Introduction

Nous avons le plaisir de vous transmettre le numéro 14 de notre Newsletter Technologie & Innovation consacrée aux actualités législatives et jurisprudentielles du dernier trimestre 2014. Cette Newsletter vous sera périodiquement adressée. Si vous souhaitez que nous diffusions cette Newsletter auprès d'autres membres de votre équipe ou de votre entité, n'hésitez pas à nous en faire la demande par email à l'adresse suivante : carole.guettier@nortonrosefulbright.com. Vous pouvez également vous désinscrire à tout moment à cette même adresse email.

Focus

Les suites de la loi Hamon

Suite à l’adoption, le 17 mars 2014, de la loi n° 2014-344 relative à la consommation, dite « Loi Hamon » (voir notre Newsletter de Janvier-Mars 2014), plusieurs décrets ont été adoptés :

Le décret n°2014-1061, entré en vigueur le 20 septembre 2014, vise à définir les obligations d’information précontractuelle et contractuelle des professionnels.

Ce décret détaille ainsi l’ensemble des informations que les professionnels, les vendeurs de biens et les prestataires de services devront transmettre aux consommateurs, préalablement à la conclusion d’un contrat ou d’un acte de vente quel qu’en soit le lieu de conclusion. Ce décret insère donc un nouvel article R.111-1 dans le Code de la consommation, qui prévoit qu’en complément des informations traditionnellement communiquées, comme leurs nom et adresse, l’ensemble des professionnels devra également communiquer s’il y a lieu, toutes les informations utiles concernant notamment les garanties légales et commerciales, la durée du contrat et les éventuelles interopérabilités des contenus numériques avec d’autres matériels ou logiciels. De plus, le nouvel article R. 111-2 prévoit deux catégories d’informations, à savoir, d’une part, celles que le professionnel devra communiquer au consommateur ou mettre à sa disposition (ex : ses conditions générales) et, d’autre part, celles qu’il devra communiquer au consommateur qui en fait la demande (ex : lorsque le prix n’est pas déterminé au préalable par le professionnel, la méthode de calcul permettant au client de le vérifier).

Le décret prévoit également certaines mesures spécifiques aux contrats conclus à distance ou hors établissement. Ainsi, le décret propose en annexe, un modèle type de formulaire de rétractation et un avis d’information type présentant les informations concernant l’exercice du droit de rétractation, qui devront être joints à tout contrat conclu à distance ou hors établissement.

En outre, faisant suite à la recodification par la loi Hamon des dispositions législatives relatives aux contrats portant sur les services financiers fournis à distance, le décret prévoit que le professionnel sera dorénavant tenu de communiquer « les documents d’information particuliers relatifs aux produits, instruments financiers et services proposés requis par les dispositions législatives et réglementaires en vigueur ou, en l’absence de tels documents, une note d’information sur chacun des produits, instruments financiers et services proposés et indiquant, s’il y a lieu, les risques particuliers qu’ils peuvent comporter ».

Enfin, le décret abroge les dispositions du code de la consommation établissant un seuil à partir duquel le consommateur était en droit de dénoncer le contrat qui le liait à un professionnel lorsque ce dernier n’avait pas respecté son obligation de livraison (article R.114-1 du code de la consommation) et celles fixant les exceptions au principe de prohibition des opérations de ventes avec primes ainsi que la liste des exceptions au principe de prohibition de telles opérations (Décret n° 2014-1061 du 17 septembre 2014 relatif aux obligations d'information précontractuelle et contractuelle des consommateurs et au droit de rétractation).

Lire le Décret n° 2014-1061 du 17 septembre 2014

Le décret n° 2014-1081, entré en vigueur le 1er octobre 2014, vise pour sa part à organiser la procédure d’action de groupe en matière de consommation instaurée par la « Loi Hamon ».

Il donne une compétence de principe au tribunal de grande instance du lieu du domicile du défendeur et précise que lorsque le domicile du défendeur se situe à l’étranger ou que ce dernier n’a ni résidence ni domicile connu, la compétence revient au tribunal de grande instance de Paris.

En sus de ces règles relatives à la compétence territoriale, il précise l’ensemble des modalités à suivre lorsque les associations agréées entendent représenter les intérêts de consommateurs lors d’une action de groupe. Ainsi, l’article R. 423-3 du Code de la consommation prévoit que l’association doit joindre à son assignation une copie de l’arrêté d’agrément et présenter, à peine de nullité, les cas individuels au soutien de son action. De plus, aux fins de représenter en justice les intérêts des consommateurs concernés par l’action de groupe, le décret établit que l’association, sur autorisation du juge, peut se faire assister d’un huissier ou d’un avocat.

Le décret précise que, si le jugement retient la responsabilité du ou des professionnel(s), alors ce jugement fixe les délais dans lesquels les mesures de publicités doivent être effectuées et renvoie à la mise en état pour la suite de la procédure.

Par ailleurs, le décret détaille, selon que l’action de groupe intentée est ordinaire ou simplifiée, les informations que le consommateur est en droit de recevoir et le délai à l’intérieur duquel cette information doit être donnée. Le décret régit également l’ensemble du processus relatif à l’action de groupe de la phase d’adhésion à la phase d’exécution. A titre d’exemple, l’adhésion dispense le consommateur de procéder à des formalités supplémentaires afin de percevoir son indemnisation (Article R. 423-15 du Code de la consommation).

Enfin, le décret prévoit l’obligation pour les associations d’ouvrir à la Caisse des dépôts et consignations le compte à partir duquel seront indemnisés les consommateurs (Décret n° 2014-1081 du 24 septembre 2014 relatif à l'action de groupe en matière de consommation).

Pour information, le 1er octobre dernier, l’association UFC-QUE CHOISIR a publié sur son site internet un communiqué dans lequel elle a annoncé assigner la société FONCIA pour obtenir l’indemnisation des 318 000 locataires ayant, selon elle, payé indûment le « service d’avis d’échéance ».

Lire le décret n° 2014-1081 du 24 septembre 2014 relatif à l'action de groupe en matière de consommation.

Lire le communiqué de presse de l'association UFC-QUE CHOISIR

Droit de l’informatique

Cloud Computing : Publication des lignes directrices pour la normalisation des accords de niveau de service dans le domaine de l’informatique dans les nuages

« La mise en œuvre intégrale […] [d’une] stratégie numérique actualisée entraînerait une hausse du PIB européen de 5% (…) au cours des huit prochaines années ». C’est sur la base de ce constat, que le 18 décembre 2012, la Commission européenne a adopté sept nouvelles priorités pour l’économie et la société numériques, au rang desquelles figure le « coup d’accélérateur à l’informatique en nuage ». C’est donc dans cette perspective, qu’en 2013, a été créé le « Cloud Select Industry Group » ou « C-SIG ».

C’est plus particulièrement le C-SIG-SLA (C-SIG-Subgroup on Service Level Agreement), lequel regroupe plusieurs acteurs du secteur de l’informatique en nuage (IBM, Accenture, Google, Amazon, Orange, PWC, etc.), qui a rédigé les lignes directrices pour la normalisation des accords de niveau de service dans le domaine de l’informatique dans les nuages. Ces lignes directrices sont destinées à aider « les utilisateurs professionnels de l’informatique en nuage à vérifier que certains éléments essentiels » (exemple : la performance du service informatique, la sécurité ou la gestion des données à caractère personnel), « figurent en termes clairs dans les contrats qu’ils concluent avec les fournisseurs de services d’informatique en nuage».

C-SIG-SLA recense certains critères de qualité essentiels et, précise les Services Level Objectives (« SLO ») appropriés. A titre d’exemple, s’agissant de la performance des services de cloud computing, le C-SIG-SLA liste comme critères : la disponibilité, le temps de réponse, l’assistance, la réversibilité, etc. Concernant le temps de réponse, les lignes directrices listent comme SLO, le temps moyen de réponse et le temps maximum de réponse, pour lesquels elles donnent une brève description.

Ces lignes directrices constituent donc une nouvelle étape d’une stratégie dont l’objectif est de développer des critères d’évaluation en matière de contrats informatiques dans les nuages. En effet, le C-SIG a également préparé un projet de code de conduite des fournisseurs d’informatique dans les nuages en matière de protection des données à caractère personnel, qui a été présenté au groupe de travail de l’article 29. En outre, le C-SIG collabore avec le groupe de travail de l’ISO sur l’informatique en nuage en vue de présenter une position européenne sur la question de la normalisation des SLA (Lignes directrices pour la normalisation des accords de niveau de service dans le domaine de l’informatique dans les nuages).

