Messages les plus consultés

mardi 23 avril 2019

Résiliation contractuelle et stricte application de la clause résolutoire

En vertu de l’article 1103 du code civil, “Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits”. (1) Cette disposition s’applique tant aux conditions d’exécution du contrat qu’aux conditions de résiliation qui ont été prévues par les parties. (2)

La Cour de cassation l’a rappelé dans deux arrêts dans lesquels les juges ont fait une stricte application de la clause résolutoire figurant dans les contrats pour apprécier la régularité de la résiliation.


1. Les conditions de mise en oeuvre de la clause résolutoire

Dans une première affaire, la propriétaire d’un immeuble avait vendu son bien, avec une partie en rente viagère. L’acheteur (débirentier) n’ayant pas réglé des rentes à leur échéance, le 6 avril 2012 la vendeuse (crédirentier) a fait signifier un commandement de payer visant la clause résolutoire figurant au contrat de vente. Le 9 mai 2012, le crédirentier a assigné le débirentier, alors en redressement judiciaire, pour voir constater l’acquisition de la clause résolutoire du contrat de vente et obtenir le paiement des sommes dues par ce dernier.

La clause résolutoire figurant au contrat de vente stipulait “qu’à défaut par le débirentier de payer exactement les arrérages de la rente, et en cas de mise en demeure par le crédirentier au débirentier d’avoir à acquitter ladite rente, la vente sera résolue de plein droit, après un simple commandement de payer resté infructueux et contenant déclaration par le crédirentier de son intention d’user du bénéfice de ladite clause”.

Le commandement de payer signifié au débirentier faisait effectivement référence à la clause résolutoire du contrat. Le crédirentier avait en outre manifesté “sans ambiguïté”, sa volonté d’appliquer cette clause, avec effet immédiat. La Cour d’appel avait ainsi conclu au caractère régulier du commandement de payer.

Dans un arrêt du 17 octobre 2018, la Cour de cassation a cassé l’arrêt de la Cour d’appel d’Aix en Provence du 1er mars 2017, au motif que cette dernière n’avait pas correctement tiré les conséquences légales de ses constatations sur l’application de la clause résolutoire du contrat. (3)

Selon les termes de cette clause, la résolution du contrat était soumise à un délai accordé au débirentier pour régler les sommes impayées (“commandement de payer resté infructueux”). En conséquence, la Cour de cassation a décidé que la résolution du contrat devait être impartie d’un délai au débirentier pour régler les sommes impayées, appliquant strictement les termes de la clause résolutoire.


2. L’incompatibilité d’une faute grave avec l’application d’un préavis de résiliation

Dans cette seconde affaire, un radiologue avait conclu un contrat d’exploitation d’un scanner avec une clinique, en date du 21 décembre 2010. La clause résolutoire prévoyait que les parties pourraient mettre fin au contrat sous réserve d’un préavis de six mois. En cas de résiliation par la clinique, celle-ci devait verser au médecin une indemnité correspondant à un an de chiffre d’affaires. En revanche, en cas de faute grave de la part du médecin, la résiliation serait immédiate et celui-ci n’aurait pas droit à l’indemnité.

Par courrier du 25 juillet 2014, la clinique a résilié le contrat à effet du 31 janvier 2015, s’appuyant sur un certain nombre de griefs, mais en s’opposant au versement de l’indemnité.

Le médecin a assigné la clinique en versement de l’indemnité contractuelle prévue à la clause résolutoire.

Le litige portait notamment sur la qualification de la faute imputable au médecin, et sur les conditions applicables à la résiliation du contrat. En effet, soit la clinique estimait que le médecin avait commis une faute grave, et dans ce cas la résiliation était immédiate et ne donnait pas lieu au versement de l’indemnité prévue au contrat, soit la faute n’était pas qualifiée de “grave”, et dans ce cas la résiliation était assortie du préavis de 6 mois et du versement de l’indemnité contractuelle.

Dans un arrêt rendu le 14 novembre 2018, la Cour de cassation a une nouvelle fois fait une application stricte des termes du contrat et relève la contradiction entre le fait de retenir une faute grave à l’encontre du cocontractant et refuser de lui régler l’indemnité contractuelle, et le fait d’assortir la résiliation d’un préavis de 6 mois. Ainsi, les juges soulignent “qu’une faute grave, par son importance, rend impossible le maintien d’un contrat d’exploitation ou d’exercice” conclu entre un médecin et un établissement de santé pendant la durée du préavis. La faute grave “ne peut, dès lors être retenue que si la résiliation a été prononcée avec effet immédiat.” (4)

La Cour d’appel de Paris, dans son arrêt du 15 juin 2017, avait relevé que la clinique avait résilié le contrat en accordant à la société (au médecin) un préavis de six mois. La qualification de faute grave ne pouvait donc s’appliquer. La cour de cassation a confirmé l’arrêt d’appel mais a prononcé la cassation partielle sur le montant de l’indemnité due par la clinique au médecin.


   La résiliation anticipée d’un contrat est désormais régie par l’article 1225 du code civil, dans sa version en vigueur depuis la réforme du droit des contrats. (5) Un contrat ne peut être résilié de manière anticipée que sous réserve 1- d’une mise en demeure restée sans effet, et 2- que la mise en demeure mentionne expressément la clause résolutoire figurant au contrat. Les parties peuvent cependant prévoir que le contrat sera résilié du seul fait de l’inexécution de ses obligations par une partie.

Il convient donc d’une part de rédiger les clauses résolutoires dans des termes clairs, en précisant les différentes situations pouvant entraîner la résiliation du contrat (manquement contractuel, faute grave - et éventuellement fournir des exemples de manquements qui pourront être qualifiés de faute grave), et d’autre part de s’assurer de les exécuter correctement en cas de mise en oeuvre de la clause de résiliation anticipée du contrat.


