Messages les plus consultés

mardi 29 janvier 2013

La prochaine réforme de la protection des données personnelles en Europe : vers un renforcement des droits des personnes et des obligations des entreprises

La directive européenne sur la protection des données personnelles date d’octobre 1995.  Or, depuis 1995, les manières de collecter, utiliser, interconnecter, diffuser - en d’autres termes “traiter” - les données à caractère personnel, ont beaucoup évolué. Pour prendre en compte ces évolutions, notamment le développement des usages d’internet et des réseaux sociaux, mais également de toutes les technologies utilisant des données personnelles, la Commission européenne a publié le 25 janvier 2012, une proposition de règlement relatif à la protection des personnes relative au traitement de leurs données à caractère personnel. (1)

Ce règlement, une fois le texte définitif adopté, sera d’application immédiate et uniforme dans l’ensemble de l’Union européenne et viendra remplacer la directive de 1995 et les différentes lois nationales de protection des données personnelles. Ce texte devrait être adopté début 2014 et entrer en vigueur début 2016. Même si cette échéance peut paraître encore éloignée, et que certains aspects du règlement sont toujours en cours de discussion, il nous semble important d’en exposer les principaux aspects afin de permettre aux entreprises d’anticiper au mieux sa mise en oeuvre.

Il ne s’agit pas ici de faire une description exhaustive de la proposition de règlement mais de se focaliser sur les principales dispositions. Ainsi, les deux grands axes à retenir sont un renforcement des droits des personnes concernées sur leurs données, notamment en matière d’information préalable, de consentement, de droit d’opposition et de droit à l’oubli, et en parallèle, un renforcement des obligations des entreprises en matière de collecte et de traitement des données personnelles, avec des sanctions alourdies en cas de non-respect de la nouvelle règlementation.


1. Le renforcement des droits des personnes concernées sur leurs données

Les sources de collecte de données personnelles se sont démultipliées ces dernières années, d’une part avec des technologies et pratiques commerciales facilitant ces collectes (développement du e-commerce, du web 2.0, des smartphones et des applications mobiles,  du cloud computing, des technologies et objets dits “intelligents”, etc.), d’autre part du fait de l’évolution des modes d’utilisation de ces technologies par les internautes (grâce aux achats en ligne, à l’utilisation des réseaux sociaux, des applications mobiles, des services de géolocalisation, entre autres). L’intensification de l’utilisation de nos données personnelles et l’absence de frontières physiques ont rendu les lois sur la protection des données personnelles quelque peu obsolètes, en témoignent les incessants allers-retours entre la Commission européenne et les principales sociétés du web (Google et Facebook par exemple), en matière de rappel au respect des principes de protection des données à caractère personnel.

La proposition de règlement européen apporte des modifications substantielles concernant les droits des personnes dont les données sont traitées, en allant vers un renforcement de ces droits.

    1.1 Les règles de recueil du consentement des personnes
Les modalités de recueil du consentement par la personne concernée, au traitement de ses données personnelles, ont été précisées et vont dans le sens d’une plus grande maîtrise de principe de l’accord et de son retrait par la personne concernée.

Le texte européen définit le consentement comme toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne dont les données sont traitées (la “personne concernée”) accepte, par une déclaration ou par un acte positif univoque, que des données personnelles la concernant fassent l'objet d'un traitement.

Ainsi, lorsqu’il est requis, le consentement au traitement des données personnelles ne peut être tacite ou implicite. Il doit nécessairement répondre à une information préalable claire, précise et complète. La charge de la preuve de l’obtention du consentement de l’utilisateur incombera à l’entreprise qui traite ces données.

En outre, le consentement de la personne concernée, au traitement de ses données, n'est valable que si cette personne est effectivement en mesure de retirer son consentement à tout moment, et donc de s'opposer ultérieurement à la poursuite du traitement de ses données.

Les entreprises devront systématiquement s’assurer que les acheteurs de leurs produits ou les utilisateurs de leurs services ont accepté de façon effective la collecte et le traitement de leurs données.

Enfin, le règlement prévoit que “le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement”. Il en irait ainsi lorsque la personne concernée se trouverait dans une situation de dépendance par rapport à l’entreprise et qu’elle ne serait pas en mesure de négocier ou de faire modifier les conditions contractuelles ; par exemple, les données personnelles concernant un salarié et traitées par son employeur dans le cadre de  l’exécution du contrat de travail, ou les contrats d'adhésion entre des particuliers et des entreprises. Il sera intéressant de voir comment cette disposition sera interprétée, dans la mesure où la plupart des contrats conclus entre les consommateurs et les sociétés de services (téléphonie, assurances, banque, etc.) et tous les contrats conclus en ligne peuvent être qualifiés de contrats d’adhésion dans lesquels existe un “déséquilibre significatif” entre les parties.

    1.2 Les droits des personnes concernées

Outre le renforcement des règles relatives au recueil du consentement des personnes, leurs droits sur la manière dont leurs données seront traitées ont été précisés.

