Messages les plus consultés

vendredi 22 novembre 2019

Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur



Le 4 juillet dernier, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre 2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme au Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et à la directive Vie privée et communications électroniques de 2002 (directive e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau règlement e-privacy. Annoncé pour entrer en application à la même date que le RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et n’entrera pas en application à court terme.


1. Un périmètre d’application très large



Pour rappel, un cookie est un petit fichier texte, enregistré par le navigateur de l’utilisateur (Google Chrome, Firefox, Safari) sur un ordinateur ou autre dispositif connecté à internet, lorsque l’utilisateur visite un site web.



Les cookies sont utilisés pour des finalités très diverses, telles que l’enregistrement des identifiants de l’utilisateur pour le reconnaître et le connecter automatiquement lors d’une prochaine visite sur le site, l’affichage de publicités ciblées, l’enregistrement du nombre d’affichage d’une publicité ou l’enregistrement des informations pour un service de web analytique par exemple.



La durée de vie d’un cookie est différente suivant sa finalité. Certains cookies disparaissent dès la fin de la session ou de la fermeture du navigateur, d’autres cookies peuvent être conservés pendant plusieurs mois, s’ils n’ont pas été supprimés par l’utilisateur.



Les « lignes directrices cookies » de la CNIL sont d’application très large puisqu’elles s’appliquent à tous types d’opérations impliquant l’utilisation de cookies et autres traceurs (cookies sur tous dispositifs tels que smartphones, tablettes, ordinateurs, et autres objets connectés à internet (consoles de jeux, télévision, véhicule, assistant vocal).




2. La notion renforcée de consentement, conséquence de la mise en conformité au RGPD



Le RGPD, en renforçant les droits des utilisateurs, a renforcé la notion de consentement. La simple poursuite de la navigation sur un site ne peut plus être considérée comme l’expression valide du consentement de l’utilisateur au dépôt de cookies.



Le consentement de l’utilisateur doit être recueilli conformément aux dispositions du RGPD.

Celui-ci doit être manifesté de manière

-       libre : possibilité de donner ou retirer son consentement à tout moment, et de visiter un site web même en cas de refus des cookies. Le blocage au site en cas de refus des cookies  (« cookie walls ») n’est pas conforme au RGPD ;

-       spécifique : le consentement doit être donné de façon indépendante et spécifique pour chaque finalité distincte. L’acceptation des CGU ne vaut pas recueil du consentement pour les cookies ;

-       éclairée :l’utilisateur doit être informé dans des termes simples et compréhensibles pour tous. Le renvoi vers les CGU n’est pas suffisant ; et

-       univoque : le consentement doit se manifester par une action positive de l’utilisateur, préalablement informé.



En pratique, on s’éloigne donc de la pratique du consentement passif par la simple poursuite de la navigation sur un site web, et de la pratique binaire de l’opt-in (case à cocher)/opt-out (case pré-cochée). Désormais, le consentement doit être donné de manière informée et positive, en cochant une case.



On notera que certains types de cookies bénéficient d’une exemption au recueil du consentement, à savoir notamment, les opérations ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne, à la demande expresse de l’utilisateur.



3. La responsabilité des éditeurs de sites web et autres opérateurs



Les acteurs utilisant des cookies et traceurs concernant des données à caractère personnel sont tenus de se mettre en conformité avec le RGPD et les « lignes directrices cookies ». Il peut s’agir d’un seul opérateur (éditeur d’un site web), de plusieurs opérateurs (éditeur de site et régie publicitaire) ou d’opérateurs tiers. Il conviendra donc d’analyser le rôle de ces différents opérateurs afin de déterminer s’ils interviennent en qualité de responsable de traitement uniques, conjoints, sous-traitants, ou encore responsables indépendamment de l’éditeur du site.



Par ailleurs, les opérateurs qui exploitent des cookies et traceurs devront être en mesure de prouver le recueil du consentement des utilisateurs, conformément à l’article 7 du RGPD.



Ces « lignes directrices cookies » seront complétées par une nouvelle recommandation de la CNIL précisant les modalités pratiques du recueil du consentement, devant être publiée au premier trimestre 2020. Les opérateurs disposeront alors d’une période de six mois pour se mettre en conformité avec ces lignes directrices.