                                                                      * * * * * * * * * *

(1) ancien article 1134 al.1 du code civil dans sa version antérieure à l’ordonnance du 10 février 2016.

(2) article 1184 du code civil, dans sa version antérieure à l’ordonnance du 10 février 2016, remplacé par les articles 1224 à 1230 du code civil

(3) Cass com, affaire n°17-17935, arrêt du 17 octobre 2018

(4) Cass civ 1, affaire n°17-23135, arrêt du 14 novembre 2018

(5) Art 1225 du code civil “La clause résolutoire précise les engagements dont l'inexécution entraînera la résolution du contrat.
La résolution est subordonnée à une mise en demeure infructueuse, s'il n'a pas été convenu que celle-ci résulterait du seul fait de l'inexécution. La mise en demeure ne produit effet que si elle mentionne expressément la clause résolutoire.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

jeudi 18 avril 2019

L’importance de l’implication du client dans l’exécution d’un projet informatique

La jurisprudence relative aux contrats informatiques relève souvent les carences du prestataire dans l’exécution de son obligation de conseil vis-à-vis du client ou dans l’exécution de ses prestations. On rappellera toutefois que dans le cadre de l’exécution de projets informatiques, le client ne peut pas attendre la livraison du projet en restant passif. Deux arrêts de cour d’appel remontant à 2017 rappellent ainsi l’importance du rôle actif du client dans l’exécution de projets informatiques. Sa pleine coopération est en effet un élément clé de la bonne exécution du projet. Par ailleurs, le nouveau droit des contrats, issu de l’ordonnance du 10 février 2016 prévoit que “Les contrats doivent être négociés, formés et exécutés de bonne foi.” (1) Cette obligation, d’ordre public, s’impose aux parties non seulement pendant la période pré-contractuelle, mais également pendant toute la durée du contrat.

Dans la première affaire, la faute du client qui n’avait pas exprimé ses besoins a été retenue par les juges. La seconde affaire retient la résiliation du contrat aux torts du client qui a refusé la réception provisoire d’un site internet.


1. Le client est tenu d’exprimer ses besoins

Dans un arrêt rendu le 5 octobre 2017, la cour d’appel d’Aix-en-Provence a prononcé la résiliation d’un contrat de développement de sites web aux torts du client qui n’a pas exprimé ses besoins. (2)

En 2010, la société Nouvelles Destinations, tour-opérateur spécialisé dans la vente de séjours autour de parcs d’attractions, a souhaité refondre son site internet destiné aux professionnels (B2B) et développer un site à destination des consommateurs (B2C). Les prestations de développement ont été confiées à la société Flag Systèmes. Trois contrats ont été conclus en décembre 2010 et janvier 2011 : un contrat-cadre pour les développements spécifiques, pour un montant total de 135.000 euros, un contrat d’achat et de maintenance des licences I-Resa et un contrat d’hébergement et d’administration de la plate-forme I-Resa.

N’ayant pas reçu le dernier paiement prévu au contrat-cadre de développement, ni le règlement des factures d’hébergement, la société Flag Systèmes a mis le client en demeure de payer le 14 octobre 2013. En réponse, la société Nouvelles Destinations a contesté devoir les sommes réclamées, invoquant divers dysfonctionnements. Le prestataire a donc fait assigner la société Nouvelles Destinations et son assureur devant le tribunal de commerce d’Aix-en-Provence en règlement des sommes. Dans un jugement du 10 novembre 2015, le tribunal a condamné la société Nouvelles Destinations à régler les sommes dues à la société Flag Systèmes. Nouvelles Destinations a interjeté appel.

Dans sa décision du 5 octobre 2017, la Cour relève que le contrat-cadre rappelle en préambule que la société Nouvelles Destinations n’a pas fourni de document d’expression de ses besoins ni de cahier des charges, que le contrat-cadre est destiné à permettre « d’initialiser les premières phases de travail sans que les enveloppes définitives soient engagées », et qu’il est recommandé à la société Nouvelles Destinations « de recourir à une assistance à maîtrise d’ouvrage, mener une réflexion de fond sur l’organisation des services, les processus métiers et les flux d’informations mis en place, et la mise en place d’un comité de pilotage. » Or, la société Nouvelles Destinations n’a suivi aucune des recommandations du prestataire, au titre de l’obligation de conseil de ce dernier.

Par ailleurs, alors qu’il revient à la société cliente de prouver les dysfonctionnements allégués et leur imputabilité au prestataire, les juges relèvent que la société Nouvelles Destinations ne produit que des emails émanant d’elle-même, se plaignant de dysfonctionnements, sans aucune plainte de clients ou de partenaires commerciaux, ni constat d’huissier attestant desdits dysfonctionnements pouvant justifier le non-paiement des factures du prestataire.

En conséquence, la Cour a confirmé le jugement du tribunal de commerce, mais revu la condamnation à la baisse. La société Nouvelles Destinations a ainsi été condamnée à payer 101.000 euros dus au titre des contrats.


2. Le client qui refuse la réception provisoire du projet est en tort

Dans un arrêt du 6 juillet 2017, la cour d’appel de Grenoble a confirmé la résiliation d’un contrat de développement d’un site internet aux torts exclusifs du client qui avait refusé de procéder à la réception provisoire, alors que la réception aurait pu lui permettre de faire réaliser les corrections nécessaires par le prestataire au vu des éventuelles réserves.