Lire les lignes directrices pour la normalisation des accords de niveau de service dans le domaine de l’informatique dans les nuages (version anglaise)

Obligation d’information incombant aux prestataires : rappel de la Cour de cassation

L’association CRESS et la SCP Cubic ont confié par contrat à la société Risc Group, la fourniture en location d’un matériel informatique et l’accès à un service collaboratif et de sécurité informatique, ainsi que la location du matériel fourni. Après la livraison, les clients, se plaignant de dysfonctionnements persistants du processus de sauvegarde des données, ont assigné Risc Gray afin d’obtenir la résolution du contrat et le paiement de diverses sommes.

La Cour d’appel d’Aix-en-Provence, confirmant le jugement de première instance, a débouté de leurs demandes les clients au motif que Risc Gray leur avait proposé une solution alternative et que les clients ne rapportaient pas la preuve d’un manquement de leur prestataire suffisamment grave pour justifier la résolution du contrat.

Toutefois, la Cour de cassation a rappelé que le prestataire est tenu envers ses clients profanes d’un devoir d’information et de conseil. Ainsi, la Cour de cassation a retenu que si, en vertu de leur contrat, les clients devaient déterminer la configuration de l’installation et se doter des équipements nécessaires, ils devaient, pour cela, recevoir une « information circonstanciée et personnalisée », ce qu’il incombait au prestataire de prouver. Elle a donc cassé l’arrêt rendu par la Cour d’appel (Cour de cassation, 1ère chambre civile, Association de Ressources de l’économie sociale et solidaire (CRESS) / SA Risc Group, 2 juillet 2014).

Lire l'arrêt de la Cour de cassation du 2 juillet 2014

Publication de l’Avis relatif au vocabulaire de l'informatique et de l'internet

La Commission spécialisée de terminologie et de néologie de l’informatique et des composants électroniques a publié, le 16 septembre 2014, un nouvel avis intitulé « Vocabulaire de l'informatique et de l'internet (liste de termes, expressions et définitions adoptés) » dans lequel elle attribue à certains termes anglais utilisés dans le domaine de l’informatique, tout en les définissant, un équivalent français.

Ce dernier avis comporte 13 nouveaux termes par rapport au dernier avis publié en 2013 et met à jour certaines expressions et définitions devenues désuètes. A titre d’exemple, la Commission a pris acte du fait que l’équivalent français du terme « blog » ne saurait être défini par le terme « bloc-notes » tel que précédemment énoncé dans l’avis publié en 2005 et a consacré le terme « blogue ».

Cette liste n’a de valeur normative que pour les agents des services et des établissements publics de l'Etat, qui doivent impérativement utiliser les termes et expressions publiés dans le Journal officiel conformément aux dispositions du décret n°96-602 du 3 juillet 1996 relatif à l'enrichissement de la langue française. Ainsi, ces derniers seront tenus d’utiliser le nouveau terme consacré d’ « arrière-guichet » équivalent du terme «back office » ou le terme « imagette » équivalent du terme « thumbnail » (Avis - Vocabulaire de l'informatique et de l'internet (liste de termes, expressions et définitions adoptés), JORF n°0214 du 16 septembre 2014, page 15186 ).

Lire l’Avis publié dans le JORF n°0214 du 16 septembre 2014

Signature électronique : Adoption du Règlement eIDAS

Le 23 juillet 2014, a été adopté le Règlement n°910/2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, également connu sous le sigle « eIDAS » (« electronic identification and trust services »).

L’objectif de ce Règlement, « obligatoire dans tous ses éléments et […] directement applicable dans tout État membre », est de « susciter une confiance accrue dans les transactions électroniques au sein du marché intérieur en fournissant un socle commun pour des interactions électroniques sécurisées entre les citoyens, les entreprises et les autorités ». Il abrogera donc, à partir du 1er juillet 2016, la directive 1999/93/CE relative aux signatures électroniques.

Le Règlement instaure un cadre harmonisé sur le marché unique et met en place « un système de reconnaissance mutuelle des moyens d’identification électronique ». Selon ce principe, les différents Etats membres devront reconnaître les moyens d’identification électronique des autres Etats membres afin de faciliter « la fourniture transfrontalière de nombreux services dans le marché intérieur ». Néanmoins, ce principe de reconnaissance mutuelle n’est pas absolu puisqu’il est soumis à des exigences fortes de sécurité et est notamment subordonné au fait que « le schéma d’identification électronique de l’État membre notifiant [remplisse] les conditions de notification » prévues par le Règlement.

Le Règlement crée un cadre juridique pour les services de signatures électroniques, de cachets électroniques (i.e. ensemble de données électroniques permettant de garantir l’intégrité d’un document émis par une personne morale), d’horodatages électroniques (i.e. ensemble de données électroniques permettant d’attester de l’existence d’un document à un instant donné), de documents électroniques, d’envois recommandés électroniques et de certificats pour l’authentification de sites internet. En particulier, le Règlement améliore les dispositions contenues dans la directive 1999/93/CE relative à la signature électronique, en précisant que l’effet juridique d’une signature électronique qualifiée a la même valeur que la signature manuscrite. Par conséquent, lorsque la signature qualifiée reposera sur un certificat qualifié délivré par un Etat membre, cette dernière devra être reconnue par l’ensemble des Etats membres et aura valeur de preuve en justice.

Par ailleurs, le Règlement définit les obligations applicables aux prestataires de services de confiance (les « PSCE »). Il met de surcroît à la charge des Etats membres la création d’un organe de contrôle, dont l’une des missions sera de contrôler les PSCE ayant obtenu de sa part le statut « qualifiés ». Par ailleurs, les Etats membres devront établir, tenir à jour et publier les listes qui répertorieront les PSCE qualifiés ainsi qu’une liste des services qualifiés que ces derniers fournissent.

A noter que si ce Règlement est entré en vigueur le 17 septembre 2014, de nombreuses dispositions ne seront applicables qu’à compter du 1er juillet 2016 (Règlement No 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE).

Lire le Règlement No 910/2014 du Parlement européen et du Conseil du 23 juillet 2014

Droit des télécoms

ARCEP : Ouverture de 19 procédures à l’encontre de 11 opérateurs des marchés fixe et mobile et mise en demeure de 3 opérateurs ultramarins

Les 9, 11 et 23 septembre 2014, l’ARCEP s’est réunie en formation de règlement des différends, de poursuite et d’instruction (RDPI) et, a décidé de l’ouverture de 19 procédures d’instruction portant notamment sur le déploiement des services mobiles, tout particulièrement dans les zones les moins denses du territoire.

A ce jour, l’instruction a déjà permis à l’ARCEP de constater que parmi les onze opérateurs visés, trois opérateurs ultramarins (Guadeloupe Téléphone Mobile, Martinique Téléphone Mobile et Guyane Téléphone Mobile) n’ont pas déployé de 2G ou 3G en vue de fournir des services mobiles, contrevenant ainsi aux décisions de l’ARCEP.

En effet, en 2008, l’ARCEP avait autorisé ces trois opérateurs à utiliser des fréquences pour établir et exploiter un réseau mobile de deuxième et troisième génération. En 2011, ces opérateurs n’avaient toujours pas respecté le calendrier de déploiement en vue d’offrir des services 2G et 3G prévus dans ces autorisations et avaient été mis en demeure. Ces mises en demeure étant restées sans effet, l’ARCEP avait ouvert en avril 2014 des enquêtes administratives visant chacun de ces trois opérateurs. C’est au regard des éléments recueillis au cours de ces enquêtes que l’ARCEP avait ouvert les procédures d’instruction qui ont donné lieu aux décisions prononcées le 7 octobre 2014.

L’ARCEP a effectivement mis en demeure les sociétés Guadeloupe Téléphone Mobile, Martinique Téléphone Mobile et Guyane Téléphone Mobile de justifier d’ici le 15 janvier 2015 du paiement des redevances d’utilisation des fréquences en fournissant tous les justificatifs nécessaires à cette fin. En outre, ces trois opérateurs sont mis en demeure de respecter leurs obligations de couverture de la population pour la couverture de la population et la fourniture des services mobiles 2G et/ou 3G au plus tard le 15 janvier 2016. Par ailleurs, l’ARCEP a prévu pour chacun des opérateurs, deux étapes intermédiaires de déploiement, les 15 janvier et 15 avril 2015 (Décisions n°2014-1135-RDPI portant mise en demeure de la société Guadeloupe Téléphone Mobile, Décision n°2014-1136-RDPI portant mise en demeure de la société Martinique Téléphone Mobile et Décision n°2014-1137-RDPI portant mise en demeure de la société Guyane Téléphone Mobile) .