Les règles édictées par les « lignes directrices cookies » de la CNIL viennent d’être en partie confirmées par un arrêt de la CJUE du 1er octobre 2019 dans lequel les juges communautaires ont considéré d’une part qu’en matière de consentement sur le stockage de cookies, une case pré-cochées ne constituait pas un consentement valable, d’autre part, que l’opérateur est tenu de donner des informations claires sur la durée des cookies et l’accès par des tiers. (2)


* * * * * * * * * *


(1) Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

(2) CJUE, grande chambre, 1er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände contre Planet49 GmbH, aff. C-673/17

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2019


vendredi 2 août 2019

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL


Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.


1. Non-conformité et infractions à la règlementation sur la protection des données personnelles

La règlementation sur la protection des données personnelles s’est considérablement étoffée avec l’entrée en application du RGPD.

    1.1 Les exemples de non-conformité

Les organismes ont disposé de deux ans, entre la date de publication du RGPD le 27 avril 2016 et son entrée en application le 25 mai 2018, pour mettre leurs activités de traitement de données personnelles en conformité. Les autorités de contrôle ont par la suite décidé d’appliquer une approche pédagogique pendant la première année d’application du RGPD. Un an après, les organismes doivent désormais être en conformité.

La liste des cas de non-conformité au RGPD est longue. On peut citer, entre autre :
- le défaut d’information des personnes concernées,
- la collecte frauduleuse, déloyale ou illicite de données personnelles,
- le détournement de finalité,
- la poursuite d’un traitement en dépit de l’opposition de la personne concernée,
- la conservation des données pour une durée non limitée,
- la conservation illicite de données sensibles,
- la poursuite d’un traitement interdit,
- le traitement illicite du NIR,
- le défaut de sécurité,
- le défaut de notification à l’autorité de contrôle en cas de violation de données,
- ou le transfert non autorisé de données en dehors de l’Union européenne.

    1.2 Le montant des sanctions alourdi

Le montant des sanctions pouvant être prononcées a été significativement alourdi, passant de 150.000 euros à 3 millions d’euros en octobre 2016, avec l’entrée en vigueur de la loi pour une république numérique (2), puis à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise avec le RGPD. (3)

Cette évolution du montant des sanctions pécuniaires est le reflet des risques croissants qui pèsent sur les personnes en cas de traitements illicites de leurs données, facilités par les développements des technologies (collecte à l’insu des personnes, détournement de finalité, etc.).

Alors qu’avant le RGPD, les sanctions prononcées en France par la CNIL atteignaient rarement quelques dizaines de milliers d’euros, la première sanction pécuniaire prononcée par la formation restreinte de la CNIL en application du RGPD s’est élevée à 50 millions d’euros. Cette amende a été prononcée à l’encontre de la société Google en janvier 2019, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. (4) Plus récemment, la formation restreinte de la CNIL a condamné la société de gestion immobilière Sergic à 400.000€ d’amende pour atteinte à la sécurité des données et non respect des durées de conservation. (5) Enfin, la société Active Assurances vient d’être condamnée à une amende de 180.000€ pour atteinte à la sécurité des données de ses clients. (6)


2. L’action répressive de la CNIL

Les Etats-membres prennent toutes les mesures nécessaires pour la mise en oeuvre du respect du règlement. En cas de sanction, celle-ci doit être effective, proportionnée et dissuasive. (7)

L’action répressive de la CNIL est définie aux articles 20 et suivants de la loi Informatique et Libertés, modifiée. Celle-ci comprend trois étapes, que l’on peut synthétiser comme suit :

    1ère étape - Le signalement

La CNIL prend connaissance des potentiels manquements à la réglementation sur la protection des données par différents canaux d’information, à savoir :

    - Les plaintes reçues par la CNIL : toute personne, en qualité de consommateur, client, salarié, citoyen, etc. dont les données personnelles ont été collectées et ont fait l’objet d’un traitement, peut déposer une plainte à la CNIL, via le site de la Commission, en cas de violation du RGPD par un responsable de traitement (site e-commerce, banque, administration, association, etc.).