- Le droit à l’oubli numérique : ce droit permet à toute personne de demander la suppression totale des données collectées par une entreprise, notamment lorsque ces collectes ont été réalisées alors que la personne concernée était mineure, ou lorsque les données ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées, ou encore lorsque le délai de conservation autorisé a expiré.

Dès lors, toute entreprise ayant collecté des données à caractère personnel devra les effacer, à la demande de la personne concernée, et en cesser toute diffusion. Par exemple, un internaute qui voudrait résilier son compte sur un réseau social devrait pouvoir obtenir de l’exploitant du site qu'il détruise toutes les données personnelles le concernant, sous réserve du droit applicable (droit du pays d’établissement de l’exploitant du site ou droit du pays de résidence de l’internaute - en l’occurrence, droit de l’UE).

La proposition de règlement prévoit également que l’entreprise doit d’une part, procéder à l'effacement des données sans délai, sauf motif légitime pour les conserver (pour respecter une obligation légale de conservation des données ou à des fins de recherche statistique et scientifique par exemple) et d’autre part, prendre toutes mesures utiles afin d'informer l'ensemble des tiers à qui elle a communiqué les données de la demande de la personne concernée.

- Le droit à la portabilité des données : ce droit offre la possibilité aux personnes concernées de se voir restituer leurs données personnelles dans un format électronique communément utilisé, permettant de les transférer à un autre fournisseur de service. Comme pour les numéros de téléphone, le principe de portabilité des données permet de faciliter le transfert des données personnelles vers de nouveaux prestataires, et de ne pas être tenu de rester  indéfiniment chez le même prestataire quand bien même le niveau et/ou le prix des services serait devenu insatisfaisant. 

- Le droit d’opposition au profilage : la proposition de règlement impose le principe du consentement préalable et le respect du droit d’opposition des personnes concernées aux actions de marketing direct et de profilage. Le “profilage” peut se définir comme toute forme de traitement de données personnelles destiné à évaluer certains aspects personnels propres à une personne physique ou à analyser ou prévoir ses habitudes de navigation sur le web, ses habitudes d’achat de biens et de services, voire sa productivité professionnelle, ou sa catégorie socio-professionnelle. Le texte européen exige que ces personnes soient dûment informées du traitement de leurs données à des fins de profilage et des effets escomptés de ce traitement.


2. Le renforcement des obligations applicables aux entreprises collectant des données personnelles


Face au renforcement des droits des personnes concernées, les obligations des sociétés collectant des données à caractère personnel ont également été renforcées par rapport à la situation actuelle, avec un alourdissement des sanctions pécuniaires en cas de violation des dispositions réglementaires. 

    2.1 L’obligation de déployer de nouvelles procédures internes de gouvernance
Les formalités déclaratives auprès de la CNIL seront simplifiées, et pour certaines catégories de traitements, supprimées.

En contrepartie, les entreprises devront déployer des procédures internes pour assurer le respect des principes de protection des données personnelles. Ces procédures, créant une véritable politique de gouvernance en matière de protection des données personnelles, comprendront : audits, registres, études d’impact, prise en compte de la protection des données dès la conception des nouveaux produits et services (mise en oeuvre des principes de “Privacy by design” ou de “Privacy by default”), codes de conduite, etc. (2)

Les entreprises devront adopter des règles internes contraignantes, tenir une documentation permettant de conserver la trace des traitements mis en oeuvre et de leurs caractéristiques, pouvoir rapporter la preuve de la mise en oeuvre de mesures de sécurité des données appropriées, mettre en œuvre des mécanismes pour vérifier l’efficacité de ces mesures, etc. Ces mesures et procédures techniques et organisationnelles devront être appliquées depuis la définition des moyens de traitement jusqu’à leur mise en oeuvre effective.

Par ailleurs, en cas de traitements sensibles de données personnelles, les entreprises devront réaliser une analyse d'impact et définir des mesures appropriées pour garantir la protection des données en cause. Par “traitement sensible”, il faut comprendre tout  traitement présentant des risques particuliers au regard des droits et libertés des personnes concernées, du fait de leur nature ou de leur finalité (tels que les traitements de données relatifs à la santé, aux orientations sexuelles, aux origines raciales ou ethniques, ou encore les traitements relatifs à la surveillance de zones accessibles au public impliquant l’usage de dispositifs de vidéosurveillance).

Enfin, en cas d’existence de plusieurs filiales dans l’Union européenne, l’autorité en charge de la protection des données compétente sera celle de l’Etat membre dans lequel le responsable du traitement a son établissement principal. Ce concept de “guichet unique” sera certainement amené à être précisé dans la version finale du règlement.