Lire le communiqué de presse de l'ARCEP du 24 septembre 2014

Lire la décision de l'ARCEP du 7 octobre 2014 (Guadeloupe Téléphone Mobile)

Lire la décision de l'ARCEP du 7 octobre 2014 (Martinique Téléphone Mobile)

Lire la décision de l'ARCEP du 7 octobre 2014 (Guyane Téléphone Mobile)

Télécommunications : la Commission européenne réduit le nombre de marchés soumis à réglementation

Le 9 octobre 2014, la Commission européenne a décidé que le marché de détail de l’accès au réseau téléphonique fixe et le marché de gros du départ d’appel fixe ne seraient plus soumis à réglementation. Elle a effectivement constaté (i) que le recours par les consommateurs à des solutions alternatives telles que la téléphonie sur IP, la téléphonie mobile et le recours à des services de fournisseurs tiers avait pour effet de baisser le volume des appels fixes et (ii) que la concurrence dans le secteur de la téléphonie fixe s’était diversifiée.

Par ailleurs, la Commission européenne a recentré ses efforts sur certains secteurs pour lesquels les barrières à l’entrée restent importantes. Elle a ainsi redéfini deux marchés du haut débit qui restent soumis à une réglementation, même si la Commission européenne a précisé que les contraintes réglementaires devaient être limitées à ce qui était strictement nécessaire.

L’ensemble de ces nouvelles dispositions est immédiatement applicable (Recommandation de la Commission du 9 octobre 2014 concernant les marchés pertinents de produits et de services dans le secteur des communications électroniques susceptibles d'être soumis à une réglementation ex ante conformément à la directive 2002/21/CE du Parlement européen et du Conseil relative à un cadre réglementaire commun pour les réseaux et services de communications électroniques).

Il est à noter qu’en France, l’ARCEP avait anticipé cette décision notamment par l’adoption, le 30 septembre 2014, d’une décision amorçant une dérégulation des marchés de la téléphonie fixe (Décision n°2014-1102 du 30 septembre 2014 portant sur la définition des marchés pertinents de l’accès au service téléphonique et du départ d’appel en position déterminée, la désignation d’opérateurs exerçant une influence significative sur ces marchés et les obligations imposées à ce titre).

Lire la Recommandation de la Commission européenne du 9 octobre 2014 et  la décision de l'ARCEP du 30 septembre 2014

A suivre : Dépôt au Sénat d’une proposition de loi visant à inclure la téléphonie mobile dans le service universel

Le Sénateur Maurey considère que le taux de couverture officiel ne reflète pas la réalité vécue par les citoyens français et le retour des élus français. En effet, selon lui, les taux de couverture sont faussés, notamment car le critère utilisé pour en rendre compte, lequel considère comme couverte toute commune dont le centre-bourg est desservi, est inadéquat. En outre, Monsieur Maurey, au vu du nombre de citoyens détenant une carte SIM, estime que la téléphonie mobile est une commodité essentielle au même titre que l’eau ou l’électricité.

Aussi, dans la mesure où selon Monsieur Maurey, « le risque d’une nouvelle fracture numérique est avéré créant un peu plus l’écart entre des zones urbaines hyper connectées et des zones rurales réduites au rang de « désert numérique » », il a déposé une proposition de loi visant à inclure l’accès à la téléphonie mobile dans le service universel en modifiant en ce sens l’article L.35-1 du Code des postes et des communications électroniques (Proposition de loi du 15 septembre 2014 visant à inclure la téléphonie mobile dans le service universel, n°800).

Lire la proposition de loi du 15 septembre 2014

Internet et E-Commerce

Blocage de sites financiers illégaux par les FAI

L’Autorité des Marchés Financiers (AMF) a constaté que des services sur instruments financiers étaient proposés au public via deux sites internet dont les opérateurs n’avaient reçu aucun agrément à cet effet en France ou dans leur Etat d’origine.

La lettre de mise en demeure envoyée par l’AMF ayant été ignorée par l’opérateur des sites litigieux, cette dernière a averti les hébergeurs desdits sites afin que toutes les mesures appropriées soient prises pour empêcher l’accès au contenu litigieux à partir du territoire français. Bien que l’un des hébergeurs ait procédé à la suspension demandée dans la lettre de mise en demeure, l’AMF a néanmoins assigné les deux hébergeurs ainsi que les principaux Fournisseurs d’Accès à Internet (FAI) français afin que ces derniers puissent prendre toutes mesures de blocage appropriées des sites en cause.

Dans son ordonnance de référé du 22 septembre 2014, le Président du tribunal de grande instance de Paris a rappelé qu’au titre de l’article 6- I.-8 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN), lorsqu’il agissait en référé, il pouvait prescrire « à toute personne mentionnée au 2 [les prestataires d’hébergement] ou, à défaut, à toute personne mentionnée au 1 [les fournisseurs d’accès], toutes mesures propres à prévenir un dommage ou à faire cesser un dommage occasionné par le contenu d’un service de communication au public en ligne ».

C’est à ce titre qu’il a enjoint les hébergeurs de mettre en œuvre ou de faire mettre en œuvre toute mesure propre à empêcher l’accès, à partir du territoire français, au contenu du service de communication en ligne accessible à partir de l’adresse litigieuse, et ce dans un délai de huit jours à compter de la signification de l’ordonnance. De plus, le juge a assorti sa décision d’une astreinte de 10.000 € par jour de retard en cas de non-respect de cette ordonnance, uniquement à l’encontre de l’hébergeur qui ne s’était pas conformé à la lettre de mise en demeure.

Enfin, en cas d’inexécution par les hébergeurs de leurs obligations, le Président du tribunal de grande instance de Paris a enjoint les FAI de mettre en œuvre toutes les mesures appropriées de blocage afin d’empêcher l’accès aux deux sites depuis le territoire français (Tribunal de grande instance de Paris, Ordonnance de référé, Président de l’Autorité des marchés financiers en la personne de Gérard Rameix c/ S.A. NC Numericable, S.A. Orange et autres, 22 septembre 2014).

Lire l’ordonnance de référé du 22 septembre 2014

Financement participatif : Entrée en vigueur de la règlementation le 1er octobre 2014

A la suite de l’adoption, le 30 mai 2014, de l’ordonnance n°2014-559 relative au financement participatif, son décret d’application a été adopté le 16 septembre. Ces deux textes sont entrés en vigueur le 1er octobre dernier (Ordonnance n°2014-559 du 30 mai 2014 relative au financement participatif, JORF n°0125 du 31 mai 2014, page 9075 et Décret n°2014-1053 du 16 septembre 2014 relatif au financement participatif, JORF n°0215 du 17 septembre 2014, page 15228).

Le cadre règlementaire, visant à faciliter le développement de ce type de financement, distingue le financement participatif sous forme de titres financiers, du financement participatif sous forme de prêts ou de dons. En outre, de nouveaux statuts sont créés en référence à chacune des formes de financement participatif, à savoir notamment celui de Conseiller en Investissement Participatif (CIP) et celui d’Intermédiaire en Financement Participatif (IFP).

Les CIP sont définis à l’article L.547-1 du Code monétaire et financier (CMF) comme « les personnes morales exerçant à titre de profession habituelle une activité de conseil en investissement […] portant sur des offres de titres de capital et de titres de créances […]. Cette activité est menée au moyen d’un site internet remplissant les caractéristiques fixées par le règlement général de l’Autorité des Marchés Financiers ». Le rôle de l’IFP consiste quant à lui, aux termes de l’article L.548-1 du CMF, à « mettre en relation, au moyen d’un site internet, les porteurs d’un projet déterminé et les personnes finançant ce projet ».

Par ailleurs, la nouvelle règlementation soumet l’accès et l’exercice des activités de CIP et d’IFP à un certain nombre de conditions, telle que la compétence professionnelle. Est également imposé aux CIP et aux IFP, le respect de règles de bonnes conduites.