La société Sikirdji Gemfrance, spécialisée dans le commerce de pierres fines et précieuses avait conclu un contrat de réalisation de site web avec la société DediServices le 9 juillet 2012 et a versé un premier acompte de 40% à la commande (soit 10.697,02€ TTC). Prétendant que le site commandé n’avait jamais été achevé et qu’il comportait de nombreux dysfonctionnements, la société Sikirdji Gemfrance a demandé au prestataire le remboursement de l’acompte versé par mise en demeure du 4 avril 2013, puis assigné la société DediServices en résolution du contrat et remboursement de l’acompte le 16 septembre 2013.

Dans son jugement du 28 novembre 2014, le tribunal de commerce de Grenoble a condamné la société cliente à payer à la société DediServices la somme de 16.045,54 € au titre des factures impayées avec application des pénalités de retard contractuelles, 10.000 € euros de dommages et intérêts et 2.000 € au titre de l’article 700 du code de procédure civile. La société Sikirdji Gemfrance a interjeté appel le du 16 janvier 2015.

Alors que la réception a notamment pour objet d’obliger le prestataire à faire les modifications correspondant aux éventuelles réserves qui auraient été mentionnées au procès-verbal de recette, en l’espèce la société cliente a refusé la réception provisoire du site.

La cour a confirmé la condamnation de la société Sikirdji Gemfrance à payer au prestataire les sommes prévues par le contrat et non encore réglées, augmentées des pénalités de retard, 10.000 € pour le travail supplémentaire généré par les nombreuses demandes d’interventions et de modifications, et 50.000 € de dommages-intérêts.

Cet arrêt fait l’objet d’un pourvoi en cassation.

                                                                   * * * * * * * * * *

(1) article 1104 du Code civil

(2) Cour d’appel d’Aix-en-Provence, 8e ch. B, arrêt du 5 octobre 2017, Nouvelles Destinations / Flag Systèmes et Hiscox Europe Underwriting Ltd

(3) Cour d’appel de Grenoble, ch. com, arrêt du 6 juillet 2017 Sikirdji Gemfrance / DediServices


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

lundi 18 mars 2019

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Les sociétés britanniques et leurs co-contractants européens doivent donc être préparés en cas de sortie de l’UE sans accord (« hard Brexit » ou « no-deal Brexit »), afin de minimiser les conséquences d’une telle situation sur leurs activités.

Bien que le Royaume-Uni ait mis à jour sa réglementation sur la protection des données personnelles avec le Data Protection Act 2018,(1) entré en application en même temps que le RGPD le 25 mai 2018, un hard Brexit signifierait la fin de la libre circulation des données personnelles entre l’Union européenne et le Royaume-Uni. Le Royaume-Uni sera alors considéré comme un pays tiers à l’UE et à l’EEE, sans pouvoir bénéficier du statut de pays offrant un niveau de protection adéquat. Les sociétés concernées, responsables de traitement, cotraitants et sous-traitants, devront mettre en place des accords de même type que les entreprises à l’international.

Voyant la date butoir se rapprocher, le Comité européen de la protection des données (CEPD) et la CNIL ont publié, courant février, des conseils à l’attention des organismes concernés par les transferts de données entre l’Union européenne et le Royaume-Uni.(2)


1. La mise en place d’outils de transfert de données pour continuer à assurer un niveau de protection adéquat

Les transferts de données depuis un pays membre de l’Union européenne vers un pays extérieur à l’UE ne bénéficiant pas d’une décision d’adéquation sont soumis à l’exigence de “garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives”, définies par des documents contraignants pour les deux parties, responsable du traitement et destinataire des données. (art. 46 du RGPD)

Ces documents peuvent être :

    - Les clauses contractuelles types (CCT)
Les CCT sont des contrats types de transferts de données adoptés par la Commission européenne. Les CCT doivent être signées telles quelles, et ne peuvent être modifiées par les parties. Il existe deux types de CCT : les CCT entre responsable du traitement européen et responsable du traitement de pays tiers (co-responsables de traitements) et les CCT entre responsable du traitement européen et sous-traitant d’un pays tiers.(3)

    - Les contrats “ad hoc”
Les clauses contractuelles spécifiques, ou “ad hoc” sont des contrats de transferts de données négociés entre les parties. Ces contrats doivent cependant être préalablement autorisés par la CNIL, après avis du CEPD.

    - Les codes de conduite et les mécanismes de certification
Ces deux outils ont été créés avec le RGPD. Comme pour les contrats “ad hoc”, les codes de conduite et mécanismes de certification doivent avoir été préalablement autorisés par la CNIL, après avis du CEPD. Ces outils étant nouveaux, ils semblent peu appropriés pour gérer les transferts de données entre l’UE et le Royaume-Uni, alors que les délais de mise en conformité sont très serrés.

    - Les règles contraignantes d’entreprise (ou binding corporate rules - BCR)
Les BCR sont des politiques intra-groupe, mises en oeuvre au sein de groupes ou sociétés multinationales et applicables à toutes les sociétés du groupe dans le monde. (art. 47 du RGPD) L’adoption des BCR est soumise à une procédure d’approbation par la CNIL. Comme pour les codes de conduite, le délai de mise en place de BCR rend cet outil peu approprié en l’espèce.(4)

Ainsi, pour les entreprises concernées par des transferts de données personnelles vers le Royaume-Uni n’ayant pas de BCR (transferts au sein de sociétés d’un même groupe), l’outil le plus adapté, compte tenu de la situation, est le CCT, document “prêt-à-signer” permettant de se mettre en conformité dans des délais très courts.

En cas d’utilisation de services cloud par des sociétés situées dans l’Union européenne, il conviendra de se poser la question de la situation des data centers et prendre éventuellement les mesures appropriées de mise en conformité : rapatriement des données personnelles sur le continent ou signature de CCT avec le prestataire de services cloud.

