois, qu’elle n’ait pas pour effet de priver le consommateur des protections indérogeables prévues par la loi de son pays de résidence[xxvii]. Par ailleurs, en cas de litige, le consommateur peut se prévaloir de règles spécifiques, dès lors que son cocontractant exerce ses activités dans l’Etat de l’Union où le consommateur a élu domicile ou dirige ses activités vers cet Etat[xxviii]. Parmi ces règles, lorsque l’action est intentée contre le consommateur par son cocontractant, seules sont compétentes les juridictions de l’Etat de l’Union sur le territoire duquel est domicilié ce consommateur [xxix]. Néanmoins, comme l’a souligné l’étude du Conseil d’Etat[xxx], les pratiques commerciales observées tendent à faire prévaloir le droit du professionnel et, le plus souvent, la compétence de juridictions étrangères. C’est, notamment, le cas des conditions générales d’utilisation (CGU) proposées par les grandes firmes américaines.

B. Dans ces conditions, une réflexion doit être engagée sur une refonte du champ d’application des protections essentielles et sur les conditions de leur effectivité.

Un socle de règles choisies en raison de leur importance particulière dans la protection des droits fondamentaux ou de l’ordre public devrait être déterminé et rendu applicable dans les pays de destination de l’activité considérée. Comme le préconise le Conseil d’Etat[xxxi], serait ainsi étendue, au-delà du champ pénal, la règle selon laquelle les sites dirigeant leurs activités, par exemple vers la France, sont soumis aux règles de cet Etat. Dans le domaine contractuel, ces règles regardées comme essentielles et dont le champ d’application devrait ainsi être refondu pourraient être qualifiées de « lois de police » au sens du règlement européen du 17 juin 2008, dit Rome I. Ces lois comportent en effet des dispositions impératives « dont le respect est jugé crucial par un pays pour la sauvegarde de ses intérêts publics, tels que son organisation politique, sociale ou économique, au point d'en exiger l'application à toute situation entrant dans son champ d'application, quelle que soit par ailleurs la loi applicable au contrat »[xxxii]. S’agissant des obligations de coopération imposées aux hébergeurs, une même adaptation de notre droit devrait être envisagée.

Ce changement de paradigme ne saurait être présenté, d’une manière offensive, comme la promotion d’une extraterritorialité conquérante du droit national ou européen. Il s’agit, bien plutôt, de préserver, d’une manière claire et non contingente, les garanties essentielles adoptées par certains Etats au bénéfice de leurs résidents. C’est vers ce nouveau progrès de l’Etat de droit que s’est engagée l’Union européenne. Dans l’affaire Google Spain du 13 mai 2014, le traitement des données litigieuses était, en effet, réalisé par la société-mère établie aux Etats-Unis, et non pas par sa filiale européenne établie en Espagne. Pour autant, la Cour a relevé que « les activités de l’exploitant du moteur de recherche et celles de son établissement situé dans l’État membre concerné sont indissociablement liées, dès lors que les activités relatives aux espaces publicitaires constituent le moyen pour rendre le moteur de recherche en cause économiquement rentable et que ce moteur est, en même temps, le moyen permettant l’accomplissement de ces activités »[xxxiii]. Dans ces conditions, la Cour a conclu qu’« il ne saurait être accepté que le traitement de données à caractère personnel effectué pour les besoins du fonctionnement dudit moteur de recherche soit soustrait aux obligations et aux garanties prévues par la directive 95/46, ce qui porterait atteinte à l’effet utile de celle-ci et à la protection efficace et complète des libertés et des droits fondamentaux des personnes physiques qu’elle vise à assurer »[xxxiv]. Avec cet arrêt, s’est considérablement affaibli le lien entre le lieu de traitement des données à caractère personnel et l’application des garanties européennes. Cette nouvelle approche converge avec la refonte en cours d’examen des règles européennes relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel. La proposition de nouveau règlement européen prévoit, en effet, de s’appliquer « au traitement des données à caractère personnel appartenant à des personnes concernées ayant leur résidence sur le territoire l'Union, par un responsable du traitement qui n'est pas établi dans l'Union, lorsque les activités de traitement sont liées (…) à l'offre de biens ou de services à ces personnes concernées dans l'Union ou (…) à l’observation de leur comportement » [xxxv].

 

Vous le voyez, les défis qu’adresse à notre droit la transformation numérique nous invitent à une révolution de nos catégories et paradigmes juridiques. Alors qu’un projet de loi national sur le numérique et une proposition de règlement européen sont à l’étude, cette adaptation doit être menée d’une manière homogène et ambitieuse en Europe, mais aussi d’une manière coopérative avec nos partenaires extra-européens. Son objectif reste cependant clair : il s’agit de mettre davantage les technologies numériques au service des droits fondamentaux des résidents européens. C’est à partir de ce point d’ancrage personnel que doit se déployer le droit du numérique qui est désormais une composante essentielle des droits de l’Homme.

[i] Texte écrit en collaboration avec Stéphane Eustache, conseiller de tribunal administratif et de cour administrative d’appel, chargé de mission auprès du vice-président du Conseil d’État.

[ii] A. Supiot, Grandeur et misère de l’Etat social, leçon inaugurale au Collège de France, prononcée le 29 novembre 2012, p. 23.

[iii] CE 12 mars 2014, Société Pages jaunes groupe, n°353193.

<a href="#_ednref4" title="">[iv] Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

[v]Le numérique et les droits fondamentaux, étude annuelle 2014, éd. La documentation française, 2014, p. 267.