En particulier, selon la nature du financement proposé, les plates-formes de financement participatif doivent ou non justifier d’un statut règlementé pour l’exercice de leur activité. Ainsi, une plate-forme de financement participatif par souscription de titres financiers émis par une société non cotée doit être immatriculée au registre de l’Organisme pour le Registre des Intermédiaires en Assurance (ORIAS) en tant que CIP. Une plate-forme de financement participatif sous la forme d’un prêt avec ou sans intérêt doit également être immatriculée au registre de l’ORIAS mais en tant qu’IFP. Enfin, le site internet qui propose uniquement des financements sous forme de dons n’a pas l’obligation de s’immatriculer au registre de l’ORIAS mais peut choisir de s’immatriculer en tant qu’IFP.

Lire l'Ordonnance du 30 mai 2014 et le Décret du 16 septembre 2014

Publication de la Recommandation de la Commission des clauses abusives relative aux contrats proposés par les fournisseurs de réseaux sociaux.

Dans sa Recommandation n°2014-02 du 7 novembre 2014, la Commission des clauses abusives s’est intéressée aux contrats proposés par les fournisseurs de réseaux sociaux, pour lesquels elle a déclaré abusives un nombre important de clauses (Recommandation n°2014-02 du 7 novembre 2014 relative aux contrats proposés par les fournisseurs de services de réseaux sociaux).

Les 46 recommandations adoptées par la Commission ne concernent toutefois pas uniquement les contrats proposés par les fournisseurs de réseaux sociaux. C’est notamment le cas des clauses ayant pour effet de ne proposer au consommateur qu’un contrat en langue étrangère, d’exclure toute responsabilité du professionnel, ou d’entraver l’exercice de l’action en justice du consommateur ou du non-professionnel. On notera, sur ce point, que la Commission aligne sa Recommandation sur la loi du 17 mars 2014 relative à la consommation, dite « loi Hamon », en considérant comme abusives les clauses interdisant « au consommateur ou non-professionnel de participer à une action de groupe ».

S’agissant des clauses propres aux contrats proposés par les fournisseurs de réseaux sociaux, la Commission a jugé abusives les clauses affirmant que les services de réseautage sont gratuits. En outre, une part importante des recommandations concerne la protection des données à caractère personnel. Ainsi, la Commission rappelle l’importance du respect des dispositions de la loi Informatique et Liberté du 6 janvier 1978 modifiée, en précisant que sont abusives les clauses ayant pour objet : « de prévoir, sans respecter les dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, un consentement implicite au traitement par le professionnel des données à caractère personnel des consommateurs et des non-professionnels ». En outre, la Commission rappelle l’importance d’une conservation des données personnelles pour une durée n’excédant pas ce qui est nécessaire à la finalité du traitement, ainsi que de l’information et du consentement des consommateurs et des non-professionnels en cas de transferts de leurs données ou de traitement de données sensibles, etc.

Lire la recommandation de la Commission des clauses abusives du 7 novembre 2014

Non-respect des Conditions Générales d’Utilisation d’un site : la responsabilité de l’internaute peut être engagée

En 2008, un internaute s’était inscrit, sous le pseudonyme « Romeo54 », sur le site Internet ON VA SORTIR (« OVS ») exploité par la société Netuneed. La société Netuneed ayant procédé à la suppression de son accès au site OVS, cet internaute a assigné cette dernière devant le tribunal d’instance de Nancy afin d’obtenir la réactivation, sous astreinte, de son pseudonyme et le paiement des dommages et intérêts en réparation du préjudice subi du fait de cette suppression.

Devant les juges du fond, l’internaute a soutenu que la mesure prise par la société Netuneed a nui à son image et à son intégrité et, a ainsi causé un préjudice à l’activité d’animation de soirées qu’il entendait développer, sous le statut d’autoentrepreneur. Par ailleurs, il a indiqué méconnaître les raisons de cette prise de décision puisqu’il a respecté l’ensemble des Conditions Générales d’Utilisation (« CGU »).

En défense, la société Netuneed a soutenu que les manquements de l’internaute aux CGU ont justifié la suppression de son compte. En effet, l’article 4 stipule clairement que l’utilisateur « s’engage à n’avoir et à n’utiliser qu’un seul compte Membre particulier et/ou Pro Gratuit (…) et que l’ouverture d’un compte Membre particulier n’est autorisée et gratuite que pour les personnes physiques majeures [. . .] et non professionnelles ». Or, la société Netuneed a constaté que l’internaute avait créé, à partir de la même adresse IP, 13 comptes membres dont un compte professionnel. La société Netuneed a donc invoqué les dispositions de l’article 2 des CGU en vertu desquelles « la société Netuneed a toute latitude pour prendre la décision adéquate (suppression des données, blocage, bannissement) ».

Dans son jugement du 5 septembre 2014, le tribunal d’instance a confirmé l’applicabilité des CGU au visa de l’article 1134 al. 1er du Code civil et a donc considéré comme bien fondée la mesure prise par la société Netuneed dans la mesure où « la suppression du compte membre […] était la conséquence logique de ses manquements aux articles 4 et 6 des Conditions Générales d’Utilisation, en application de l’article 2 du même texte ».

En outre, le tribunal a fait droit à la demande reconventionnelle de dommages et intérêts pour procédure abusive formulée par la société Netuneed considérant que cette dernière a correctement rapporté la preuve de la mauvaise foi et de l’intention de nuire de cet internaute (Tribunal d’instance de Nancy, Monsieur C./ Sté Netuneed, 5 septembre 2014).

Lire la décision du Tribunal d'instance de Nancy du 5 septembre 2014

Absence de mentions légales sur un site internet : condamnation de deux éditeurs pour non-respect de la loi pour la confiance dans l’économie numérique

Après avoir constaté, en 2011, la présence sur le site internet « www.notetonentreprise.com », d’un commentaire dénigrant à son égard, la société STEF-TFE a obtenu sur requête que l’éditeur lui communique « toutes données permettant l’identification de la personne ayant mis en ligne le commentaire litigieux ». Cependant, faute de mentions légales sur le site, la société STEF-TFE a été dans l’impossibilité de contacter l’éditeur et l’ordonnance est donc restée sans suite. La société STEF-TFE a donc demandé à l’hébergeur du site, qui a répondu favorablement, de procéder à la suppression du commentaire litigieux. La société STEF-TFE a néanmoins également porté plainte auprès du procureur de la République pour « site internet non-conforme, défaut de mentions légales et pour défaut de réponse par l’éditeur du site à la demande d’une autorité judiciaire ».

Une enquête diligentée a permis l’identification de deux individus, un père et son fils. Le fils aurait revendu à une société hongkongaise le site litigieux quelques semaines après l’avoir acquis. Toutefois, les constatations effectuées ont permis de mettre en évidence que les revenus des publicités affichées sur le site internet litigieux étaient reversées sur le compte de la société détenue par le père.

Par conséquent, le tribunal de grande instance de Paris a conclu que le père et le fils, par l’intermédiaire de leurs sociétés, administraient de fait le site « notetonentreprise.com », et percevaient chacun des revenus issus de la publicité diffusée sur ce site. Ainsi, identifiés comme étant les éditeurs du site litigieux, le père et le fils ont été reconnus coupables du délit prévu et réprimé à l’article 6.III-1 et VI-2 de la loi du 21 juin 2004 pour la confiance dans l’économie numérique. Par conséquent, ils ont été condamnés au paiement d’une amende de 6.000 € et à la somme de 1€ à la société STEF-TFE au titre des dommages et intérêts « pour avoir omis de mettre à la disposition du public, dans un standard ouvert, les données d’identification de l’éditeur, du directeur de la publication et de l’hébergeur du site » (Tribunal de grande instance de Paris, 17e chambre correctionnelle, Ministère Public et Sté STEF-TFE (Partie civile) / Olivier G. et Jean-Claude G., 11 juillet 2014).

Lire la décision du Tribunal de grande instance de Paris du 11 juillet 2014

Entente de principe entre le Canada et l’Union européenne : l’Accord Economique et Commercial Global s’applique au commerce électronique.

Stephen Harper, José Manuel Barroso, et Herman Van Rompuy ont présenté en septembre dernier, lors du sommet entre le Canada et l’Union européenne, le texte consolidé de l’accord de principe relatif à l’Accord Economique et Commercial Global (AECG).