Des décisions devront être prises très rapidement par les entreprises concernées pour minimiser les blocages de transferts de données entre le continent européen et le Royaume-Uni.


2. Les autres mesures de mise en conformité des sociétés britanniques et non-européennes

Les sociétés britanniques et non-européennes devront également se mettre en conformité avec le RGPD en cas de “hard Brexit”.

    - La désignation d’un représentant dans l’UE
En vertu des articles 3(2) et 27 du RGPD, les sociétés britanniques responsables de traitement ou sous-traitantes, qui traitent d’importants volumes de données de résidents européens, devront désigner un représentant situé dans l’un des Etats-membres, comme toute société non-européenne dans la même situation.

Quant aux sociétés non-européennes qui auraient désigné un représentant britannique, elles devront désigner un nouveau représentant situé dans l’un des Etats-membres pour se mettre en conformité.

    - La désignation d’une autorité chef de file dans l’UE
Enfin, les sociétés non-européennes qui auraient désigné l’autorité de contrôle britannique (ICO) comme autorité de contrôle chef de file devront rapidement désigner une nouvelle autorité de contrôle dans l’un des Etats-membres, conformément à l’article 56 du RGPD.


3. La situation des données en provenance du Royaume-Uni

Les transferts de données personnelles vers l’UE en provenance du Royaume-Uni ne seraient pas soumis à des procédures supplémentaires pour garantir les droits des personnes concernées. Ces données personnelles britanniques pourront être transférées librement vers l’Union européenne, sous réserve d’être ensuite traitées conformément à la réglementation applicable.


    En l’absence de mise en place des outils juridiques appropriés avant la date effective du Brexit, tout transfert de données depuis l’UE vers le Royaume-Uni deviendra illicite. Cette situation peut paraître paradoxale alors que le Royaume-Uni est pour l’instant soumis au RGPD et donc considéré comme offrant les garanties nécessaires pour la protection des données personnelles en provenance du continent.

La Commission devrait très probablement régulariser cette situation dans les mois qui viennent en prenant une décision d’adéquation pour le Royaume-Uni.

                                                                          * * * * * * * * * * * *


(1) https://ico.org.uk/for-organisations/data-protection-act-2018/
 
(2) Se préparer à un Brexit sans accord : quelles questions ? Quels conseils de la CNIL ? site de la CNIL

(3) https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

(4) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr-binding-corporate-rules


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

vendredi 8 mars 2019

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité.


1. Les transferts de données personnelles à l’international et la notion d’adéquation


Depuis la directive du 24 octobre 1995 sur la protection des données, les organismes peuvent librement transférer des données personnelles d’un Etat membre à un autre au sein de l’Union européenne (sous réserve cependant de respecter la réglementation en matière de protection des données). Les transferts de données vers des pays situés à l’extérieur de l’UE restent toutefois soumis à des règles strictes. Ce principe reste applicable avec le RGPD.

Les organismes européens souhaitant transférer des données vers une société située en dehors de l’UE, et son cocontractant doivent soit signer les Clauses contractuelles types (CCT) de la Commission, soit signer un contrat ad hoc de transfert des données, validé par une autorité de contrôle. Les partie peuvent également se soumettre à un code de conduite approuvé, assorti d’engagements contraignants des parties, ou mettre en oeuvre un mécanisme de certification approuvé, également assorti d’engagements contraignants. (2)

Enfin, si les deux entités appartiennent à un même groupe de sociétés, elles peuvent faire approuver des Règles d’entreprise contraignantes (Binding corporate rules - BCR). (3)

Certains pays tiers à l’UE peuvent cependant être reconnus comme offrant un niveau de protection adéquat aux données transférées depuis l’UE. La reconnaissance de l’adéquation du niveau de protection est déterminée par la Commission européenne, sur la base des critères énoncés à l’article 45 du RGPD. Ces critères vont au-delà de l’existence d’une réglementation locale sur la protection des données personnelles et portent sur, outre l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante, sur l’état de droit dans le pays tiers et sur les engagements internationaux pris par ce pays.

Concernant l’état de droit, la Commission prend notamment en considération le respect des droits de l'homme et des libertés fondamentales, l'accès des autorités publiques aux données à caractère personnel, et les droits effectifs et opposables dont bénéficient les personnes concernées dans ce pays tiers. (4)

La procédure d’adéquation est organisée en quatre étapes : 1- une proposition d’adéquation émise par la Commission européenne, 2- un avis rendu par le Conseil européen de la protection des données (CEPD), 3- un accord des représentants des Etats membres, et 4- l’adoption de la décision d’adéquation par la Commission.

Comme nous le verrons pour la décision d’adéquation du Japon, cette procédure peut prendre plusieurs années avant que le pays soit reconnu comme offrant un niveau de protection adéquat.

En vertu de l’article 45 du RGPD, la décision d’adéquation signifie que les entreprises européennes peuvent librement transférer des données personnelles depuis l’Union européenne vers le pays reconnu comme adéquat, sans autre formalité, de la même manière que les transferts intra-européens.

Le Parlement européen et le Conseil peuvent demander à la Commission de modifier ou supprimer une décision d’adéquation en cas de non respect de ses engagements par le pays tiers. Il existe par ailleurs un mécanisme de suivi, pour s’assurer du respect de la décision d’adéquation par le pays tiers. Par exemple, le Privacy Shield, mécanisme d’adéquation mis en place avec les Etats-Unis, est revu tous les ans. (5) Ainsi, une décision d’adéquation peut être accordée par la Commission. Elle peut également être suspendue si les autorités du pays tiers ne se conforment pas, ou plus, à la décision.


2. Historique de la procédure d’adéquation du Japon

La première loi de protection des données japonaise date de 2005.

