Messages les plus consultés

jeudi 11 juillet 2013

Cybercriminalité : la réponse pénale de l'Union européenne aux attaques contre les systèmes d'information

Partant du constat que les cyberattaques contre les Etats et les entreprises se multiplient et qu'à grande échelle ces d'attaques sont susceptibles de provoquer "des dommages économiques notables, tant du fait de l'interruption des systèmes d'information et des communications qu'en raison de la perte ou l'altération d'informations confidentielles importantes d'un point de vue commercial ou d'autres données", le Parlement européen vient d'adopter, en première lecture, une proposition de directive relative aux attaques visant les systèmes d’information. (1)

Ce texte, adopté à la majorité absolue (541 voix, 91 contre et 9 abstentions), définit les infractions punissables et les sanctions en cas d'attaques contre les systèmes d'information. En outre, il vise à faciliter la prévention de ces infractions et à améliorer la coopération entre les autorités compétentes des Etats membres. Voici ce qu'il faut retenir.


1. Les actes de cybercriminalité sanctionnés


La proposition de directive exige que les États membres érigent en infraction pénale punissable les cinq types d'agissements suivants :

    - l'accès illégal à tout ou partie des systèmes d'information, à savoir l'accès commis en violation d'une mesure de sécurité ;

    - l'atteinte illégale à l'intégrité d'un système d'information, à savoir le fait de provoquer une perturbation grave ou une interruption du fonctionnement d'un système, en introduisant, effaçant, altérant, ou rendant inaccessibles des données informatiques ;

    - l'atteinte illégale à l'intégrité des données, à savoir le fait d'endommager, de détériorer, de supprimer ou de rendre inaccessibles des données informatiques d'un système ;

    - l'interception illégale (par des moyens techniques de transmissions non publiques) de données informatiques à destination, en provenance ou à l'intérieur d'un système d'information ;

    - enfin la mise à disposition (production, vente, importation, diffusion) d'outils (logiciels ou codes d'accès) utilisés dans l'intention de commettre l’une des infractions visées ci-dessus.

Ces actes doivent être commis de manière intentionnelle et sans droit, à savoir sans l'autorisation du propriétaire du système. Le texte exclut de la liste des infractions les "cas mineurs" d'attaques.  Il appartiendra à chaque Etat membre de définir ces "cas mineurs" et le cas échéant, de sanctionner ces attaques, selon leur droit national.

Le droit français sanctionne déjà une partie de ces agissements, à savoir les "atteintes aux systèmes de traitement automatisé de données" (STAD)(articles 323-1 et s. Code pénal).


2. Les personnes punissables de cyberattaques


Les auteurs des infractions mentionnées ci-dessus seront sanctionnés. Il en va de même pour la personne qui aura incité l'auteur à commettre l'une de ces infractions ou qui sera son complice. En outre, sera également punie la personne qui aura tenté de commettre une atteinte illégale à l'intégrité d'un système ou des données.

Par ailleurs, la proposition de directive prévoit que les personnes morales pourront être tenues responsables des infractions, lorsque celles-ci sont commises pour leur compte (par exemple “pirate” informatique mandaté pour attaquer la concurrence). Le droit français sanctionne également les personnes morales en cas d'atteintes à un STAD.

Si la proposition de directive sanctionne les entreprises, ce texte ne prévoit aucune sanction en cas de cyberattaque orchestrée par un Etat.


3. L'adoption de sanctions pénales : des peines plancher d'emprisonnement


La proposition de directive précise que les sanctions doivent être effectives, proportionnées et dissuasives. Ainsi, le texte exige que les Etats membres punissent les cyberdéliquants de peines d'emprisonnement, dont la durée minimum est fixée par le Parlement et le Conseil. Ces peines varient selon les infractions commises, allant de 2 à 5 ans.

Ainsi, la proposition de directive prévoit notamment qu'une personne coupable d'avoir utilisé un réseau d'ordinateurs zombies ("botnet") doit être punie d'un minimum de 3 ans d'emprisonnement. Quant aux pirates informatiques qui attaquent le système d'information d'une infrastructure critique (ex: centrales nucléaires, réseaux de transport et gouvernementaux), qui agissent dans le cadre d'une organisation criminelle ou qui causent de graves préjudices, ils devront être punis d'un minimum de 5 ans d'emprisonnement. La notion de "grave préjudice" n'est cependant pas définie dans le texte.