    - Les informations publiées dans la presse ou sur internet : les articles de presse ou posts sur les réseaux peuvent alerter la CNIL sur les pratiques de certaines sociétés ou sur des failles de sécurité par exemple.

    - L’auto-saisine par la CNIL : chaque année, la CNIL définit un programme de contrôles pour l’année en cours, avec des thèmes identifiés comme prioritaires. Par exemple, la CNIL a identifié le contrôle des relations entre les responsables de traitements et les sous-traitants (répartition des responsabilités) et les traitements de données de mineurs comme thèmes prioritaires de ses contrôles pour 2019. A ce titre, la CNIL peut ainsi effectuer des contrôle par auto-saisine sur des organismes mettant en oeuvre des traitements identifiés dans ses thèmes prioritaires.

    - La coopération entre les autorités de contrôle européennes : le RGPD prévoit une plus grande coordination entre les autorités de contrôle des Etats-membres. Par exemple, en cas de plainte de la part d’un ou plusieurs consommateurs ou salariés d’un pays à l’encontre d’une société présente dans plusieurs Etats membres, l’autorité de contrôle de ce pays peut désormais signaler ladite plainte à la CNIL si des consommateurs ou salariés sont concernés en France.

    2ème étape - Le contrôle

La procédure de contrôle peut se dérouler comme suit :
    - Le contrôle en ligne, si les manquements signalés sont visibles à distance ;
   - Le contrôle sur place, dans les locaux de l’organisme. Dans ce cas, le contrôleur demandera au responsable du traitement de contrôler les traitements de données mis en oeuvre. par l’organisme ;
    - La convocation, avec audition des personnes responsables des organismes concernés.

Ces trois procédures de contrôle font l’objet d’un procès-verbal identifiant les éléments contrôlés et les manquements éventuellement constatés.

    - Le contrôle sur pièces. Ce type de contrôle est réalisé suite à l’envoi de questions écrites et la demande de documents au responsable du traitement.

    3ème étape - Les suites du contrôle

Suite au contrôle effectué par les agents de la CNIL, deux issues sont possibles :
    - Le contrôle a donné lieu à pas ou peu d’observations. Le dossier est alors clôturé et l’organisme contrôlé reçoit la notification de ladite clôture.

    - Si des manquements sérieux à la règlementation sont avérés, deux cas de figure peuvent alors se présenter :
La présidente de la CNIL peut prononcer une mise en demeure. La mise en demeure peut être publique (par voie de communiqué), la publicité ayant un double effet - d’alerte et pédagogique, pour tout organisme qui serait dans une situation similaire. L’organisme en cause dispose alors d’un délai pour se mettre en conformité, auquel cas, le dossier est clôturé. (8)

Par exemple, le 25 septembre 2018, la présidente de la CNIL a mis en demeure cinq société des groupes Humanis et Malakoff-Médéric pour détournement de la finalité des traitements des assurés. Les sociétés s’étant mises en conformité (modification du système informatique, suppression des données acquises illégalement, formation interne à la protection des données personnelles), les procédures de mises en demeure ont été clôturées le 21 février 2019. (9)

Le 8 novembre 2018, la présidente de la CNIL a mis en demeure la société Vectaury pour absence de recueil du consentement des utilisateurs au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Suite à cette mise en demeure, la société Vectaury s’étant mise en conformité (affichage d’une bannière informative lors de l’installation des applications mobiles pour recueillir le consentement des utilisateurs), la procédure de mise en demeure a été clôturée le 26 février 2019. (10)
 
La formation restreinte de la CNIL, exerçant une fonction juridictionnelle, peut prononcer une sanction si l’organisme ne se met pas en conformité suite à la mise en demeure de la présidente de la CNIL. La formation restreinte peut également prononcer directement une sanction contre l’organisme en cause, sans mise en demeure préalable. (11)

La sanction peut être de nature pécuniaire pour les manquements les plus graves (montants définis par le RGPD), ou non pécuniaire (rappel à l’ordre, injonction sous astreinte, etc.). Enfin, les sanctions peuvent être publiques (par voie de communiqué et par la publication de la résolution sur le site de la CNIL et sur Légifrance) ou non publiques.