Une autorité de contrôle indépendante (Personal Information Protection Commission - PPC) a été créée en 2016. (6)

Une nouvelle loi de protection des données est entrée en vigueur le 30 mai 2017. (7) La loi de 2017 a intégré de nouveaux concepts dans le droit japonais, tels que les notions de données sensibles et d’anonymisation des données, et prend globalement en compte le RGPD.

La Commission européenne, constatant que le droit japonais de la protection des données personnelles s’était rapproché des concepts du droit européen, a débuté les discussions d’adéquation avec le Japon il y a deux ans, en janvier 2017. Un accord de principe a été conclu en juillet de la même année, en parallèle avec la conclusion de l’accord de partenariat économique entre l’Union européenne et le Japon. Un projet de décision d’adéquation a ensuite été publié par la Commission en septembre 2018 ayant abouti à son adoption en janvier 2019.


3. Les principaux éléments de la décision d’adéquation concernant le Japon

La loi japonaise n’étant pas identique au RGPD, le Japon a dû mettre en place des “règles supplémentaires” afin d’atténuer les différences entre les deux systèmes de droit de la protection des données. (8) Ces règles supplémentaires concernent plus particulièrement les données sensibles, l’exercice des droits individuels par les personnes concernées, et les conditions dans lesquelles les données personnelles en provenance de l’Union européenne peuvent ensuite être transférées vers un autre pays tiers à l’UE. Ces règles s’appliqueront aux entreprises japonaises destinataires de données personnelles en provenance de l’UE. De son côté, le Japon n’a pas imposé de règles supplémentaires aux entreprises européennes qui importeraient des données en provenance du Japon.

La décision d’adéquation comporte également un engagement du gouvernement japonais relatif à l’accès aux données par les autorités publiques japonaises aux fins de procédures pénales et de la sécurité nationale. L’accès et le traitement de données personnelles en provenance de l’UE dans ces domaines doivent être limités, proportionnés et soumis à une procédure de surveillance et de recours indépendants.

Enfin, la décision comprend un mécanisme de traitement des plaintes des personnes concernées européennes, géré et contrôlé par la PPC.

Il est prévu qu’un réexamen de l’application de la décision soit réalisé après deux ans, puis tous les quatre ans, pour évaluer son fonctionnement effectif, notamment concernant les règles supplémentaires.

Cette décision d’adéquation devrait ainsi faciliter les transferts de données vers le Japon, 3é puissance économique mondiale comptant 127 millions d’habitants.


    Il s’agit de la première décision d’adéquation prise depuis l’entrée en application du RGPD, les précédentes décisions ayant été prises en application de la directive d’octobre 1995 sur la protection des données.

A ce jour, seuls 13 pays ou territoires ont été reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles. (9) La Commission a cependant décidé d’étendre cette liste à de nouveaux pays. Cette dynamique viendrait en parallèle des conditions d’application extraterritoriale du RGPD d’une part, et du fait que plusieurs pays envisagent de faire évoluer leur droit de la protection des données personnelles pour se rapprocher des concepts du RGPD d’autre part. (10)

On notera enfin que des discussions d’adéquation sont également en cours depuis deux ans entre l’Union européenne et la Corée du Sud. Des députés européens se sont rendus à Séoul fin octobre 2018 pour rencontrer les autorités coréennes, y compris la Commission des communications coréenne et l’Agence de l’internet et de la sécurité coréenne (KISA) afin d’avancer vers une décision d’adéquation.


                                                                * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 23 janvier 2019

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), article 47

(3) article 46, RGPD

(4) article 45 2., RGPD

(5) Voir notre article Relations UE-US – Le Privacy Shield renouvelé pour un an

(6) https://www.ppc.go.jp/en/

(7) Act on the protection of personal information : https://www.ppc.go.jp/en/legal/

(8) https://ec.europa.eu/info/sites/info/files/annex_adequacy_decision_japan_2.pdf

(9) Liste des pays offrant un niveau de protection adéquate :
- Europe (hors UE) Andorre, Iles Faroe, Ile de Man, Guernesey, Jersey, Suisse
- Amérique : Canada, Etats-Unis (Privacy Shield), Argentine, Uruguay
- Asie : Israël, Japon
- Océanie : Nouvelle Zélande

(10) voir article 3 “Champ d’application territorial”, RGPD


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

mardi 5 février 2019

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google


Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

L’un des objectifs du RGPD est de donner aux personnes concernées plus de maîtrise sur leurs données personnelles, en renforçant les principes de transparence et de consentement éclairé, grâce à une information préalable claire et compréhensible.

En l’espèce, la décision de la CNIL sanctionne un manque de transparence de la part de Google et met en cause la validité du consentement obtenu à partir d’informations qui “ne sont pas toujours claires et compréhensibles”, ni aisément accessibles pour les utilisateurs.

Les 25 et 28 mai 2018, soit juste après l’entrée en application du RGPD, la CNIL a été saisie de deux plaintes collectives en vertu de l’article 80 du RGPD, déposées pour le compte de près de 10.000 personnes, par les associations None Of Your Business et La Quadrature du Net. Ces plaintes étaient motivées par le fait que Google traitait les données personnelles des utilisateurs de ses services, notamment à des fins de ciblage publicitaire, sans base juridique valable.

En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google. Pour ce faire, la Commission a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès, en créant un compte Google au moment de la configuration de son téléphone mobile sous Android.


1. La compétence de la CNIL pour engager la procédure contre Google

Avant même d’aborder les manquements constatés par la formation restreinte de la CNIL(2), celle-ci justifie notamment sa compétence pour engager cette procédure contre la société Google.