Cet accord porte sur plusieurs thèmes tels que la protection des investissements, les marchés publics, la mobilité de la main-d'œuvre, et parmi ces derniers, une partie conséquente de cet accord est réservée au commerce électronique et la propriété intellectuelle.

Les parties conviennent également qu’aux fins d’assurer la protection des données à caractère personnel des utilisateurs du service de commerce électronique, il est nécessaire d’adopter des lois, des règlements et/ou des mesures administratives respectant les normes internationales relatives à la protection des données à caractère personnel. Cependant, à ce jour, cet accord n’a aucune valeur contraignante puisque la version définitive n’a pas encore été ratifiée par l’ensemble des provinces canadiennes et des États de l’Union européenne concernés. (Accord économique et commercial global entre le Canada et l’Union européenne du 18 octobre 2013).

Lire la version consolidée de l’Accord économique et commercial global entre le Canada et l’Union européenne du 18 octobre 2013

Droit de la propriété intellectuelle

INPI : Nouvelles dispositions applicables à la réutilisation des informations publiques issues de ses bases de données

Le décret n° 2014-917 du 19 août 2014, qui est entré en vigueur le 1er octobre dernier, définit les conditions de mise à disposition du public, aux fins de réutilisation, d’informations publiques issues des bases de données de l'INPI concernant les titres de propriété industrielle tels que les brevets, les marques, les dessins ou les modèles.

Ce décret insère dans le Code de la propriété intellectuelle, l’article D. 411-1-3 qui prévoit que cette réutilisation des informations publiques est soumise à l’acceptation d'une licence gratuite, aux termes de laquelle le licencié s’engage à ne pas faire un usage des données à caractère personnel qui serait contraire aux dispositions de la loi n° 78-753 du 17 juillet 1978 portant diverses mesures d'amélioration des relations entre l'administration et le public et diverses dispositions d'ordre administratif, social et fiscal. Pour mémoire, cette loi prévoit effectivement que « la réutilisation d’informations publiques comportant des données à caractère personnel est subordonnée au respect des dispositions de la loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ».

La description des informations publiques mises à la disposition du public ainsi que le modèle de licence seront accessibles sur le site internet de l'INPI (Décret n° 2014-917 du 19 août 2014 relatif à la mise à disposition du public, pour un usage de réutilisation, d'informations publiques issues des bases de données de l'Institut national de la propriété industrielle).

Lire le Décret n° 2014-917 du 19 août 2014

Droit commercial

Rupture brutale totale des relations commerciales : rappel sur la procédure et les différents fondements juridiques possibles

En 2007, la Société Européenne de Production de Plein Air (SEPPA) a conclu un contrat d'approvisionnement et de distribution avec la société Ovalis, par lequel SEPPA lui concédait le droit de vendre diverses catégories d’œufs à la grande distribution. Le 26 janvier 2011, OVALIS a dénoncé ce contrat avec un préavis de six mois comme prévu contractuellement. Toutefois, ayant constaté une baisse du volume des commandes dès la date de dénonciation du contrat, et considérant donc qu’Ovalis n’avait pas respecté la période de préavis, SEPPA a assigné cette dernière en paiement de diverses sommes.

Devant la Cour d’appel de Versailles, SEPPA a demandé réparation de son préjudice en se fondant sur les dispositions de l’article L.442-6 du Code de commerce relatif à la rupture brutale des relations commerciales établies et, de l’article 1134 du Code civil. La Cour d’appel de Versailles s’est toutefois déclarée incompétente pour statuer sur le fondement de l’article L.442-6 du Code de commerce, cet article attribuant une compétence extraordinaire et exclusive à la Cour d’appel de Paris. En revanche, elle s’est déclarée compétente pour statuer sur les demandes fondées sur les dispositions de l'article 1134 du Code civil.

Considérant qu’en statuant ainsi, la Cour d’appel avait méconnu les dispositions du Code de commerce, Ovalis a formé un pourvoi devant la Cour de cassation.

Dans son arrêt du 7 octobre 2014, la Cour de cassation a considéré que c’est à bon droit que la Cour d’appel de Versailles s’était déclarée compétente puisque SEPPA avait fondé ses prétentions en appel sur « l'article 1134 du code civil, (..), mais également sur les dispositions de l'article L.442-6, I, 5 du Code de commerce ». En outre, la Cour de cassation a également confirmé l’allocation de dommages et intérêts, suivant l’appréciation stricte qui avait été effectuée par la Cour d’appel sur le non-respect du préavis (Cour de Cassation, Chambre commerciale, 7 octobre 2014, Société Européenne de Production de Plein Air (SEPPA) / Sté Ovalis, N°13-21.086).

Lire l'arrêt de la Cour de cassation du 7 octobre 2014

Point d’avancement sur la réforme du droit des contrats

Pour mémoire, ce texte avait été de nouveau transmis à l’Assemblée nationale, le 14 mai 2014 (voir notre Newsletter des mois d'avril et mai 2014).

Le 30 octobre dernier, l’Assemblée nationale a, en nouvelle lecture, adopté ce projet de loi. En particulier, cette nouvelle version du texte autorise toujours le gouvernement à réformer par voie d’ordonnance, le droit commun des contrats, le droit de la preuve et le régime des obligations. Il s’agissait pour mémoire d’un point bloquant pour les sénateurs pour qui l’importance de cette réforme interdisait de l’opérer par voie d’ordonnance.

A noter qu’à l’occasion de cette nouvelle lecture, les députés ont apporté quelques modifications aux dispositions du projet de loi.

Le texte adopté par l’Assemblée nationale a été transmis au Sénat, le 31 octobre 2014, et sera examiné en séance publique le 22 janvier 2015.

Lire le projet de loi adopté par l'Assemblée nationale le 30 octobre 2014

Droit des données à caractère personnel

Droit au déréférencement : enfin des lignes directrices

Le 13 mai 2014, la Cour de Justice de l’Union Européenne a rendu une importante décision à l’encontre de la société Google, que nous avions commentée dans notre Newsletter des mois d’avril et mai 2014 (CJUE, 13 mai 2014, n° C 131/12, Google Spain SL et Google Inc. c/ Agencia Española de Protección de Datos (AEPD) et Mario Costeja González) (voir notre Newsletter Avril-Mai 2014).

A la suite de cette décision, les autorités européennes de protection des données réunies au sein du Groupe de travail de l’article 29 ont publié, le 26 novembre dernier, des lignes directrices afin d’« assurer une application harmonisée de l’arrêt de la CJUE », que la CNIL a repris sous forme de questions/réponses.

Droit au déréférencement : liste des critères d’examen des demandesA titre introductif, la CNIL rappelle que :

  • la liste de critères est un outil de travail flexible destiné aux autorités de protection des données et, n’est donc pas exhaustive ;
  • l’examen des demandes doit s’effectuer au cas par cas et au regard du cadre légal de chaque pays ;
  • dans la plupart des cas, les critères doivent être combinés les uns avec les autres. De plus, aucun des critères n’est à lui seul déterminant ;
  • chaque critère s’applique dans le respect des principes dégagés par la CJUE et en particulier à la lumière de « l’intérêt public à accéder à l’information ».

En outre, la CNIL reprend les critères identifiés par le G29 et que la CNIL, en tant qu’autorité de protection, doit s’attacher à analyser lorsqu’elle se prononce sur une demande de déréférencement. Ces critères sont notamment :

  • la qualité du plaignant (par exemple, si ce dernier est un mineur ou une personne publique) ;
  • l’exactitude, la pertinence et la portée des données ;
  • les caractéristiques de l’information (par exemple, si l’information est à jour ou si elle est sensible au sens de l’article 8 de la Directive 95/46/CE) ;
  • la teneur de la publication (tout particulièrement si elle est relative à une infraction pénale).

Dans son approche pédagogique, la CNIL accompagne chaque critère d’une définition et donne des exemples de saisine.