    2.2 La désignation d’un délégué à la protection des données
Le délégué à la protection des données (ou “DPD”) est l’équivalent en France, du Correspondant Informatique et Libertés, communément appelé “CIL”. Dans le dispositif actuel, le CIL, dont la nomination n’est pas obligatoire, a pour mission de veiller à l'application de la loi Informatique et Libertés au sein de l’entreprise qui l’a désigné. La désignation d’un CIL présente de nombreux avantages, tel que l’allégement des formalités obligatoires auprès de la CNIL et l’amélioration de la maîtrise des risques juridiques et techniques liés aux traitements des données personnelles. (3)

Avec l’entrée en vigueur du règlement européen, les entreprises auront l’obligation de désigner un délégué à la protection des données dans deux cas : si l’entreprise compte au moins 250 salariés ou si cette société traite des données sensibles, à savoir des données dont la nature, la portée et/ou la finalité exigent un suivi régulier et systématique des personnes concernées. Le DPD pourra être interne à l’entreprise ou externe à celle-ci (avocat ou consultant en informatique par exemple).

    2.3 L’obligation de notifier les violations de données à la CNIL
Une violation de données personnelles consiste en une atteinte à la sécurité des traitements, entraînant de manière accidentelle ou illicite la destruction, la perte, l'altération, la divulgation ou la consultation non autorisée de données personnelles transmises, conservées ou traitées d’une autre manière. Par exemple, une faille dans la boutique d’un e-commerçant qui permettrait de récupérer des noms, adresses, et/ou numéros de cartes bancaires des utilisateurs inscrits ou un email confidentiel destiné à un client, et diffusé par erreur à d’autres personnes constitueraient des cas de violation de données personnelles.

Les entreprises françaises ont l’obligation de notifier toute violation grave des données à la CNIL dans les meilleurs délais, et si possible dans un délai de 24 heures après en avoir eu connaissance. La notification doit au minimum décrire (i) la nature de la violation ainsi que les catégories et le nombre de personnes et de données affectées, (ii) les conséquences de la violation des données, et (iii) les mesures proposées ou prises pour y remédier. L’entreprise doit conserver une trace documentaire de toute violation de données à caractère personnel.

Sauf à démontrer à la CNIL qu’elle a pris des mesures de sécurité appropriées, l’entreprise a l’obligation d’informer toutes personnes concernées de la violation de leurs données, lorsque cette violation est susceptible de porter atteinte à la protection de leurs données personnelles ou à la vie privée.

Cette obligation existe déjà à l’article 34 bis de la Loi Informatique et Libertés. Si la loi française impose uniquement cette notification aux fournisseurs de services de communication électronique, le texte européen ne semble pas faire de distinction suivant l’activité de l’entreprise. Cette obligation serait donc à la charge de toute entreprise traitant des données personnelles.

    2.4 De lourdes sanctions en cas de non respect de la réglementation

Ces règles, qui s’appliqueront directement dans chacun des Etats membres de l’Union européenne, prévoient des sanctions financières particulièrement lourdes en cas de non respect de la réglementation.

Les entreprises qui enfreindraient les règles posées par le règlement seront passibles de sanctions financières pouvant atteindre des montants élevés. Si en France la CNIL peut déjà aujourd’hui prononcer des amendes d’un montant maximum de 300.000€, le texte européen permettra d’imposer des amendes pouvant s'élever à 2% du chiffre d’affaires annuel mondial de l’entreprise fautive.

Le montant de l'amende sera fixé en tenant compte de plusieurs paramètres tels la nature, la gravité et la durée de la violation, le fait que l'infraction a été commise de façon délibérée ou par négligence, le degré de responsabilité de la personne en cause, l’existence de cas de violations commises antérieurement par la société, ou le degré de coopération avec la CNIL en vue de remédier à la violation ou à la non-conformité.

Il convient cependant de noter que sans moyens humains supplémentaires, il sera difficile pour la CNIL, comme pour les autres autorités en charge de la protection des données personnelles, de jouer pleinement leur rôle.


    Le risque, pour tout texte réglementaire technique, est d’être trop attaché à l'état des technologies à la date de son adoption. Or, la vitesse de l’évolution des usages, des pratiques et des outils et services disponibles tendent à rendre ces textes règlementaires très rapidement obsolètes. Même si la proposition de règlement relatif à la protection des données personnelles n’est pas encore définitif, il est à craindre qu’un texte qui ne serait pas assez générique dans son approche, prenant en compte les technologies plutôt que les usages, devienne rapidement caduque et difficilement applicable.

La proposition de règlement fait ainsi l’objet de nombreuses réserves et critiques depuis sa première publication, en janvier 2012. Ce texte suscite une multiplication de résolutions, amendements ou avis mettant en relief ses points faibles ou manquements. Par exemple, l’Assemblée nationale, dans sa proposition de résolution de février 2012, recommandait de compléter le texte européen en ajoutant des dispositions spécifiques au Cloud computing, ces services n’étant pas expressément visés par la proposition de règlement.