La société Google contestait en effet la compétence de la CNIL, en soutenant que le siège européen de Google étant situé en République d’Irlande, l’autorité de protection des données irlandaise (Data Protection Commission) était compétente en qualité d’autorité chef de file.

La formation restreinte rappelle que la notion d’établissement principal suppose que l’établissement concerné dispose d’un “pouvoir de décision vis-à-vis des traitements de données à caractère personnel (…)”, et que ce pouvoir de décision comprend “l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.” Cette notion doit s’apprécier in concreto et ne peut reposer que sur la déclaration de l’entreprise en cause.

En l’espèce, Google ne démontre pas que sa filiale irlandaise disposait d’un pouvoir décisionnel sur les finalités et les moyens des traitements concernés. Le rôle de Google Ireland Limited se concentrait sur les activités commerciales et financières de Google en Europe. Par ailleurs, Google Ireland Limited n’était pas mentionnée dans les Règles de confidentialité de la société au 25 mai 2018 (date de l’entrée en application du RGPD), et n’avait pas désigné de délégué à la protection des données (DPO).

La formation restreinte en conclut que Google Ireland Limited ne peut être considérée comme l’établissement principal européen de Google LLC au sens de l’article 4 (16) du RGPD. Elle ne peut donc identifier une autorité chef de file. Après avoir consulté les autres autorités de contrôle européennes et pris en compte les lignes directrices publiées par le CEPD (3), la CNIL se déclare compétente pour engager cette procédure.


2. Les manquements constatés par la CNIL

Pour établir ses constatations, la formation restreinte a analysé le parcours d’un utilisateur et les documents contractuels auxquels il peut avoir accès, en créant un compte Google lors de la configuration de son téléphone mobile sous Android.

Deux séries de manquements au RGPD ont été constatés :

     1 - Un manquement aux obligations de transparence et d’information

Le RGPD repose sur les deux principes fondamentaux de transparence et d’information. La formation restreinte reprend les articles correspondants (art. 12 et 13 notamment) et les applique à la lettre à la procédure de création de compte sur Google.

Selon l’article 12 du RGPD, les informations fournies à la personne concernée doivent être concises, transparentes, compréhensibles, aisément accessibles, et rédigées en termes clairs et simples. L’article 13 prévoit que le responsable de traitement fournit les informations suivantes à la personne concernée au moment de la collecte des données, à savoir l’identité et les coordonnées du responsable du traitement, le cas échéant les coordonnées du DPO, les finalités du traitement ainsi que sa base juridique, les destinataires des données, le cas échéant, le fait que les données seront transférées vers un pays tiers, etc.

En l’espèce, les informations délivrées par Google aux utilisateurs ne sont pas suffisamment accessibles, claires et compréhensibles. Certaines informations obligatoires ne sont pas fournies aux utilisateurs : “des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.

L’architecture générale de l’information, mise en place par Google, rend l’accès à certaines informations clés difficile. Ainsi, même si ces informations sont fournies par Google, elles sont difficiles à trouver car nécessitent de passer de page en page, par plusieurs clics, avant de les atteindre.

La formation restreinte conclut à un défaut global d’accessibilité des informations délivrées par la société.

La formation restreinte met ensuite l’accent sur le caractère “massif et intrusif” des traitements mis en oeuvre par Google. Elle rappelle que les données collectées par Google à travers ses différents services proviennent de sources très variées : données d’utilisation du téléphone portable (Android), de la messagerie Gmail, de la plateforme de vidéos YouTube, données de navigation sur internet avec les cookies Google Analytics déposés sur des sites tiers, données de géolocalisation…

Ces données relèvent de trois catégories : les données produites par la personne concernée (nom, mot de passe, adresse email, etc.), les données générées par son activité (adresse IP, identifiant uniques de l’utilisateur, données de réseaux mobiles et sans fil, géolocalisation, etc.), et les données dérivées à partir des données produites par la personne ou générées par son activité (ciblage publicitaire sur la base notamment des centres d’intérêt des utilisateurs, à partir de leur activité sur internet, ou recommandations personnalisées).

La formation restreinte considère que les finalités annoncées dans les différents documents sont “trop génériques au regard de la portée des traitements mis en oeuvre et de leurs conséquences.” La description des données collectées est imprécise et incomplète. Au vu de ces éléments, elle considère que l’utilisateur n’est pas à même de prendre la mesure des conséquences des principaux traitements sur sa vie privée.

Le manque de clarté et la difficulté des utilisateurs à “comprendre l’ampleur des traitements mis en place par Google”, considérés comme “particulièrement massifs et intrusifs” est en partie la conséquence du nombre de services proposés par Google, de la quantité de données collectées ainsi que leur nature.

     2 - Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La deuxième série de manquements concerne la validité du consentement.

L’un des principes fondamentaux du droit de la protection des données repose sur la caractère licite du traitement, et particulièrement le consentement de l’utilisateur qui doit être libre, spécifique, éclairé et univoque, et recueilli par un acte positif clair (art. 4 (11) RGPD). Les conditions relatives au recueil et au retrait du consentement figurent à l’article 7 du RGPD.

A ce titre, la CNIL relève que le consentement de l’utilisateur n’est pas valablement recueilli car non suffisamment éclairé, dans la mesure où l’information, telle que l’information sur les traitements de personnalisation de la publicité, est disséminée dans plusieurs documents et parfois difficile à localiser.

La CNIL relève ensuite que le consentement n’est ni “spécifique” car il concerne plusieurs traitements alors que le RGPD implique un consentement distinct pour chaque traitement ou finalité, ni “univoque” dans la mesure où plusieurs cases sont pré-cochées par défaut alors qu’elles devraient être décochées.