Les sanctions prononcées par la CNIL peuvent faire l’objet d’un recours par l’organisme sanctionné devant le Conseil d’Etat dans un délai de deux mois.


                                                                * * * * * * * * * * *

(1) “RGPD : près d’un tiers des entreprises non conformes”, Le Monde Informatique, 26 juillet 2019

(2) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique, ancien article 47 al.2 de la loi Informatique et Libertés

(3) Art. 83.5 et 6 du RGPD

(4) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(5) Délibération de la formation restreinte n°SAN-2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société Sergic

(6) Délibération de la formation restreinte n°SAN-2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société Active Assurances

(7) RGPD, art. 84 (1)

(8) Le délai pour se mettre en conformité est fixé par la présidente. Il varie généralement entre 6 et 12 mois - mais ce délai peut être beaucoup plus court en cas d’urgence par exemple

(9) (Communication de la CNIL sur la clôture des mises en demeure à l’encontre des sociétés des groupes Humanis et Malakoff-Médéric, Site de la CNIL)

(10) (Communication de la CNIL sur la clôture de la mise en demeure à l’encontre de la société Vectaury, Site de la CNIL)

(11) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2019

mercredi 24 juillet 2019

ICO : des dispositions innovantes dans la loi PACTE pour développer la confiance


Les ICO (“Initial Coin Offering”) permettent aux start-ups et entreprises innovantes de collecter des fonds de manière dématérialisée à l’international.

La loi PACTE, définitivement promulguée le 22 mai 2019, prévoit des dispositions visant notamment à encadrer et sécuriser la procédure de levée de fonds en crypto-actifs, ou ICO. (1)


1. L’ICO, un moyen alternatif de financer le développement des start-ups


Une ICO consiste en une émission d’actifs numériques sous forme de jetons (ou “tokens”) au public, fonctionnant en principe sur la blockchain. Les investisseurs peuvent acheter des jetons en devise (euros, dollars, etc.) ou en crypto-monnaie (bitcoin, ether, etc.).

Un “actif numérique” est la représentation numérique d’une valeur non émise ni garantie par une banque centrale ou une autorité, et non nécessairement attachée à une monnaie ayant cours légal - émis en bitcoin par exemple. (2)

Les jetons sont définis à l’article L.552-2 du code monétaire et financier comme “tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé (blockchain) permettant d'identifier, directement ou indirectement, le propriétaire dudit bien”.

L’Autorité des marchés financiers (AMF) distingue trois grands types de jetons (tokens) :
    - les crypto-actifs comme monnaie d’échange et unité de valeur (par exemple, le bitcoin) ;
    - les crypto-actifs assimilés à des instruments financiers - “security tokens”, donnant des droits de participation à la gouvernance ou d’intéressement aux profits futurs de l’entreprise émettrice (droits de vote ou dividendes) ; et
    - les crypto-actifs utilitaires - “utility tokens”, donnant des droits d’utilisation de produits ou services futurs proposés par l’émetteur. Ces tokens constituent la plus grande partie des crypto-actifs émis à l’heure actuelle.
Certains tokens sont cependant hybrides ou issus de plusieurs catégories. (3)

Les start-ups qui auraient des difficultés à lever des fonds par les méthodes classiques peuvent envisager de recourir à une ICO. L’ICO présente en effet plusieurs avantages : le coût d’une ICO est moindre qu’une levée de fonds classique, car cette opération peut être réalisée sans intermédiaire financier ; en cas d’attribution de utility tokens, le capital n’est pas dilué puisque les tokens attribués n’offrent qu’un droit d’usage à l’investisseur (droit d’utilisation du bien ou du service produit par la société émettrice, ce bien ou ce service étant généralement à l’état d’idée ou de projet à la date de l’ICO).