Droit au déréférencement : Interprétation commune de l’arrêt de la CJUE

En 9 questions-réponses, la CNIL reprend l’interprétation commune de l’arrêt de la CJUE du 13 mai 2014, et rappelle notamment :

  • ce qu’est le déréférencement et rappelle que le déréférencement n’entraîne pas la suppression du contenu original, qui reste accessible en utilisant d’autres mots clés de recherche ;
  • les précisions de la CJUE dans sa décision du 13 mai 2014, s’agissant du respect de la liberté d’expression et du droit à l’information. Ainsi, la CNIL précise qu’il lui appartiendra de « tenir compte de l’intérêt du public à avoir accès à l’information ainsi que des circonstances de l’espèce (rôle de la personne concernée, nature de l’information, …) pour demander ou non au moteur de recherche de revenir sur sa décision de refus de déréférencement ;
  • que pour exercer son droit au référencement, chaque personne doit dans un premier temps contacter les moteurs de recherche, et ce n’est qu’en cas de refus, qu’elle pourra dans un second temps saisir la CNIL ;
  • que pour assurer l’effectivité du droit au déréférencement tel que reconnu par la CJUE, le déréférencement devra être effectif dans toutes les extensions pertinentes y compris le .com ;
  • que les moteurs de recherche n’ont pas pour obligation d’informer du déréférencement le site à l’origine de la diffusion du contenu mais qu’ils peuvent être amenés à les contacter pour prendre leur décision.

Lire le guide publié par le Groupe de l'article 29 du 26 Novembre 2014

Lire le Droit au référencement : Liste des critères d'examen des demandes et Interprétation commune de l’arrêt de la CJUE

Prospection commerciale : Nouvelle mise en demeure de la société PRISMA MEDIA

En juillet 2012, la CNIL avait prononcé une mise en demeure à l’encontre de la société PRISMA MEDIA pour le traitement de données relatives aux prospects non conforme aux dispositions de la loi du 6 janvier 1978 modifiée. Au regard des éléments fournis par la société PRISMA MEDIA dans son courrier adressé deux mois plus tard, la CNIL avait clôturé la procédure au début de l’année 2013.

Au mois de mars 2014, la CNIL a diligenté une nouvelle mission de contrôle au sein des locaux de la société PRISMA MEDIA, qui a révélé un certain nombre de manquements.

En effet, ce contrôle a permis à la CNIL de constater que les mentions d’information, notamment celles figurant sur les formulaires d’inscription, étaient incomplètes au regard des exigences de l’article 32 de la loi du 6 janvier 1978 modifiée. De plus, dans la mesure où la liste exhaustive des lettres d’information auxquelles les personnes s’inscrivent n’est pas mentionnée, le consentement libre et spécifique de ces personnes ne pouvait être considéré comme recueilli préalablement au traitement de leurs données. Par ailleurs, le droit d’opposition des personnes concernées n’était pas garanti et la société PRISMA MEDIA conservait certaines données pour une durée excédant celle prescrite dans la Norme Simplifiée n°48 à laquelle cette dernière a pourtant adressé un engagement de conformité.

En outre, s’agissant des mesures de sécurité prises par la société PRISMA MEDIA, la CNIL a considéré qu’elles étaient insuffisantes, notamment en raison du renouvellement irrégulier des mots de passe du personnel du back office. Enfin, les contrats conclus avec les prestataires de la société PRISMA MEDIA ne comportent pas de clause rappelant les obligations leur incombant en terme de sécurité et de confidentialité.

Le 13 octobre 2014, la CNIL a donc prononcé à l’encontre de la société PRISMA MEDIA une nouvelle mise en demeure. Cette mesure a de surcroit été rendue publique notamment au regard de la taille de l’organisme, du nombre de personnes concernées et de la nécessité de sensibiliser les responsables de traitement au cadre légal applicable à la prospection commerciale par voie électronique (Décision n°2014-053 du 13 octobre 2014 mettant en demeure la société PRISMA MEDIA et Délibération du bureau de la CNIL n°2014-427 du 23 octobre 2014 décidant de rendre publique la mise en demeure prise à l’encontre de la société PRISMA MEDIA).

Lire la décision de la CNIL du 13 octobre 2014

Lire la délibération du bureau de la CNIL du 23 octobre 2014

Adoption d’un nouveau pack de conformité dans le domaine de l’Assurance

Selon la CNIL, « les packs de conformité constituent une réponse opérationnelle aux besoins des professionnels concernant l’application de la loi informatique et libertés ». Aussi, après avoir publié successivement, en juin et juillet dernier, un « Pack de conformité pour les compteurs communicants » et un «Pack de conformité logement social » (voir notre Newsletter de l'été 2014), un nouveau pack a été publié pour le secteur des assurances, le 12 novembre 2014.

Ce pack de conformité élaboré par la CNIL en étroite collaboration avec les différents professionnels de l’assurance (ex.: la Fédération Française des Sociétés d’Assurance (FFSA), la Chambre Sociale des Courtiers en Assurance (CSCA), etc.) vise d’une part, à sécuriser juridiquement les mesures prises par les différents professionnels du secteur en leur donnant des indications concrètes leur permettant de mieux comprendre les normes applicables à leur secteur d’activité lors du traitement de données à caractère personnel (durée de conservation des données, les destinataires pouvant avoir accès aux données à caractère personnel, les modalités d’information etc.) et, d’autre part, à simplifier les formalités.

Ce pack de conformité se compose ainsi de cinq fiches pratiques portant sur les traitements mis en œuvre par les organismes d’assurance, capitalisation, de réassurance, d’assistance et par leurs intermédiaires, et dans certains cas par l’AGIRA.
Il est important de noter que le contenu de ce pack est évolutif puisque la CNIL a proposé de mettre en place un « club de conformité » afin de permettre « aux professionnels du secteur de continuer à échanger à intervalle régulier afin de vérifier la bonne application des règles et processus organisationnels à l'aune des évolutions du métier de l'assureur et de trouver les nouvelles réponses en cas d'évolution ».

Lire le Pack de conformité Assurance

STIC : Condamnation par la CEDH de l’Etat au paiement de la somme de 3.000 euros en réparation du préjudice moral subi par un requérant

En 2008, un homme est placé en garde-à-vue suite à une plainte déposée par sa compagne pour violences conjugales. A l’issue d’une médiation pénale intervenue entre ces deux personnes, l’affaire est classée sans suite, mais cet homme a néanmoins été est inscrit dans le Système des Infractions Constatées (ci-après le « STIC »). Un an plus tard, il a demandé son retrait du STIC au Procureur de la République, qui a rejeté sa demande au motif que « la procédure avait fait l’objet d’une décision de classement sans suite fondée sur une autre cause que : absence d’infraction […] ou infraction suffisamment caractérisée […] ». Informé que cette décision était insusceptible de recours en droit français, le requérant a alors saisi la Cour européenne des droits de l’Homme (CEDH).

Le requérant a notamment invoqué l’article 8 de la Convention de sauvegarde des droits de l’Homme et des libertés fondamentales selon lequel « toute personne a droit au respect de sa vie privée et familiale », au motif que son inscription au STIC étant « outrageante et diffamatoire », que la consultation du STIC par le Juge aux affaires familiales pouvait conduire à un retrait de son droit de garde sur son enfant et, que l’absence de recours contre la décision de rejet était contraire à la Convention.

La CEDH a relevé en premier lieu que, si l’inscription au STIC constitue une ingérence dans le droit à la vie privée, ce qui n’est pas contesté par l’Etat français, cette inscription peut aussi être légitime dans la mesure où elle s’inscrit dans un objectif de défense de l’ordre, de prévention des infractions pénales, et de protection des droits d’autrui. La CEDH a donc apprécié la proportionnalité de la mesure en l’espèce au regard des motifs invoqués par l’Etat français pour sa mise en œuvre. La CEDH a notamment constaté (i) que le STIC fait apparaître des « éléments détaillés d’identité et de personnalité en lien avec des infractions constatées », (ii) qu’en l’espèce la durée d’inscription de vingt ans est « importante compte-tenu […] du classement sans suite de la procédure », et que (iii) le requérant ne disposait pas de possibilité de recours même si le droit français avait évolué depuis. La CEDH conclut donc que « le régime de conservation des fiches dans le STIC, tel qu’il a été appliqué au requérant, ne traduisant pas un juste équilibre entre les intérêts publics et privés […] en jeu […] la conservation litigieuse s’analyse en une atteinte disproportionnée au droit du requérant au respect de sa vie privée ».

En conséquence, dans son arrêt rendu le 18 septembre 2014, la CEDH a confirmé que le maintien de l’inscription du requérant constituait une violation de l’article 8 de la Convention et a condamné l’Etat français à lui verser la somme de 3.000 euros pour dommage moral (Cour européenne des droits de l’homme 5ème section, M. François X. / France, 18 septembre 2014).