Le texte prévoit également des sanctions spécifiques à l'encontre des personnes morales, à savoir des amendes et des peines complémentaires telles que la fermeture temporaire ou définitive d'établissements ayant servi à commettre l'infraction.

En France, les infractions existantes en matière d'atteintes à un STAD sont punies de peines d'emprisonnement - de 2 à 7 ans, et d'amendes - de 30.000€ à 100.000€. Toutefois, contrairement aux dispositions de la proposition de directive, ces sanctions sont des peines maximales. Le recours aux peines plancher est peu utilisé dans notre système pénal ; traditionnellement, la loi pénale française fixe pour chaque infraction la peine maximale encourue, que le juge ne peut dépasser mais dont il est libre de faire une application partielle en fonction des faits de l'espèce et de la personnalité du condamné. Aussi, lorsque la directive sera adoptée, il appartiendra à la France de renforcer ses sanctions.


4. La poursuite des infractions et la coopération entre les Etats membres

La compétence des Etats membres  -  La proposition de directive prévoit que les Etats membres sont compétents lorsque l'une des infractions, mentionnées ci-dessus, a été commise, soit en tout ou en partie sur leur territoire, soit par l’un de leurs ressortissants, sous réserve que l'acte frauduleux constitue une infraction dans le pays où il a été commis.
En outre, lorsque l'acte cybercriminel a été commis en tout ou en partie sur son territoire, un État membre veille à se déclarer compétent lorsque : a) l'auteur de l'infraction a commis celle-ci alors qu'il était physiquement présent sur son territoire, que l'infraction vise un système d'information situé sur son territoire ou non ; ou b) l'infraction vise un système d'information situé sur son territoire, que l'auteur de l'infraction soit physiquement présent sur son territoire ou non lors de la commission de l'infraction.

Enfin, le texte prévoit qu'un Etat membre peut établir sa compétence, après en avoir informé la Commission européenne, lorsqu'une infraction a été commise en dehors de son territoire mais que, soit l'auteur de l'infraction réside habituellement sur son territoire, soit l'infraction a été commise pour le compte d'une personne morale établie sur son territoire.

La proposition de directive offre donc aux Etats membres une compétence juridictionnelle très étendue en matière de cyberattaques. Cette extension est telle que, selon les cas, plusieurs Etats pourraient se déclarer compétents à l'égard d'une même infraction. Or, le texte ne prévoit pas de solution particulière dans l'hypothèse où plusieurs Etats revendiqueraient une telle compétence.

Une coopération renforcée  -  Afin de lutter efficacement contre les attaques de cyberdéliquants, la proposition de directive souhaite mettre en place un système d'échange d'informations relatives aux infractions entre les Etats.

Pour ce faire, le texte exige que les États membres mettent en place un système de suivi des infractions (nombre d'infractions et nombre de personnes poursuivies et condamnées enregistrées), puis transmettent à la Commission les statistiques recueillies. Ces statistiques seront ensuite communiquées aux agences et organes spécialisés compétents de l'Union.

Par ailleurs, la proposition de directive créerait un réseau d'information et imposerait ainsi aux Etats membres de disposer de points de contact nationaux opérationnels chargés de relayer les informations pertinentes. Ces points de contact devraient être disponibles 24h/24 et 7j/7 et capables de répondre, dans un délai de 8 heures, à une demande urgente d'un autre Etat membre. Le texte ne donne pas d'information quant à l'organisation et la composition des équipes de ces points de contacts.


Cette proposition de directive doit désormais être votée par le Conseil. Une fois adoptée, les 28 Etats membres auront deux ans pour transposer la directive dans leurs droits nationaux.