Le texte est actuellement en cours d’examen par le Parlement européen au sein de la Commission chargée des questions relatives aux affaires civiles, justice et affaires intérieures (Commission LIBE). Jan Philipp Albrecht, député européen et rapporteur du groupe, vient de publier son projet de rapport le 8 janvier 2013. Ce texte prévoit notamment d’allonger le délai de notification des violations de données de 24 à 72h ; l’exercice gratuit du droit d’opposition et le recours à la “pseudonymisation” et à l’anonymisation des données pour ne pas identifier directement une personne physique, notamment sur les réseaux sociaux. Ce projet de rapport précise par ailleurs que l’utilisation d’options par défaut, que la personne concernée doit modifier pour marquer son opposition au traitement, comme les cases pré-cochées (opt-out), n’est pas l’expression d’un libre consentement. Enfin, le texte encourage la mise en place d’un système normalisé d’icônes et de logos afin de faciliter la compréhension des conditions de collecte et de traitement des données par les personnes concernées. (4)

Les négociations entre le Parlement, la Commission et le Conseil européen débuteront à partir de mai 2013 en vue d’obtenir un compromis et un texte final d’ici le début de l’année prochaine.


* * * * * * * * * * * *

(1) Voir les textes en référence : proposition de règlement du parlement européen et du conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données du 25 janvier 2012, (2012/0011 (COD) ; directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données ; et loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(2) Le “Privacy By Design” ou principe de protection des données dès la conception d’un produit ou d’un service, requiert l’intégration de la prise en compte de la protection dans le cycle de vie d’une technologie, dès la première étape de sa conception jusqu’à son déploiement, son utilisation et son élimination. Le “Privacy by Default” ou principe de la protection des données par défaut, requiert que les paramètres de respect de la vie privée dans les services et produits soient par défaut conformes aux principes généraux de la protection des données, tels que la réduction au minimum des volumes de données collectées et la limitation de la finalité des traitements.

(3) Voir à ce sujet notre article “Le Correspondant Informatique et Libertés, garant de la conformité des traitements de données personnelles à la loi”, sur notre blog à http://dwavocat.blogspot.fr/2011/12/le-correspondant-informatique-et.html

(4) Projet de rapport sur la proposition de règlement européen relative aux données du 25 janvier 2012, Commission des libertés civiles, de la justice et des affaires intérieures, publié par le rapporteur Jan Philipp Albrecht le 8 janvier 2013.



Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com


Janvier 2013

lundi 14 janvier 2013

La nouvelle réglementation française sur la vente de médicaments sur internet

Bien que jusqu'à présent le Code de la santé publique (CSP) n’interdisait pas expressément la vente de médicaments en ligne, ce mode de distribution n’était pas pour autant autorisé dans la mesure où les dispositions légales ne permettaient pas en pratique d’utiliser ce canal de vente en France.

Suite à l'adoption de la directive européenne du 8 juin 2011 autorisant la vente de médicaments sur internet, la plupart des pays voisins de la France avaient adopté une législation en la matière, autorisant la vente de médicaments sans et/ou avec prescription, et s'appuyant ou non sur une officine physique.

La vente de médicaments sur internet est désormais prévue par la loi depuis fin décembre 2012, avec la publication de l’ordonnance du 19 décembre 2012 et du décret du 31 décembre.


1. Le cheminement vers l'adoption d'un cadre légal, sous la pression de l'Union européenne

L’encadrement de la vente de médicaments par internet est l’aboutissement d’un long processus, démarré avec l’arrêt DocMorris de la CJCE en 2003 pour arriver à la Directive du 8 juin 2011.

    1.1 La reconnaissance de la validité de la vente des médicaments sur internet : l’arrêt DocMorris
Le 11 décembre 2003, la Cour de Justice des Communautés européennes (CJCE) a rendu une décision reconnaissant le droit de vendre des médicaments sur internet. (1) Cette affaire opposait une association allemande (DAV) ayant pour but la défense des intérêts de la profession de pharmacien, à la société néerlandaise DocMorris qui pratiquait la vente de médicaments en officine traditionnelle aux Pays-Bas mais également sur internet. Le site internet était traduit en allemand et offrait la possibilité d'être livré en médicaments, soumis ou non à prescription médicale, en Allemagne. Or, la législation allemande interdisait la vente à distance de médicaments, dont la délivrance était réservée exclusivement aux pharmaciens, et qualifiait d'illégale toute publicité pour la vente de médicaments par correspondance.

Interrogée sur la validité de la réglementation allemande, la CJCE a jugé qu'une telle interdiction constituait une restriction à la libre circulation des marchandises. Cependant, la Cour a distingué entre médicaments soumis à prescription médicale, considérant qu'une telle restriction de vente était justifiée par la nécessité de protéger la santé et la vie des personnes, et les médicaments non soumis à prescription médicale.

Concernant les médicaments non soumis à prescription médicale, la CJCE estime que l’interdiction de vente à distance n'est pas justifiée, dans la mesure où rien ne permet de considérer que les pharmacies virtuelles ne permettent pas de satisfaire aux obligations d'information et de conseil lors de l'achat de ces médicaments.