La formation restreinte en conclut que le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas donné par un acte positif et distinct pour chacun des traitements mis en oeuvre.


3. Les motivations justifiant le montant de la sanction

Enfin, la formation restreinte justifie le montant de cette sanction, fixé en application des nouvelles dispositions du RGPD (art. 83), compte tenu de la gravité des manquements constatés, du nombre d’utilisateurs, du nombre de services et du volume de données concernés, et du fait que ces manquements sont continus et non pas délimités dans le temps. La CNIL rappelle ainsi que “le renforcement des droits des personnes est l’un des axes majeurs du Règlement” et que “les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.

Les manquements constatés permettent, selon la formation restreinte, de justifier une amende qui, en l’espèce, a été fixée à 4% du chiffre d’affaires de la société Google, soit 50 millions d’euros. Cette amende reste cependant très en deçà du plafond de 20% du chiffre d’affaires mondial de Google (110 milliards de dollars en 2017 pour sa maison-mère, Alphabet), prévu par le RGPD.

La société Google a annoncé sa décision de former un recours devant le Conseil d’Etat.


    L’objectif de remplacer la précédente directive d’octobre 1995 par un règlement est d’assurer une approche unifiée du droit de la protection des données personnelles dans l’Union européenne. A ce titre, la formation restreinte mentionne avoir consulté les autres autorités de contrôle et se réfère à plusieurs reprises dans sa délibération aux lignes directrices du CEPD. On peut donc s’attendre au développement d’une “jurisprudence” homogène des autorités de contrôle européennes.

Cette première sanction de la CNIL donne un aperçu de l’application effective du RGPD et comment la conformité à la nouvelle réglementation est appréhendée par l’autorité de contrôle, à savoir une interprétation stricte du règlement. La CNIL sanctionne ici une architecture de l’information trop complexe et peu instinctive pour l’utilisateur, ainsi que des textes souvent rédigés dans des termes peu clairs ou trop généraux.

La difficulté pour Google, comme pour toutes les plateformes proposant plusieurs services, sera de concilier les impératifs de concision, transparence et simplicité de l’information avec ceux de clarté et spécificité du consentement, afin d’être considérée conforme aux dispositions du RGPD, alors même que ces dispositions impliquent des documents contractuels plus longs car plus détaillés. Même si Google a choisi de former un recours contre la délibération de la CNIL, la société devra faire un réel effort de simplification et de transparence de l’information.

                                                                   * * * * * * * * * * *


(1) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(2) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.

(3) Le comité européen à la protection des données (CEPD, ex-groupe de travail Article 29 ou G29) rassemble les autorités des 28 Etats-membres. Il a notamment pour mission de clarifier la mise en œuvre du RGPD en vue d’assurer une application uniforme du règlement. Ainsi, 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration par le CEPD.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2019


mercredi 30 janvier 2019

Relations UE-US – Le Privacy Shield renouvelé pour un an

Pour rappel, le Privacy Shield (ou “Bouclier de protection des données”), a remplacé le système du Safe Harbor en août 2016. Le Privacy Shield permet le transfert de données à caractère personnel entre des sociétés européennes et des sociétés américaines adhérentes au programme, dans le cadre d’une décision d’adéquation de la Commission européenne du 12 juillet 2016. (1) Les sociétés américaines adhérentes au Privacy Shield s’engagent à respecter les droits des citoyens européens dont les données à caractère personnel sont transférées vers les Etats-Unis. Le Privacy Shield est réexaminé par la Commission une fois par an pour s’assurer que ce système continue de garantir un niveau de protection adéquat des données personnelles transférées.

Selon Andrus Ansip, Vice-président de la Commission, chargé du marché unique numérique, en décembre 2018, plus de 3.850 sociétés américaines étaient certifiées comme adhérentes au Privacy Shield. (2)

Le 5 juillet 2018, le Parlement européen avait voté la suspension du Privacy Shield. Cette résolution, non contraignante, demandait à la Commission de suspendre le programme, sous réserve d’une mise en conformité par les Etats-Unis avant le 1er septembre.

Dans son rapport publié le 19 décembre 2018, la Commission européenne déclare que le niveau de protection des données personnelles transférées depuis l’Europe vers les Etats-Unis en application du Privacy Shield reste adéquat. Le Privacy Shield est donc renouvelé pour un an. (3)

Le rapport relève les mesures prises par les Etats-Unis sur la base des recommandations de la Commission, notamment :

   - le renforcement de la procédure de certification des sociétés américaines par le Ministère du commerce (DoC). Celles-ci ne peuvent désormais annoncer leur adhésion au Privacy Shield qu’après la finalisation de la procédure de certification par le Ministère ;

   - l’amélioration du suivi de la conformité des sociétés au Privacy Shield. Le Ministère du commerce a ainsi mis en place un double système de contrôle de conformité, avec des contrôles sur place auprès de sociétés adhérentes au système, sélectionnées au hasard, et des contrôles en ligne. Enfin des contrôles sont réalisés pour mettre en évidence les fausses déclarations par des sociétés qui ne sont pas certifiées. La Commission fédérale du commerce (Federal Trade Commission) réalise également des contrôles de conformité.

La Commission européenne a cependant identifié plusieurs points devant être pris en compte, dont la nomination d’un médiateur permanent (ombudsman) dans le cadre de cet accord d’ici le 28 février 2019, et l’évaluation de son rôle dans le traitement et la résolution des plaintes.

   En conclusion, ce deuxième examen annuel du Privacy Shield a permis de constater des avancées dans la mise en oeuvre du système par les autorités américaines. Par ailleurs, l’entrée en application du RGPD en Europe, et une plus grade sensibilité des particuliers au respect de leurs données personnelles, ont amené le Ministère du commerce américain à lancer une consultation sur une approche fédérale en matière de “respect de la vie privée”.