Ce texte, qui vise à mettre en oeuvre une approche cohérente et globale de lutte contre la cybercriminalité, se situe dans le prolongement de la publication d'une stratégie commune de cybersécurité ainsi d’une proposition de directive relative à la sécurité des réseaux et de l’information. (2)

Cependant, face aux cybermenaces, les Etats membres n'attendent pas que la politique commune de l'Union soit définitivement adoptée pour agir aux niveaux nationaux et commencer à s’organiser. C'est ainsi qu'en avril 2013, la France a publié un nouveau Livre blanc sur la Défense et la Sécurité nationale. Ce livre blanc définit une stratégie nationale de cyberdéfense visant à prévenir et riposter aux cyberattaques. (3) De même, le gouvernement britannique vient d'entériner un accord visant à lutter contre les cybermenaces, avec neuf sociétés du secteur des télécommunications, de la défense, de l’aéronautique et des technologies de l’information. Cet accord a pour objectif d'établir un environnement collaboratif propice au partage du savoir et de l’expertise en matière de cyberdéfense. Il comporte plusieurs volets, tels que la protection des infrastructures, la surveillance préventive des systèmes ennemis et la sécurisation des réseaux au sein des agences gouvernementales. (4)


                                                     * * * * * * * * * *

(1) Résolution législative du Parlement européen du 4 juillet 2013 sur la proposition de directive du Parlement européen et du Conseil relative aux attaques visant les systèmes d'information et abrogeant la décision-cadre 2005/222/JAI du Conseil.

(2) Communication conjointe au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions. Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et de l'information dans l'Union, Bruxelles, le 7.2.2013 COM(2013) 48 final 2013/0027 (COD).

(3) Voir notre article "Cyberdéfense : la stratégie nationale dévoilée dans le dernier Livre blanc sur la Défense et la Sécurité nationale", publié le 21 mai 2013 sur le blog du Cabinet (http://dwavocat.blogspot.fr/).

(4) Voir un article "Cyberdéfense : le Royaume-Uni consolide son arsenal", publié le 5 juillet 2013, sur http://www.itespresso.fr/.


Betty SFEZ - Avocat

Deleporte Wentz Avocat
http://www.deleporte-wentz-avocat.com/
Juillet 2013

vendredi 5 juillet 2013

Une nouvelle norme AFNOR pour assainir le domaine des avis de consommateurs sur internet

On connaît l’importance de l’influence des avis de consommateurs sur la décision d’achat en ligne, que ce soit pour les achats de biens ou de prestations (choix d’un hôtel ou d’un restaurant) et donc sur l’e-réputation des produits et commerces référencés.
Selon une enquête réalisée par le cabinet Easypanel en mars 2013, citée par la société Testntrust, 82% des e-consommateurs consulteraient “toujours” ou “parfois” les avis pour les guider dans leur décision d’achat. (1) Par ailleurs, selon LaFourchette.com, site comparateur de restaurants, l’augmentation d’un point de la note moyenne d’un restaurant se traduirait par une augmentation de 6% du nombre de réservations mensuelles. (2) A contrario, la baisse de cette note entraîne une baisse du chiffre d’affaires du commerce en cause.
Malheureusement nombre de sites affichent de faux avis de consommateurs : personnes n’ayant jamais acheté le produit ou séjourné à l’hôtel en référence, personnes rédigeant des avis contre rémunération, ou sites achetant de faux avis à des agences “spécialisées”.

Afin d’assainir ce domaine, une nouvelle norme “Avis en ligne des consommateurs” vient d’être publiée par l’AFNOR le 4 juillet. Cette norme, qui concerne tous types de produits et services et tous types de sites (sites comparateurs ou sites de e-commerce), a pour objet de maintenir la confiance des consommateurs sur ces avis en prônant plus de transparence. (3)


1. Les trois étapes du traitement des avis de consommateurs sur internet


La norme traite les avis en trois étapes, à savoir : l’étape de la collecte de l’avis, sa modération par le site web et enfin la restitution ou publication de l’avis sur le site.

- La collecte de l’avis
La collecte de l’avis du consommateur doit être conforme aux principaux points suivants : l’auteur s’engage à avoir effectivement acheté le produit ou utilisé le service et cette expérience doit pouvoir être vérifiée ; l’auteur de l’avis doit être identifié (l’avis peut cependant être anonymisé sur le site) et pouvoir être contacté (adresse email et téléphone par exemple) ; le site a interdiction d’acheter des avis.