    1.2 La résolution du Conseil de l’Europe sur les bonnes pratiques à adopter en en matière de distribution de médicaments par correspondance
Partant du constat que de plus en plus d’États membres de l’Union européenne autorisaient la vente de médicaments à distance, et que les patients, désireux d’obtenir facilement et rapidement les médicaments dont ils ont besoin, devaient pouvoir le faire en toute confiance, le Conseil de l’Europe a adopté en 2007 une résolution recommandant aux Etats membres d'adopter des normes garantissant la sûreté de la vente de médicaments à distance, la sécurité du patient et la qualité des médicaments délivrés. (2)

    1.3 Dernière étape : la directive du 8 juin 2011 autorisant la vente de médicament sur Internet
La Directive du 8 juin 2011 impose aux Etats membres de permettre la vente à distance au public de médicaments, tout en leur laissant la possibilité d’interdire la vente à distance pour les médicaments soumis à prescription. (3) La Directive prévoit notamment que la vente de médicaments sur internet est réservée (i) aux personnes autorisées ou habilitées, en conformité avec la législation de l’Etat membre dans lequel elles sont établies, et (ii) aux médicaments respectant la législation nationale de l'Etat membre de destination.

En outre, pour aider le grand public à identifier les sites internet mettant légalement en vente des médicaments, la directive prévoit la création d’un logo commun à l’ensemble de l’Union européenne renseignant, en outre, sur l’Etat membre dans lequel est établi le pharmacien.

Enfin, les Etats membres doivent mettre en place un site internet comportant notamment la liste des pharmaciens et des sites web proposant des médicaments en ligne, et des informations générales sur les risques liés aux médicaments fournis illégalement au public.

La directive devait être transposée dans les droits des Etats membres avant le 2 janvier 2013. La France s’est mise en conformité en décembre 2012.


2. Le nouveau cadre juridique de la vente de médicaments par internet


Par ordonnance et décret publiés fin décembre 2012, modifiant le Code de la santé publique, le gouvernement vient d'encadrer la vente de médicaments en ligne. (4)

La vente de médicaments en ligne est ainsi soumise à des conditions spécifiques, édictées par la nouvelle réglementation applicable. S’agissant de vente à distance, les règles relatives au commerce électronique s’appliquent également à la vente de médicament sur internet.

    2.1 Les principales conditions de la vente en ligne de médicaments 
La vente en ligne de médicaments est soumise aux conditions suivantes :

- La création d'un site web destiné à la vente de médicaments est réservée aux pharmaciens titulaires d'une officine (et aux pharmaciens gérants de pharmacies mutualistes ou de secours minière). Les pharmaciens adjoints, ayant reçu délégation du pharmacien d'officine, peuvent participer à l'exploitation du site internet de l'officine de pharmacie. Enfin, les pharmaciens remplaçants de titulaires d'officine, ou gérants d'officine après décès du titulaire, peuvent poursuivre l’exploitation du site de l'officine, créé antérieurement.

- Seuls les médicaments pouvant être présentés "en accès direct" au public en officine (médicaments “OTC” ou “over the counter”) ayant obtenu une autorisation de mise sur le marché peuvent être proposés à la vente en ligne. A contrario, l’interdiction de vente en ligne est maintenue pour les médicaments délivrés sur ordonnance.

- La création d'un site internet est soumise au dépôt d’une demande d'autorisation auprès du directeur général de l'Agence Régionale de Santé (DGARS) dans le ressort duquel est située l'officine.

- Dans les 15 jours suivant la date d'autorisation du DGARS, le pharmacien doit informer le Conseil de l'Ordre dont il relève, de la création du site internet. L'Ordre national des pharmaciens tiendra à jour une liste des sites internet autorisés et la mettra à la disposition du public sur son site web.

- Dans un souci de sécurité et d’information du public, la nouvelle réglementation prévoit que le site internet doit intégrer les coordonnées de l'Agence nationale de sécurité du médicament et des produits de santé (ANSM, successeur de l’Afssaps), un lien hypertexte vers le site de l'Ordre national des pharmaciens et du Ministère chargé de la santé, ainsi que le logo communautaire, qui devra être affiché sur chaque page du site internet.

- Enfin, la nouvelle réglementation prévoit que toute commande livrée en dehors de l'officine ne peut être remise qu'en paquet opaque et scellé portant le nom et l'adresse de l'acheteur, de telle sorte que le destinataire puisse s'assurer qu'il n'a pu être ouvert par un tiers. En outre, il incombe au pharmacien de veiller à ce que les conditions de transport soient compatibles avec la bonne conservation des médicaments et que toutes explications et recommandations soient mises à la disposition du patient.

    2.2 Le nécessaire respect des règles de la vente à distance

A ces règles spécifiques s’ajoutent les règles du commerce électronique, telles que prévues notamment par la Loi pour la confiance dans l’économie numérique (LCEN) du 21 juin 2004, les règles en matière de protection du consommateur et de la santé publique, ainsi que les règles relatives à la protection des données personnelles ou à la publicité.