[vi] BVerfGE 65, 1 – Volkszählung, 15 décembre 1983

[vii] CJUE, Grande chambre, 8 avril 2014, Digital Rights Ireland Ltd, C-293/12.

[viii] Directive 2006/24/CE du Parlement européen et du Conseil du 15 mars 2006 sur la conservation de données générées ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, et modifiant la directive 2002/58/CE.

[ix] Voir, en ce qui concerne un site de place de marché : CJUE, Grande chambre, 12 juillet 2011, L’Oréal c/ e-Bay, C-324/09 ; Cour de Cassation, com., 3 mai 2012, e-Bay c/ Société Parfums Christian Dior, n°11-10.508 ; en ce qui concerne un moteur de recherche : CJUE, Grande chambre, 23 mars 2010, Google France Inc. c/ Louis Vuitton Malletier, C-236/08.

[x] CJUE, Grande chambre, 13 mai 2014, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos (AEPD), Mario Costeja González, C-131/12, § 38.

[xi] « l’organisation et l’agrégation des informations publiées sur Internet effectuées par les moteurs de recherche dans le but de faciliter à leurs utilisateurs l’accès à celles-ci peut conduire, lorsque la recherche de ces derniers est effectuée à partir du nom d’une personne physique, à ce que ceux-ci obtiennent par la liste de résultats un aperçu structuré des informations relatives à cette personne trouvables sur Internet leur permettant d’établir un profil plus ou moins détaillé de la personne concernée. », CJUE, Grande chambre, 13 mai 2014, Google Spain précité, § 37.

[xii] A cet égard, la société Google a mis en place un comité consultatif qui vient de publier son rapport sur les conditions de mise en œuvre du droit au déréférencement : https://www.google.com/intl/fr/advisorycouncil/

[xiii] Cour de Cassation, crim., 9 septembre 2008, Giuliano, n°07-87.281.

[xiv] Ordonnance du 22 mai 2000 du juge des référés du tribunal de grande instance de Paris.

[xv] TGI de Paris 6 novembre 2013, Max Mosley c/ Google Inc. et Google France, RG 11/07970.

[xvi] Cour d’appel fédérale du 9e circuit, 23 août 2004 et 12 janvier 2006, LICRA and UEJF vs Yahoo !, n°01-17424.

[xvii]Le numérique et les droits fondamentaux, étude annuelle 2014 du Conseil d’Etat, éd. La documentation française, p. 138.

[xviii] Définies à l’art. 1 du décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.

[xix] Art. 6, II, de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique.

[xx] Art. L. 246-1 du code de la sécurité intérieure, créé par la loi n°2013-1168 du 18 décembre 2013 relative à la programmation militaire pour les années 2014 à 2019 et portant diverses dispositions concernant la défense et la sécurité nationale.

[xxi] Loi n° 2004-575 du 21 juin pour la confiance dans l’économie numérique.

[xxii] A l’exception des Terres australes et antarctiques françaises, voir art. 12 du décret n° 2011-219 du 25 février 2011 relatif à la conservation et à la communication des données permettant d'identifier toute personne ayant contribué à la création d'un contenu mis en ligne.

[xxiii] Voir ordonnance du juge des référés du tribunal de grande instance de Paris, 24 janvier 2013, UEJF et autres c/ Twitter Inc.  et Twitter France.

[xxiv] Art. 3 du règlement (CE) n°593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (dit Rome I).

[xxv] Art. 4, §1, b), du règlement (CE) n°593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (dit Rome I).

[xxvi] Art. 6, § 1, du règlement (CE) n°593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (dit Rome I).

[xxvii] Art. 6, § 2, du règlement (CE) n°593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (dit Rome I).

[xxviii] Art. 17, 1, c), du règlement (UE) n°1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale (refonte). La Cour de justice de l’Union utilise alors un faisceau d’indices pour déterminer si le professionnel « dirige » ses activités vers l’Etat de domiciliation du consommateur, voir CJUE, Grande chambre, 7 décembre 2010, Pammer et Hôtel Alpenhof, C-585/08.

[xxix] Art. 18, 1., du règlement (UE) n°1215/2012 du Parlement européen et du Conseil du 12 décembre 2012 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale (refonte).

[xxx]Le numérique et les droits fondamentaux, étude annuelle 2014 du Conseil d’Etat, éd. La documentation française, p. 140.

[xxxi]Le numérique et les droits fondamentaux, étude annuelle 2014 du Conseil d’Etat, éd. La documentation française, p. 243.

[xxxii] Art. 9 du règlement (CE) n°593/2008 du Parlement européen et du Conseil du 17 juin 2008 sur la loi applicable aux obligations contractuelles (dit Rome I).

[xxxiii] CJUE, Grande chambre, 13 mai 2014, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos (AEPD), Mario Costeja González, C-131/12, § 56 ; la Cour précise, en outre, que « [L’] affichage des résultats [du traitement des données à caractère personnel] étant accompagné, sur la même page, de celui de publicités liées aux termes de recherche, force est de constater que le traitement de données à caractère personnel en question est effectué dans le cadre de l’activité publicitaire et commerciale de l’établissement du responsable du traitement sur le territoire d’un État membre, en l’occurrence le territoire espagnol. », § 57.

[xxxiv] CJUE, Grande chambre, 13 mai 2014, Google Spain SL, Google Inc. c/ Agencia Española de Protección de Datos (AEPD), Mario Costeja González, C-131/12, § 58.

[xxxv] Art. 3, 2, de la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (règlement général sur la protection des données), COM(2012) 11 final.