- La modération par le site

Les avis doivent être modérés a priori, de manière automatique ou humaine. Le modérateur doit maîtriser la langue dans laquelle l’avis a été rédigé. Les règles de modération des avis sont décrites aux conditions de vente (CGV) ou d’utilisation (CGU) du site. Le délai de modération doit être rapide et les motifs de rejet d’un avis doivent être indiqués. Une fois en ligne, l’avis ne peut être modifié, mais il peut être supprimé à la demande de son auteur.

- La restitution (publication) de l’avis
Les avis doivent être publiés par ordre chronologique (plus récent au plus ancien), d’autres types de tri étant possibles. Les méthodes de calcul des notes globales et les délais de prise en compte des notes doivent être claires. Enfin, le délai de restitution (publication) doit être rapide et affiché.


2. Les conditions de mise en conformité par les sites de e-commerce

Pour rappel, la norme n’est pas une loi mais un texte consensuel élaboré par un panel de professionnels et qui reflète l’état de l’art. Les normes sont en principe revues tous les cinq ans environ, et sont donc évolutives.

La norme sur les avis en ligne des consommateurs n’est pas d’application obligatoire. Les professionnels qui le souhaitent peuvent soit décider de l’appliquer volontairement, soit obtenir une certification.

- L’auto-déclaration
Les sites comparateurs et de e-commerce collectant des avis de consommateurs peuvent décider de se mettre en conformité avec la norme NF Z74-501 par une auto-déclaration de conformité. Cependant, l’auto-déclaration de conformité à la norme engage la responsabilité de l’exploitant du site en cas de contrôle de la DGCCRF par exemple.

L’utilisation abusive d’une norme AFNOR est sanctionnée par le code de la consommation au titre des pratiques commerciales trompeuses. (4)

- La certification

La certification a pour objet de faire contrôler et attester par un organisme certificateur tiers la conformité des pratiques à la norme en référence.


Les critères figurant dans cette norme sur les avis en ligne de consommateurs peuvent paraître soit relever du bon sens (interdiction d’acheter de faux avis) soit poser des règles trop contraignantes (règles de modération). Cependant, la norme a le mérite de créer un référentiel de confiance pour assainir le domaine des avis, qui, comme nous l’avons rappelé plus haut, est un élément clé dans la décision d’achat des consommateurs. La question sera de voir comment cette norme sera accueillie par les sites comparateurs, et si elle sera par la suite étendue à l’international.

Enfin, bien que cette norme soit générique en ce qu’elle a vocation à s’appliquer à tous types de biens et de services et à tous types de sites recueillant des avis de consommateurs, elle ne prend a priori pas en compte les avis publiés sur les réseaux sociaux (Facebook, Twitter), qui restent à prendre avec “modération”, ni les “likes” (j’aime) et autres “followers”, mais il s’agit là d’un autre sujet.

                                                        * * * * * * * * * *

(1) Communiqué de la société Testntrust du 17 avril 2013

(2) Cité dans l’article des Echos “Le e-commerce chasse les faux avis de consommateurs”, publié le 2 juillet 2013

(3) Norme AFNOR Avis en ligne des consommateurs NF Z74-501

(4) Voir art. L.121-1 et s. et art. L.213.1 et s. du code de la consommation. Les peines maximum encourues s’élèvent à 37 500€ pour l’exploitant du site personne physique et 187 500€ pour les personnes morales.



Bénédicte DELEPORTE – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013

mardi 2 juillet 2013

E-pharmacie : les conditions de vente de médicaments sur internet enfin précisées

Les médicaments sont des produits particuliers et leur vente sur internet, bien que désormais autorisée avec l’ordonnance et le décret d’application de décembre 2012, reste très encadrée. (1)

Conformément à l’article L.5121-5 du Code de la santé publique, le gouvernement vient de publier l’arrêté relatif aux bonnes pratiques de dispensation des médicaments par voie électronique. Cet arrêté a pour objet de préciser les conditions et recommandations relatives aux sites de e-pharmacie (conception du site et exploitation) et à la vente des médicaments en ligne (présentation des produits et conditions de vente). Il doit entrer en vigueur le 12 juillet 2013. (2)