- L’information du consommateur : ainsi, bien que non rappelé par la nouvelle réglementation, les sites de vente de médicaments devront contenir, outre les informations relatives aux mises en garde en matière de consommation de médicaments, les informations légales en matière de vente à distance aux consommateurs. Ces règles imposent notamment que l'exploitant d'un site internet s'identifie clairement auprès des internautes et que les caractéristiques essentielles des produits mis en vente, leur prix, leurs conditions de vente et de livraison soient précisés.

- La conclusion du contrat de vente en ligne : la loi ne prévoit pas de conditions spécifiques à la commande de médicaments sur internet. Il appartiendra cependant au pharmacien de respecter les règles relatives à la vente à distance prévues par le Code civil et le Code de la consommation. Ces règles prévoient notamment que pour passer commande, l'internaute doit avoir pris connaissance et effectivement accepté les conditions générales de vente.

- Les règles relatives à la publicité : en matière de vente de médicaments en ligne, il appartiendra aux pharmaciens d'être vigilants en matière de prospection commerciale et d'e-mailing. En effet,  conformément aux articles L.5125-25 et R.5125-28 CSP, il leur est interdit de solliciter des commandes auprès du public et d'avoir recours à des moyens de fidélisation de la clientèle.

- Le régime de responsabilité applicable au pharmacien en ligne : le pharmacien est responsable du contenu du site internet qu'il édite et des conditions dans lesquelles est exercée l'activité de commerce électronique de médicaments. En cas de manquement aux règles précitées et aux "bonnes pratiques de dispensation" définies par l'ANSM, le DGARS territorialement compétent peut mettre le pharmacien fautif en demeure de se conformer à ses prescriptions. A défaut de mise en conformité, le DGARS peut prononcer (i) la fermeture temporaire du site internet, pour une durée maximale de 5 mois et/ou (ii) une amende dont le montant ne peut être supérieur à 30% du chiffre d'affaires réalisé par la pharmacie dans le cadre de l'activité de commerce électronique, dans la limite d'un million d'euros.


La transposition des dispositions de la directive européenne en droit français fournit désormais un cadre légal à la vente de médicaments OTC en ligne. Cette nouvelle réglementation est cependant vivement critiquée par l'Ordre des pharmaciens qui s’est prononcé via un communiqué, dès le 20 décembre 2012.

Mettant en avant la priorité d’assurer la sécurité du patient, l’Ordre des pharmaciens rappelle notamment que le médicament n’est pas un bien de consommation ordinaire, rien ne pouvant remplacer les conseils dispensés en officine.

Cependant, d’une part, seuls les médicaments OTC peuvent être vendus en ligne. D’autre part, rien n’empêche le site d’intégrer un service de prise de contact avec un pharmacien pour se faire dispenser les conseils nécessaires.

* * * * * * * * * * * *

(1) CJCE, 11 décembre 2003, Aff. C-322/01, Deutscher Apothekerverband EV / 0800 DocMorris NV et Jacques Waterval.

(2) Résolution ResAP(2007)2 sur les bonnes pratiques en matière de distribution de médicaments par correspondance, visant à protéger la sécurité des patients et la qualité des médicaments délivrés.

(3) Directive n°2011/62/UE du Parlement européen et du Conseil du 8 juin 2011 modifiant la directive n°2001/83/CE instituant un code communautaire relatif aux médicaments à usage humain, en ce qui concerne la prévention de l’introduction dans la chaîne d’approvisionnement légale de médicaments falsifiés

(4) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments. Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.



Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2013

mardi 8 janvier 2013

Marques de vins et alcools : ne pas négliger les règles relatives à la publicité

Le choix, par un producteur, négociant ou commerçant, d'une marque désignant une boisson alcoolique, est soumis à plusieurs conditions relatives au droit des marques et aux règles applicables aux appellations d'origine, notamment prévues par le Code de la propriété intellectuelle. Ainsi, pour être valable, la marque choisie pour identifier un vin ou un alcool doit être distinctive, non trompeuse, disponible et ne pas porter atteinte aux appellations d'origine. (1)

En sus de ces conditions, les marques désignant des vins et alcools doivent respecter des règles particulières en matière de publicité, définies au Code de la santé publique. Ces règles, qui viennent d'être rappelées par la Cour de cassation, doivent être prises en compte avant d’entreprendre la procédure de dépôt d'une marque désignant des vins et alcools.


1. Rappel des règles en matière de publicité désignant des vins et alcools

Le droit des marques est régi par le principe de spécialité, en vertu duquel une marque n'est protégée que pour les produits ou services désignés. Deux marques identiques peuvent donc coexister à condition qu'elles désignent des produits ou services différents et qu’elles ne créent pas de confusion dans l’esprit du public.

Ce principe de spécialité connaît une exception en matière de marque de vins et d'alcools. Ainsi, le dépôt d’une marque désignant un vin ou alcool, postérieurement à une marque identique désignant un autre produit, est considéré comme portant atteinte au droit d’exploitation du titulaire antérieur, dans la mesure où les règles applicables à la marque pour la boisson alcoolique vont limiter le champ d’exploitation de la marque antérieure.