Mais les risques (perte du capital investi, absence de marché pour la revente ou l’échange des tokens, etc.) ne doivent pas être sous-estimés : les opérations d’ICO restent peu, voire pas réglementées. Seuls quelques pays commencent à réglementer ces opérations, qui revêtent donc un niveau de risque supérieur à une opération de levée de fonds classique ; les ICO sont le plus souvent non documentées, contrairement à une levée de fonds classique, accompagnée d’un prospectus comprenant des informations détaillées sur la société et l’opération envisagée ; enfin, l’absence d’information sur les sociétés et sur les projets financés ne permet pas d’écarter les risques d’escroquerie (détournement des fonds à des fins personnelles ou autres) ou de blanchiment d’argent par exemple.

Même si les levées de fonds par ICO restent encore marginales dans le monde, ce mode de financement continue de se développer. Plusieurs pays ont ainsi décidé de commencer à réglementer les ICO pour donner plus de transparence à ces opérations et sécuriser la procédure. (4)


2. De nouvelles règles avec un objectif de transparence et de sécurisation de la procédure d’ICO

En France, la loi PACTE du 22 mai 2019 a introduit deux séries de dispositions pour donner plus de transparence et de sécurité aux opérations d’ICO. (5)

Les principales dispositions figurant dans la loi PACTE sont les suivantes :

- Création d’un visa optionnel pour les émetteurs d’ICO, délivré par l’AMF
Le visa pourra être demandé par les émetteurs d’ICO. L’objectif de ce visa est d’apporter une garantie de sérieux au projet. Le visa est principalement destiné aux start-ups innovantes ou développant une activité en France. Il concerne l’émission d’actifs numériques qui ne présentent pas les caractéristiques d’un titre financier ou bon de caisse, et sera délivré pour un projet et une durée déterminés.(6)

Les projets disposant du visa de l’AMF seront inscrits sur une liste blanche. En revanche, les projets ayant perdu le visa seront inscrits sur une liste noire.

La procédure de demande de visa a été publiée par l’AMF le 6 juin dernier (7). Elle repose sur trois conditions :
    1) la fourniture d’un document d’information présentant la société émettrice et décrivant le projet, et précisant notamment le nombre de jetons émis, leur prix, les droits associés, et le protocole de blockchain utilisé pour inscrire les jetons ;
    2) un dispositif garantissant la sécurité des fonds recueillis pendant la durée de l’offre ; et
    3) le respect des obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme avec la mise en place d’un système KYC ("Know your customer"). L’émetteur doit être établi ou immatriculé en France.

Il est précisé que l’objet du visa est de valider la structuration du projet et non sa qualité ou son opportunité.

Le délai d’instruction du dossier par l’AMF est fixé à 20 jours ouvrés à compter de la réception du dossier complet.

 - Encadrement du marché secondaire
    Création d’un agrément pour les nouveaux prestataires de services sur actifs numériques (“PSAN”)
Une nouvelle procédure d’agrément volontaire est prévue pour les prestataires de services sur actifs numériques, tels que les plateformes d’échanges de crypto-actifs (bitcoins, ether, etc.) ou les services de conseils aux souscripteurs d’actifs numériques et de gestion de portefeuilles d’actifs numériques pour le compte de tiers. (art. L.54-10-5)

    Enregistrement des plateformes d’achat-vente de crypto-actifs
Enfin, les plateformes d’achat-vente de crypto-actifs en monnaie fiduciaire et les services de conservation de jetons seront soumis à un enregistrement obligatoire auprès de l’AMF, au titre du contrôle de la lutte anti-blanchiment. (art. L.54-10-3) Le non-respect de cette obligation pourra entraîner des sanctions pénales (30.000€ d’amende et deux ans d’emprisonnement).


                                                                  * * * * * * * * * *

(1) Loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (Loi PACTE)

(2) Article L.54-10-1 du Code monétaire et financier

(3) “ICO françaises : un nouveau mode de financement ?”, Caroline Le Moign, AMF, novembre 2018

(4) Les pays ayant commencé à réglementer les ICO comprennent notamment, outre la France, l’Australie, Singapour. Certains pays considèrent que les ICO avec émission de “security tokens” relèvent de la règlementation sur les valeurs mobilières.
Par ailleurs, certains pays, dont la Chine et la Corée du Sud, ont décidé pour l’instant d’interdire les ICO, considérant le risque de fraude trop élevé.