La mise en place de la réglementation relative à la vente de médicaments en ligne s’élabore cependant dans la douleur. En effet, à la suite de la publication des textes de décembre 2012, le Conseil d’Etat a rendu une ordonnance en référé le 14 février 2013 relative aux catégories de médicaments pouvant être vendus en ligne. La réglementation française se voulant plus restrictive que la directive européenne, le Conseil d’Etat a ordonné la suspension du nouvel article L.5125-4 du Code de la santé publique qui interdisait la vente en ligne non seulement aux médicaments soumis à prescription obligatoire, mais également à une partie des médicaments en vente libre. (3) Or, la vente en ligne devait être autorisée pour tous les médicaments vendus sans ordonnance. Par ailleurs, le premier projet d’arrêté, datant de février, avait fait l’objet d’un avis défavorable de la part de l’Autorité de la concurrence. En effet, ce projet comportait plusieurs mesures restrictives de concurrence, jugées non justifiées par des considérations de santé publique (notamment interdiction de vente, sur le même site, de médicaments et de produits de para-pharmacie, ou restrictions en matière de liberté des prix). (4)

L’arrêté du 20 juin 2013 a levé ces restrictions. Nous rappelons ci-après les principales dispositions de cet arrêté, à savoir les conditions spécifiques relatives à la conception et à l’exploitation d’un site de e-pharmacie, à l’exercice de l’activité de e-pharmacien et à la vente de médicaments en ligne.


1. La conception et l’exploitation du site de e-pharmacie

Afin de respecter les particularités liées à la profession de pharmacien (profession réglementée), et à la vente de médicaments (produits particuliers), le site de e-pharmacie doit respecter certaines obligations de nature technique et interdictions, en sus des règles généralement applicables à la création et à l’exploitation d’un site de commerce électronique.

- L’exploitation du site de e-pharmacie : l’ordonnance de décembre 2012 réserve l’exploitation des sites de e-pharmacie aux pharmaciens titulaires d’une officine. La création du site est soumise au dépôt d’une demande d’autorisation auprès du directeur général de l’Agence Régionale de Santé (DGARS) ainsi que l’information du Conseil de l’Ordre des pharmaciens. (5)

L’arrêté de juin 2013 fixe des règles supplémentaires devant être respectées par le pharmacien souhaitant se lancer dans le commerce de médicaments en ligne.

L’exploitation d’un site de e-pharmacie est soumise à certaines interdictions justifiées par le souci de préserver l’indépendance professionnelle du pharmacien, le secret professionnel,  la communication d’informations neutres et objectives, conformément aux règles de déontologie décrites dans le Code de la santé publique.

Il est interdit au e-pharmacien :
    - de faire financer la création et l'exploitation du site par une entreprise produisant ou commercialisant des produits de santé (laboratoire pharmaceutique),
    - de sous-traiter à un tiers l'activité de vente par internet, à l'exception de la conception et de la maintenance techniques du site,
    - de recourir à des techniques de référencement payant via des moteurs de recherche ou des comparateurs de prix.

Enfin, sont interdits les liens hypertextes vers les sites des entreprises pharmaceutiques et les forums de discussion.

- Le choix du nom de domaine
: le e-pharmacien n’a pas une liberté totale de choix du nom de domaine pour sa pharmacie en ligne. L’arrêté “recommande” que l'adresse du site internet comprenne le nom du pharmacien, éventuellement accolé à celui de l'officine. Ainsi, le nom de domaine ne doit pas être fantaisiste, ni tromper le patient sur le contenu du site, ou avoir un objectif promotionnel.

En outre, le nom de domaine doit évidemment respecter la réglementation en vigueur et notamment les dispositions du Code des postes et communications électroniques.