Lire la décision de la CEDH du 18 septembre 2014

Délits de mise et de conservation en mémoire informatisée des données sensibles : le Conseil constitutionnel déclare les articles 226-19 du Code pénal et L.1223-3 du Code de la santé publique conformes à la Constitution

Le Conseil constitutionnel a été saisi, le 20 juin 2014, par la chambre criminelle de la Cour de cassation d'une question prioritaire de constitutionnalité relative à la conformité des articles 226-19 du code pénal et L.1223-3 du code de la santé publique aux droits et libertés inscrits dans la Constitution.

Le requérant considérait que les dispositions combinées des articles 226-19 du code pénal et L.1223-3 du code de la santé publique méconnaissaient plusieurs principes dont celui relatif à la légalité des délits et des peines en faisant exception à l'obligation de recueillir le consentement exprès du donneur de sang afin de mettre ou de conserver en mémoire informatisée des données à caractère personnel relatives à la santé et l'orientation sexuelle de celui-ci.

En outre, le requérant considérait que le législateur avait méconnu le «principe constitutionnel de consentement à la captation et à la conservation des données personnelles » dans son approche des exceptions à l'exigence de consentement prévue par l'article 226-19 du code pénal, dans la mesure où il les renvoyait à des dispositions législatives indéfinies et indéterminées.

Le Conseil Constitutionnel, par une décision du 19 septembre 2014, n’a pas accueilli favorablement ces arguments aux motifs que l'article L.1223-3 du code de la santé publique n'a pas pour objet de définir une exception à l'incrimination définie à l’article 226-19 du code pénal et ne méconnaît en tout état de cause aucun droit ou liberté protégé par la Constitution. Le Conseil constitutionnel ajoute que le législateur à l'article 226-19 du code pénal avait défini « de manière claire et précise » le délit d'enregistrement ou de conservation en mémoire informatisée des données à caractère personnel et qu’en consacrant des exceptions dans les « cas prévus par la loi », les dispositions de l’article 226-19 du code pénal ne portaient pas atteinte au principe de légalité des délits et des peines (Conseil constitutionnel, 19 septembre 2014, Décision n° 2014-412).

Lire la décision du Conseil Constitutionnel du 19 septembre 2014

A suivre : Proposition de loi visant à renforcer la protection des données personnelles des porteurs de carte de fidélité

Au mois de février 2014, la CLCV (Consommation, Logement et Cadre de vie), une association nationale de défense des intérêts des consommateurs et des usagers, a réalisé une enquête portant sur le consommateur face au commerce de ses données personnelles.

Il résulte notamment de cette enquête que la manière dont les informations sont collectées et traitées ne garantit pas suffisamment les droits à l’information, à l’accès, au retrait et à la modification dont jouissent les consommateurs au titre de la loi informatique et libertés du 6 janvier 1978 modifiée. Ainsi, il a pu être relevé que les formulaires de souscription ne sont pas toujours exhaustifs et aucun exemplaire n’est remis au client.

C’est dans ces circonstances que Monsieur le Député Philippe Armand MARTIN a déposé le 17 septembre dernier une proposition de loi visant à renforcer la protection des données personnelles des porteurs de cartes de fidélité. Cette proposition de loi prévoit notamment qu’ « en l’absence du consentement non équivoque du titulaire d’une carte de fidélité, la vente ou la cession des données personnelles est réputée interdite » (Proposition de loi visant à renforcer la protection des données personnelles des porteurs de cartes de fidélité, 17 septembre 2014, N°2212).

Lire la proposition de loi du 17 septembre 2014

Droit du travail

Licenciement pour téléchargements illégaux et répétitifs : la preuve doit être rapportée par l’employeur du caractère répétitif et illégal de ces téléchargements

Un salarié a été licencié pour faute grave au seul motif, selon les termes de sa lettre de licenciement d’avoir procéder à des « téléchargements illégaux et répétitifs au sein de l’entreprise ». Contestant cette mesure, il a en conséquence saisi la juridiction prud’homale.

La cour d’appel, après avoir rappelé que la lettre de licenciement fixe les limites du litige, a constaté qu’en l’espèce, la lettre de licenciement « ne vise pas l’usage d’internet au temps de travail pour un motif non professionnel ou la connexion à des sites permettant le téléchargement illégal mais seulement l’existence de téléchargements illicite et réitérés ». Elle a donc considéré que l’employeur, qui ne produit comme preuve qu’un relevé sur lequel n’apparaît qu’une seule visite sur le site « allotracker.com » sans caractériser d’action de téléchargement, ne prouve pas les téléchargements illicites et réitérés. En conséquence, elle a jugé sans cause réelle et sérieuse le licenciement.

De plus, la cour d’appel a constaté que le salarié a été forcé de quitter brutalement son poste suite à une mise à pied conservatoire pour des motifs non établis. Par conséquent, elle a condamné l’employeur à payer des dommages et intérêts à son ancien salarié afin de réparer le préjudice que ce dernier a subi du fait licenciement vexatoire dont il a été victime.

La Cour de cassation a déclaré qu’il n’y avait pas lieu de statuer sur le premier moyen de cassation reprochant à l’arrêt de la cour d’appel d’avoir décidé que le licenciement ne reposait sur aucune cause réelle et sérieuse. En revanche, elle a confirmé la position de la cour d’appel s’agissant de la condamnation de l’employeur au paiement de dommages et intérêts pour licenciement vexatoire, préjudice distinct de celui résultant de la perte de son emploi par le salarié. (Cour de cassation, Chambre Sociale, Monsieur X. / Sté Elb Multimédia, 29 octobre 2014, N°13-18173).

Lire l'arrêt de la Cour de cassation du 29 octobre 2014

Abus de confiance : les données informatiques sont un bien au sens de l’article 314-1 du code pénal

Un chargé de clientèle a informé son employeur, un cabinet de courtage en assurances, de son intention de démissionner de son emploi pour rejoindre un autre cabinet de courtage. Au cours de sa période de préavis, son employeur, après avoir constaté des envois de courriels anormalement lourds, a engagé un contrôle interne. Ce contrôle a révélé qu’il avait détourné, à des fins personnelles, plus de trois cent fichiers informatiques. Toutefois, ces fichiers ne lui avaient été remis, conformément à la charte informatique interne, qu’il avait lui-même signée, que pour un usage strictement professionnel. Cette charte précisait également que toute extraction ou reproduction sur des supports informatiques de données confidentielles était soumise à l’accord préalable d’un responsable de service.

Dans son arrêt du 5 février 2013, la Cour d’appel de Bordeaux a rappelé que l’abus de confiance est matérialisé lorsque l’utilisation de la chose délivrée est contraire aux finalités de la remise, selon des modalités constitutives d’abus aux droits de son propriétaire. Elle a considéré que le salarié, en dépit des relations de confiance qu’il entretenait avec son employeur, s’était délibérément abstenu de lui demander son autorisation pour l’extraction et la reproduction des données. De plus, elle a précisé que « ces pratiques de captation clandestines, déployées en violation de l’engagement écrit qu’il avait souscrit, suffisent à caractériser les éléments matériels et intentionnel requis pour la consommation de l’abus de confiance ». Elle a donc jugé le salarié coupable du délit d’abus de confiance sur le fondement de l’article 314-1 du Code pénal, pour avoir détourné au préjudice de son employeur « des fonds, valeurs, ou bien quelconque, en l’espèce plus de trois cent fichiers informatiques, qui ne lui avaient été remis qu’à charge de les rendre, de les représenter ou d’en faire un usage ou un emploi déterminé, en l’espèce se conformer à la charte informatique interne proscrivant l’extraction des dits documents de l’entreprise » (Cour d’appel de Bordeaux, 3ème Chambre correctionnelle, M . Thierry / Ministère Public et Sté Filhet-Allard et Cie (Partie civile), 5 février 2013).

Dans son arrêt du 22 octobre 2014, la Cour de cassation a approuvé le raisonnement de la Cour d’appel. La Cour de cassation a ainsi confirmé que les données informatiques confidentielles constituent un bien au sens de l’article 314-1 du Code pénal (Cour de cassation, Chambre Criminelle, Thierry X, 22 octobre 2014, n° 13-82630).