                                                                       * * * * * * * * * * *

(1) Décision d’exécution (UE) 2016/1250 de la Commission du 12 juillet 2016 conformément à la directive 95/46/CE du Parlement européen et du Conseil relative à l'adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis

(2) Communiqué de presse de la Commission européenne du 19 décembre 2018 : “Bouclier de protection des données UE-États-Unis: le deuxième examen a conclu à des améliorations, mais un médiateur permanent devrait être nommé d'ici le 28 février 2019”

(3) Report on the second annual review of the EU-US privacy shield (19th December 2018)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019

mardi 8 janvier 2019

Qu’est-ce que le Cloud Act américain ?

L’adoption du “Cloud Act” aux Etats-Unis en 2018 a suscité de nombreuses critiques et fait couler beaucoup d’encre. Afin de mieux comprendre les enjeux de cette législation, nous résumons ci-après ses principales finalités.

Encapsulé dans la loi américaine sur les dépenses 2018 (“Consolidated Appropriations Act”, 2018), le Cloud Act (pour “Clarifying lawful overseas use of data act”), adopté le 23 mars 2018, donne un cadre légal à la saisie d'emails, documents et communications électroniques localisés dans les serveurs de sociétés américaines et de leurs filiales à l’étranger. (1)

Alors que les sociétés internet et technologiques américaines se félicitent de l’adoption de cette loi, les associations de défense des libertés et de la vie privée dont l'union des libertés civiles américaines (ACLU) et l'Electronic Frontier Fondation (EFF) y sont vivement opposées.

Le Cloud Act devient une alternative au processus actuel de partage d'informations d’utilisateurs entre pays, le MLAT (Mutual legal assistance treaty), et dont la mise en oeuvre est plus rapide et simple à exécuter.

Le Cloud Act contient deux grandes séries de dispositions :

    1 - La communication de données par les sociétés américaines
Toute société dont le siège est aux Etats-Unis, ainsi que les sociétés contrôlées par elle, doit communiquer aux autorités américaines, sur leur demande, les données de communication placées sous son contrôle, sans considération du lieu de stockage de ces données ;

    2 - La signature d’accords entre les administrations américaines et étrangères
Le gouvernement américain pourra signer des accords internationaux avec des gouvernements étrangers, permettant aux autorités de chaque pays de demander directement aux fournisseurs de services de communication, de traitement et de stockage électroniques de données relevant de la juridiction de l’autre pays, la divulgation des données de communication les intéressant, sans avoir à passer par les procédures plus lourdes des MLAT ou des commissions rogatoires internationales.

Ces accords internationaux prendront la forme d’executive agreements, à savoir des accords qui ne nécessitent ni l’accord du Sénat (majorité des deux tiers), ni l’adoption d’une loi par les deux chambres du Congrès. Pour entrer en vigueur, il suffira que les deux chambres ne s’y opposent pas par une résolution conjointe dans les 90 jours de leur signature. En contrepartie, de tels accords ne peuvent être signés qu’avec des pays respectueux des droits fondamentaux et des principaux standards démocratiques.

Les demandes de communication de données concernées par ces accords ne peuvent viser que les infractions les plus graves (« serious crime »). L’objectif est d’accélérer la procédure d’investigation par les forces de l’ordre.

Pour l’instant, il existe une incertitude sur le fait de savoir si un executive agreement pourrait être signé avec l’Union européenne plutôt qu’avec chaque Etat-membre, voire même si les Etats-Unis chercheront à signer avec l’Europe. L’UE serait plutôt favorable à la signature d’un accord global.

En conclusion, le Cloud Act s’applique à toute société placée sous la juridiction des Etats-Unis qui contrôle les données informatiques de ses clients (notamment les GAFAM et leurs filiales), quels que soient leur nationalité et le lieu physique où ces données ont été émises ou sont stockées. Il ne s’agit pas d’une nouvelle procédure mais d’une évolution par rapport à la réglementation précédente issue du Stored Communications Act de datant de 1986.

Le Cloud Act, comme le Stored Communications Act, encadre l’accès des autorités américaines aux données de fournisseurs de services de communication, traitement et stockage électroniques de données placés sous la juridiction des Etats-Unis (procédure judiciaire en cours et sous réserve de disposer d’un mandat (ou warrant) délivré par une juridiction, requête par les autorités gouvernementales américaines dans le cadre d’une procédure pénale sous réserve de disposer d’une réquisition judiciaire (ou court order). Le Cloud Act prévoit que le fournisseur de services auquel les données sont demandées a la possibilité de s’y opposer au motif que la demande, si elle devait être satisfaite, le conduirait à méconnaître la législation d’un pays étranger et l’exposerait à des sanctions (situation de conflits de lois).

Le Cloud Act est-il compatible avec le RGPD ?

Le RGPD (art. 44 et suivants) réglemente les conditions dans lesquelles des données personnelles peuvent être transférées vers des pays tiers. Or le Privacy shield, applicable aux transferts entre sociétés européennes et sociétés américaines adhérant au programme, ne couvre pas les entités gouvernementales.

Le transfert de données à caractère personnel aux autorités américaines par une société américaine ou sa filiale, en application d’une demande fondée sur le Cloud Act et non sur un accord international de type MLAT ou la mise en œuvre d’une commission rogatoire internationale, ne serait pas conforme au RGPD. Il conviendra de suivre comment le Cloud Act sera mis en œuvre dans les prochains mois.

                                                       * * * * * * * * * * *

(1) Consolidated Appropriations Act, 2018 et Clarifying lawful overseas use of data act (Cloud Act), adopté le 23 mars 2018

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2019