En effet, la publicité directe ou indirecte en faveur des boissons alcooliques fait l'objet d'une réglementation très stricte. Ce type de publicité est généralement prohibé, sauf dans les cas expressément autorisés par l'article L.3323-2 du Code de la santé publique (CSP). (2)

Lorsque la publicité est autorisée (selon le type de média, les créneaux horaires, etc.), les éléments composant cette publicité sont limitativement définis à l’article L.3323-4 du CSP et comprennent l’indication du degré volumique d'alcool, de l'origine, de la composition du produit, du nom du fabricant, du mode d'élaboration, des modalités de vente et du mode de consommation du produit, des références relatives aux terroirs de production, d'un message sanitaire précisant que “l'abus d'alcool est dangereux pour la santé”, etc.

Aux termes de l’article L.3323-3 al.1 du CSP, la publicité indirecte consiste notamment en toute publicité en faveur d'un produit ou d'un article autre qu'une boisson alcoolique qui, par l'utilisation  d'une marque, d'un emblème publicitaire ou d'un autre signe distinctif, rappelle une boisson alcoolique. (3)

Ces dispositions interdisent donc ou restreignent automatiquement toute publicité pour des produits couverts par le même signe qu'une marque d'alcool. Elles limitent ainsi les possibilités d'exploitation d'une marque antérieure désignant des produits autres que des alcools, dès lors qu'un signe identique est déposé ultérieurement pour désigner des boissons alcooliques.

C'est sur ce fondement que la Cour de cassation vient de confirmer l’annulation d'une marque désignant des boissons alcooliques.


2. La récente confirmation de l’annulation de la marque DIPTYQUE déposée par la société Hennessy

La société Diptyque, ayant pour activité la fabrication et la commercialisation de bougies parfumées et d'eaux de toilette, avait déposé la marque DIPTYQUE pour désigner des produits et services en lien avec son activité commerciale. Postérieurement à ce dépôt, la société Hennessy a déposé une marque identique pour désigner un cognac. La société Hennessy, refusant de procéder au retrait de sa marque et de retirer du marché les cognacs qu'elle commercialisait sous cette dénomination, a été assignée par la société Diptyque sur le fondement du droit des marques et des règles relatives à la publicité.

Dans un arrêt du 26 octobre 2011, la Cour d'appel de Paris avait prononcé la nullité de la marque DIPTYQUE désignant des boissons alcooliques, au motif que le titulaire de la marque antérieure  DIPTYQUE, désignant des produits cosmétiques et luminaires, ne pouvait plus promouvoir librement ses propres produits et exercer pleinement son droit de propriété sur sa marque. Selon la Cour d’appel, cette situation portait atteinte aux droits dont jouissait la société Diptyque avant le dépôt de la marque litigieuse, justifiant l'annulation de cette dernière.

La société Hennessy s’est alors pourvue en cassation afin de faire casser l’arrêt déclarant la nullité de sa marque DIPTYQUE et l’interdiction de commercialiser des boissons alcooliques sous cette dénomination.

La société Hennessy reprochait à la Cour d’appel d'avoir appliqué un raisonnement trop théorique et de ne pas avoir analysé les faits de l'espèce, à savoir les marchés visés par ces produits et l’absence de confusion.

Plusieurs raisons étaient avancées par Hennessy :

    - La publicité faite par la société Diptyque pour ses produits ne s'apparente pas à de la publicité indirecte en faveur de boissons alcoolisées au sens de l'article L.3323-3 CSP. Selon la société Hennessy, la nature des produits en cause, les clientèles et les réseaux de distribution des produits sont si distincts que la publicité faite pas la société Diptyque ne saurait "rappeler les boissons alcooliques" de la société Hennessy. Il ne peut y avoir de confusion entre les bougies et eaux de toilette dont la promotion est assurée essentiellement dans des magazines de mode et décoration et le cognac commercialisé sous la marque DIPTYQUE ;

    - Quand bien même cette publicité serait qualifiée de publicité indirecte en faveur des boissons alcoolisées, au sens de l'article L.3323-3 CSP, cette forme de publicité est autorisée dans la presse écrite (sauf publications destinées à la jeunesse) par l'article L.3323-2 du même code. Or, en l'espèce, la société Diptyque fait de la publicité pour ses produits dans des magazines de mode et décoration. Aussi, la société Hennessy estime que le dépôt de la marque DIPTYQUE pour désigner des boissons alcoolisées et l'usage de cette marque ne peut entraîner une quelconque entrave à la publicité des produits de la société Diptyque dans la presse écrite correspondant aux consommateurs de ces produits (magazines de mode ou de décoration).

Dans un arrêt du 20 novembre 2012, la Cour de cassation rejette ces arguments, en faveur d'une interprétation stricte des règles en matière de publicité. (4)

La Cour considère que la publicité faite par la société Diptyque pour ses produits constitue une publicité indirecte en faveur de boissons alcooliques et rappelle à ce titre qu'en vertu de l'article L3323-3 CSP, est "considérée comme publicité indirecte en faveur d'une boisson alcoolique et comme telle, soumise aux restrictions prévues à l'article L.3323-2 (CSP), la publicité en faveur d'un produit autre qu'une boisson alcoolique qui par l'utilisation d'une marque, rappelle une telle boisson".