Lire l’arrêt de la Cour de cassation du 22 octobre 2014

Vidéosurveillance : Publication d’une nouvelle mise en demeure de la société APPLE RETAIL France

En décembre 2013, la CNIL a mis en demeure la société APPLE RETAIL France (la « société ») de mettre le dispositif de vidéosurveillance installé dans le magasin APPLE STORE OPERA en conformité avec ses obligations légales. En effet, la CNIL a notamment enjoint la société de procéder à l’information des salariés de la mise en œuvre d’un tel dispositif et de ne plus filmer de manière permanente les espaces de pause des salariés, ainsi que les espaces de travail des directeurs et des managers. En février 2014, la société a informé la CNIL des différentes mesures de mise en conformité qu’elle avait prise, dont notamment la mise en place d’un affichage contenant une information complète à destination des salariés sur le dispositif de vidéosurveillance. En mai 2014, la CNIL a donc diligenté un nouveau contrôle à la suite duquel elle a clos la procédure de mise en demeure.

Dans le même temps, la CNIL a effectué des contrôles dans plusieurs autres magasins français de la société, qui ont permis de relever que certaines caméras continuaient à filmer directement les salariés et que l’information qui leur était dispensée était insuffisante.

S’agissant de la disposition des caméras, la CNIL a pu, à titre d’exemple, constater que les caméras n’étaient pas uniquement dirigées vers les zones sensibles (coffre-fort) mais également directement sur les postes de travail. En conséquence, la CNIL rappelle que la surveillance des salariés, en ce qu’elle est attentatoire à la vie privée des salariés, doit être proportionnée à la nature de la tâche à accomplir. En l’espèce, elle considère que « la surveillance opérée, qui s’ajoute aux mesures de sécurité déjà déployées, est disproportionnée au regard de la finalité de prévention des atteintes aux personnes et aux biens ».

S’agissant de l’information des salariés, la CNIL a pu relever que le règlement intérieur, transmis aux salariés au moment de l’embauche, contenait des dispositions sur la finalité du traitement de vidéosurveillance, les zones filmées et l’existence d’une déclaration à la CNIL pour ce traitement. Toutefois, seulement quelques magasins complètent cette information au moyen de panneaux d’affichage, qui sont de surcroît pour la plupart peu visibles et incomplets, à destination des salariés.

En conséquence, la CNIL a prononcé à l’encontre de la société une mise en demeure l’enjoignant de mettre en conformité le dispositif de vidéosurveillance dans l’intégralité des 16 magasins qu’elle exploite en France et dans un délai de deux mois. A ce titre, elle notamment enjoint la société de veiller à ce que le dispositif ne soit pas disproportionné au regard de sa finalité et de procéder à l’information des salariés (Délibération n°2014-051 du 14 octobre 2014 mettant en demeure la société APPLE RETAIL France exploitant APPLE STORE).

De plus, le 23 octobre 2014, le bureau de la CNIL a décidé de rendre publique cette décision au motif notamment de « sensibiliser plus largement les responsables de traitement au cadre légal gouvernant la mise en œuvre d’un système de vidéosurveillance, dispositif technique auquel il est recouru de manière croissante sur les lieux de travail (Délibération du bureau de la Commission nationale de l’informatique et des libertés n°2014-426 du 23 octobre 2014 décidant de rendre publique la mise en demeure n°2014-051 du 14 octobre 2014 prise à l’encontre de la société APPLE RETAIL France exploitant les magasins APPLE STORE).

Lire la délibération de la CNIL du 14 octobre 2014

Lire la délibération du bureau de la CNIL du 23 octobre 2014

Utilisation d’un système de traitement automatisé de données personnelles aux fins de preuve : rappel de l’obligation préalable de déclaration à la CNIL

Une salariée a été convoquée à un entretien préalable de licenciement par une lettre datée du 2 décembre. Elle a été licenciée par son employeur, qui lui reprochait une utilisation excessive de sa messagerie professionnelle à des fins personnelles, par lettre du 23 décembre.

La Cour d’appel a retenu, pour justifier le caractère réel et sérieux du licenciement, qu’au regard du nombre extrêmement importants de messages électroniques personnels envoyés et reçus par la salariée (plus de 1200 sur deux mois), la déclaration tardive à la CNIL, le 10 décembre, du dispositif de contrôle individuel ne pouvait rendre le système illicite ni même l’utilisation des éléments obtenus grâce audit système.

Dans son arrêt du 8 octobre 2014, la Cour de cassation, après avoir rappelé que « constituent un moyen de preuve illicite les informations collectées par un système de traitement automatisé de données personnelles avant sa déclaration à la CNIL », a cassé la décision de la Cour d’appel déboutant la salariée de ses demandes de dommages-intérêts pour licenciement sans cause réelle et sérieuse et pour licenciement vexatoire (Cour de cassation, chambre sociale, Mme X / Crédits finance conseils devenue Finapole, 8 octobre 2014, N° 13-14991).

Cet arrêt fait écho, sur la problématique de licéité de la preuve et de l’obligation préalable de déclaration à la CNIL, à un récent arrêt de la Cour de cassation que nous avons traité dans notre Newsletter n°11. Dans cet arrêt, elle a censuré un arrêt de Cour d’appel qui retenait que les dispositifs chronotachygraphes doivent être valablement déclarés à la CNIL pour pouvoir valablement être invoqués comme moyen de preuve dans le cadre d’un licenciement (Cour de cassation, chambre sociale, M. X / Sté Transports Goubet, 14 janvier 2014, N° 12-16218). Depuis cette date, la CNIL a adopté une dispense de déclaration pour le traitement des tachygraphes dans les véhicules de transports routiers (Dispense n° 19 - Délibération n° 2014-235 du 27 mai 2014 portant dispense de déclaration pour les traitements de données à caractère personnel issues des tachygraphes installés dans les véhicules de transport routier).

Lire la décision de la Cour de cassation du 8 octobre 2014

Lire notre Newsletter n°11 des mois de janvier à mars

Inventions de logiciels libres et contrat de travail

Trois ans après le début du contrat de travail de l’un de ses informaticiens, un employeur, a décidé de modifier certaines modalités du contrat initial concernant la propriété intellectuelle. L’employeur et le salarié ont donc signé un avenant dont les dispositions (i) permettaient au salarié d’obtenir la possibilité de cosigner avec l’employeur les codes sources des logiciels libres qu’il crée, y compris suite à des modifications et (ii) contenaient un engagement mutuel de mise à disposition des codes sources et des logiciel sous licence libre GPL v2 ou v3.

Un an plus tard, l’employeur a proposé de conclure un nouvel avenant, annulant et remplaçant le précédent, qui permettait à la société de se réserver l’exclusivité de la titularité des droits de propriété intellectuelle. Considérant que le contenu de ce nouvel avenant était de nature à porter atteinte à ses droits, le salarié a refusé de le signer et, peu avant de démissionner, a saisi le Conseil de prud’hommes de Paris, au motif que la société méconnaissait ses obligations en ne respectant pas les termes du premier avenant, d’où il résultait un préjudice moral.

Le Conseil de prud’hommes a souligné que même « s’il apparaî[ssait] que le projet de modification contractuelle port[ait] atteinte aux droits [du salarié], qui perdrait la copropriété à titre gracieux du code source des logiciels libres qu’il serait amené à développer ainsi que la possibilité de le cosigner, il demeur[ait], (…) que l’exploitation sous licence libre des logiciels développés par le salarié n’[était] pas exclue ».

Toutefois, le Conseil de prud’hommes, présidé par le juge répartiteur, a constaté qu’alors que la clause de l’avenant prévoit que « les logiciels concernés par la présente clause sont exclusivement : …/…/… », le salarié ne citait pas « très précisément les logiciels concernés avec toute spécification utile, c’est-à-dire les logiciels libres créés dans le cadre de l’exécution de son contrat de travail, dont il est co-auteur et non publiés sous licence GNU GPL v2 ou v3». En outre, les juges ont considéré que le salarié, en se bornant à mentionner le nom du salarié en qualité de contributeur des logiciels développés, ne démontrait pas que son employeur se serait réservé la libre exploitation des droits de propriété intellectuelle.

En conclusion, le conseil de prud’hommes de Paris a rejeté l’intégralité des demandes du salarié pour préjudice moral sur le fondement d’une atteinte à ses droits de propriété intellectuelle par l’employeur (Conseil des prud’hommes de Paris, Monsieur X / Société Z, 4 juin 2014).

Lire le jugement du Conseil des prud’hommes de Paris du 4 juin 2014