- Les mentions légales obligatoires : le site de e-pharmacie doit comporter des informations relatives à l’identification de l’exploitant du site conformément aux règles énoncées dans la loi pour la confiance dans l’économie numérique (LCEN du 21 juin 2004), complétées par les informations spécifiques telles que le numéro Répertoire Partagé des Professionnels de Santé du pharmacien, le numéro de licence de la pharmacie. Le site doit également intégrer des liens hypertextes vers les sites internet de l'Ordre national des pharmaciens et du Ministère chargé de la santé (qui tiennent à jour une liste des sites internet de pharmacies autorisés) et celui de l'Agence nationale de sécurité du médicament et des produits de santé.

- Le contenu du site de e-pharmacie
: Le site n’est pas limité à la seule vente de médicaments. Le e-pharmacien pourra ainsi proposer à la vente en ligne toutes les autres gammes de produits vendues dans son officine, notamment les produits de para-pharmacie, de soin ou vétérinaires par exemple.

Le site devra cependant comporter un onglet spécifique à la vente de médicaments, afin de distinguer clairement les médicaments des autres produits vendus par le e-pharmacien.

Un espace privé pour chaque client-patient doit pouvoir être créé. Ce compte personnel du client récapitulera l’intégralité des commandes et des échanges avec le pharmacien.


2. L’exercice de l'activité d’e-pharmacien

L’activité de e-pharmacien s’exerce dans le prolongement de celle de pharmacien. Ainsi, comme mentionné ci-dessus, le pharmacien qui exploite un site de vente en ligne reste soumis à la réglementation prévue au Code de la santé publique, qui vient s’ajouter à celle relative au commerce électronique.

L’arrêté de juin 2013 prévoit plusieurs obligations spécifiques à la charge du e-pharmacien.

- La prolongation de l’obligation d’information et de conseil du patient, en ligne : la vente de médicaments en ligne est soumise à la possibilité d’établir un échange interactif et personnalisé entre le pharmacien et le patient avant la validation de la commande. Les réponses automatisées aux questions des patients ne permettent pas d’assurer une information pertinente et un conseil adapté aux besoins du patient.

Le e-pharmacien doit s'assurer de l'adéquation de la commande à l'état de santé du patient.  Pour ce faire, le site de e-pharmacie doit intégrer les éléments suivants : 
    - un questionnaire à remplir obligatoirement par le patient avant la validation de sa première commande en ligne. Ce questionnaire, dans lequel le patient renseigne son âge, son poids, etc. est validé par le e-pharmacien avant la validation de la commande ;
    - un dispositif technique, sécurisé et assurant la confidentialité des échanges, permettant le dialogue entre le pharmacien et le patient, par email ou tchat.

Outre le conseil et l'information au stade de la commande, le patient doit pouvoir poser des questions complémentaires au e-pharmacien, qui a l'obligation d'y répondre, via email ou tchat. Tous les échanges entre le e-pharmacien et le patient sont tracés, chiffrés et archivés.

- Le contrôle pharmaceutique
: le contrôle de la quantité de médicaments à délivrer au patient est réalisé par le pharmacien. Un dispositif de blocage des commandes doit être mis en place sur le site pour éviter le dépassement de la quantité maximale autorisée. Une quantité minimale d'achat ne peut être exigée et le patient doit pouvoir ne commander qu'une seule boîte d'un médicament. Le e-pharmacien assure personnellement la délivrance et contrôle que le médicament qu'il délivre est bien celui commandé.

- La protection des données personnelles des patients : les données de santé sont des données considérées comme sensibles, faisant l'objet d'une protection renforcée. En qualité de responsable du traitement, le e-pharmacien est soumis aux dispositions de la loi Informatique et Libertés du 6 janvier 1978.


3. Les conditions de vente en ligne des médicaments

Hormis les règles généralement applicables à la vente en ligne, l’arrêté prévoit des conditions spécifiques additionnelles pour la vente de médicaments en ligne.

- Catégorie de médicaments autorisés à la vente en ligne
: l’arrêté du juin 2013 confirme la catégorie de médicaments pouvant être vendus sur internet, à savoir les médicaments “de médication officinale qui peuvent être présentés en accès direct au public en officine, ayant obtenu l'autorisation de mise sur le marché (…)”. Les médicaments soumis à prescription obligatoire restent exclus de la vente sur internet.