La Cour constate que la société Diptyque avait, depuis le 1er janvier 1990, mis sur le marché sous sa marque DIPTYQUE divers produits autres que des boissons alcooliques, et que la société Hennessy faisait usage d'une marque identique pour commercialiser des boissons alcooliques. Elle conclut alors que la "Cour d'appel, en a exactement déduit, sans avoir à faire d'autres recherches, que le dépôt de la marque DIPTYQUE par la société Hennessy et la commercialisation de produits sous celle-ci créaient une entrave à la libre utilisation de la marque première". La Cour a donc rejeté le pourvoi formé par la société Hennessy et confirmé la décision de la Cour d’appel de Paris, à savoir, l’annulation de la marque DIPTYQUE déposée par la société Hennessy.


En conséquence, compte tenu de la réglementation et de son application jurisprudentielle, il est vivement recommandé aux producteurs, négociants ou distributeurs souhaitant déposer une marque pour promouvoir des boissons alcooliques, de sélectionner la marque avec une attention toute particulière. Il conviendra ainsi de s'assurer au préalable qu’une marque identique ou similaire n’est pas déjà enregistrée, non seulement dans les classes considérées pour les boissons alcooliques, mais dans toutes autres classes de produits et services. Comme rappelé plus haut, la validité de la marque pour une boisson alcoolique sera analysée non seulement au regard des critères habituels (caractère distinctif, non trompeur, disponible) mais également au regard des règles relatives à la publicité des alcools, telles que définies au Code de la santé publique.


* * * * * * * * * * *

(1) Voir notre précédent article sur ce thème, publié sur ce blog intitulé "Les règles spécifiques applicables aux marques de vins et alcools" http://dwavocat.blogspot.fr/2012/02/les-marques-de-vins-et-alcools-des.html

(2) Article L.3323-2 CSP : La publicité, directe ou indirecte, en faveur des boissons alcooliques est autorisée exclusivement "1°) Dans la presse écrite à l'exclusion des publications destinées à la jeunesse ; 2°) Par voie de radiodiffusion sonore pour les catégories de radios et dans les tranches horaires déterminées par décret en Conseil d'Etat ; 3°) Sous forme d'affiches et d'enseignes ; d'affichettes et d'objets à l'intérieur des lieux de vente à caractère spécialisé, dans des conditions définies par décret en Conseil d'Etat ; 4°) Sous forme d'envoi par les producteurs, les fabricants, les importateurs, les négociants, les concessionnaires ou les entrepositaires, de messages, de circulaires commerciales, de catalogues et de brochures ; 5°) Par inscription sur les véhicules utilisés pour les opérations normales de livraison des boissons, dès lors que cette inscription ne comporte que la désignation des produits ainsi que le nom et l'adresse du fabricant, des agents ou dépositaires, à l'exclusion de toute autre indication ; 6°) En faveur des fêtes et foires traditionnelles consacrées à des boissons alcooliques locales et à l'intérieur de celles-ci, dans des conditions définies par décret ; 7°) En faveur des musées, universités, confréries ou stages d'initiation oenologique à caractère traditionnel ainsi qu'en faveur de présentations et de dégustations, dans des conditions définies par décret ; 8°) Sous forme d'offre, à titre gratuit ou onéreux, d'objets strictement réservés à la consommation de boissons contenant de l'alcool, marqués à leurs noms, par les producteurs et les fabricants de ces boissons, à l'occasion de la vente directe de leurs produits aux consommateurs et aux distributeurs ou à l'occasion de la visite touristique des lieux de fabrication ; 9°) Sur les services de communications en ligne à l'exclusion de ceux qui, par leur caractère, leur présentation ou leur objet, apparaissent comme principalement destinés à la jeunesse, ainsi que ceux édités par des associations, sociétés et fédérations sportives ou des ligues professionnelles au sens du code du sport, sous réserve que la propagande ou la publicité ne soit ni intrusive ni interstitielle ".

(3) On se souviendra, par exemple, de l’annulation en France de la marque CHAMPAGNE, déposée par la société Yves Saint Laurent en 1993 pour désigner un parfum, par la Cour d’appel de Paris (arrêt du 15 décembre 1993) suite à l’action intentée par le CIVC (Comité interprofessionnel du vin de Champagne). Cette décision était cependant fondée sur la notion de concurrence parasitaire par rapport à la notoriété du vin de Champagne. L’application des règles énoncées au Code de la santé publique, aux articles L.721-1 du Code de la propriété intellectuelle et L.115-1 du Code de la consommation à cette affaire aurait très certainement abouti à la même décision.

(4) Cass. com., 20 novembre 2012, n°12-11753, société Diptyque c/ société JAS Hennessy

Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2013