- La présentation des produits en ligne
: les conditions de présentation des médicaments sont strictement encadrées, de manière à rester neutres, claires, non trompeuses et informatives. L’arrêté précise ainsi les informations devant figurer sur les fiches produits,  telles que les dénominations de fantaisie et commune du médicament, les indications thérapeutiques de l'autorisation de mise sur le marché, etc. ainsi que la manière de classer les médicaments (par catégorie générale d'indication - douleurs, fièvre, nausées, toux… - puis de substances actives).

- Les prix : l'affichage du prix doit être visuellement identique pour chaque médicament afin d'éviter toute promotion ou mise en avant d'un médicament par rapport à un autre. Les frais de livraison sont en sus et précisés au moment de la commande.

- Les conditions de vente des médicaments : la vente de médicaments est soumise à des conditions spécifiques.

    - L’âge minimum du client : la vente de médicaments en ligne est réservée aux personnes ayant au moins 16 ans.

    - Les conditions générales de vente : la vente des médicaments en ligne est soumise à des conditions générales de vente (CGV). Les CGV doivent avoir été effectivement acceptées par le client-patient avant la conclusion de la commande, ou au plus tard avant le paiement. Ces conditions sont clairement présentées et facilement accessibles pour le patient.

Il est à préciser que le consommateur qui achète des médicaments en ligne ne bénéficie pas du droit de rétractation. L'absence du droit de rétractation doit être indiquée de manière claire dans les CGV et rappelée avant la validation de la commande.

    - La préparation de la commande et la livraison : les délais de traitement de la commande et de livraison sont précisés au patient. La préparation des commandes ne peut se faire qu'au sein de l'officine, dans un espace adapté à cet effet.

Le médicament est envoyé dans un paquet scellé par l'officine de pharmacie, sous la responsabilité du pharmacien. Le patient peut également se déplacer à l'officine pour prendre livraison de la commande.

    - Les réclamations : en cas d'erreur de délivrance (erreur de produit ou produit détérioré), le e-pharmacien doit rembourser le patient selon les modalités décrites dans les CGV.


Ainsi, les sites de e-pharmacie peuvent proposer à la vente, non seulement les médicaments non soumis à ordonnance, mais également les autres produits proposés dans l’officine. Le site internet de e-pharmacie devient ainsi le prolongement virtuel d’une officine de pharmacie.

La e-pharmacie est cependant très encadrée depuis la conception du site web jusqu’aux conditions de vente. Aussi, avant de se lancer dans la vente de médicaments en ligne, il est recommandé aux e-pharmaciens de s’assurer de la conformité du site et des modalités de vente aux règles mentionnées ci-dessus ainsi qu’aux règles propres au commerce électronique, sans oublier les règles professionnelles et déontologiques inscrites dans le Code de la santé publique.
                                                      * * * * * * * * * * * * *

(1) Ordonnance n°2012-1427 du 19 décembre 2012 relative au renforcement de la sécurité de la chaîne d'approvisionnement des médicaments, à l'encadrement de la vente de médicaments sur internet et à la lutte contre la falsification de médicaments ; Décret n°2012-1562 du 31 décembre 2012 relatif au renforcement de la sécurité de la chaîne d’approvisionnement des médicaments et à l’encadrement de la vente de médicaments sur internet. Articles L.4211-1, L.5122-6-1, L.5125-33 et s., R.5125-26 et R.5125-70 et s. CSP.

(2) Arrêté n°AFSP1313848A du 20 juin 2013 relatif aux bonnes pratiques de dispensation des médicaments par voie électronique.

(3) Ordonnance du Conseil d’Etat n°365459 du 14 février 2013

(4) Avis de l’Autorité de la concurrence n°13-A-12 du 10 avril 2013 relatif à un projet d’arrêté de la ministre des affaires sociales et de la santé relatif aux bonnes pratiques de dispensation des médicaments par voie électronique

(5) Voir notre article “La nouvelle réglementation française sur la vente de médicaments sur internet”, publié sur notre Blog le 14 janvier 2013 (http://dwavocat.blogspot.fr/2013/01/la-nouvelle-reglementation-francaise.html).





Article publié sur le Journal du Net le 3/07/2013


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Juillet 2013