(5) Art. 85 et 86 de la loi PACTE, codifiés aux articles L.551-1 et s. (“Intermédiaires en biens divers et émetteurs de jetons”), et L. 54-10-1 et s. du code monétaire et financier

(6) Les bons de caisse et jetons correspondant à un instrument financier sont soumis à des règles spécifiques figurant aux articles L.223-1 et s. et L.232-1 du Code monétaire et financier

(7) Instruction AMF n°DOC-2019-06



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com


Juillet 2019

lundi 10 juin 2019

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde


La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 
Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

jeudi 9 mai 2019

Noms de domaine : le cybersquatting en hausse selon l’OMPI

De nombreuses entreprises sont victimes chaque année de cybersquatting (ou cybersquattage), en particulier dans les domaines du commerce de détail, de la mode et du luxe ou de la finance. Pour se défendre, les victimes peuvent soit engager une action en justice, soit lancer une procédure extrajudiciaire.

Dans un communiqué de presse publié le 15 mars 2019, l’OMPI (Organisation mondiale de la Propriété intellectuelle) a annoncé que son Centre d’arbitrage et de médiation avait reçu 3.447 plaintes relatives aux noms de domaine en 2018. Ces plaintes, déposées en vertu des Principes UDRP par des titulaires de marques, sont en hausse de 12% par rapport à l’année précédente. (1)


1. Le rôle du Centre d’arbitrage et de médiation de l’OMPI dans le règlement extrajudiciaire des litiges sur les noms de domaines (principes UDRP)

Le Centre d’arbitrage et de médiation est un organisme relevant de l’OMPI, dont le siège est situé à Genève, avec un bureau à Singapour. L’objet du Centre d’arbitrage est de proposer des services de règlement extrajudiciaires des litiges (médiation et arbitrage) dans les domaines de la propriété intellectuelle, des technologies et des noms de domaines, en particulier de nature internationale. (2)

Les procédures concernent tant des litiges contractuels (exécution de licences de brevets et de logiciels, contrats de coexistence de marques, contrats de recherche et de développement) que des litiges non-contractuels (tels que des litiges de contrefaçon ou le cybersqatting). Les litiges relatifs aux noms de domaines sont, de loin, les plus nombreux.

Les litiges relatifs aux noms de domaine sont traités par le Centre d’arbitrage et de médiation en vertu des Principes directeurs concernant le règlement uniforme des litiges relatifs aux noms de domaine (principes UDRP - Uniform Dispute Resolution Policy). (3) Cette procédure ne s’applique qu’aux litiges entre noms de domaine et marques.

Concernant les noms de domaine, seuls les litiges portant sur des noms de domaine enregistrés dans les domaines génériques de premier niveau (gTLD), tels que les domaines en .com, .org, .net, et les nouveaux gTLD en .online, .info., .app par exemple, sont pris en compte. Il convient d’ajouter plusieurs domaines de pays de premier niveau (ccTLD), notamment plusieurs extensions “exotiques” pouvant être utilisées à des fins frauduleuses, tels que les domaines en .ag (Antigua-et-Barbuda), .bm (Bermudes), .bs (Bahamas), .tv (Tuvalu), mais également le .fr, ou le .eu. (4) On notera toutefois que les noms de domaine en .com représentent encore plus de 70% des litiges traités par le Centre.

Pour être recevable, la demande du requérant doit remplir trois conditions cumulatives :
    i) le nom de domaine litigieux doit être identique ou similaire à une marque sur laquelle le requérant détient des droits, et prêter à confusion dans l’esprit du public ;
    ii) le détenteur du nom de domaine litigieux n’a aucun droit sur le nom de domaine, ni aucun intérêt légitime qui s’y attache ; et
    iii) le nom de domaine litigieux a été enregistré et utilisé de mauvaise foi. (5)

Enfin, l’entrée en application du RGPD permet désormais de masquer les coordonnées des titulaires de noms de domaines sur les bases de données Whois, rendant l’accès à l’information plus difficile en cas de litige. Le Centre d’arbitrage a publié des conseils “informels” afin de permettre aux ayants droit de s’assurer de la recevabilité des leurs plaintes. (6)


2. La hausse des plaintes relatives aux noms de domaine

Les plaintes concernant le cybersquatting sont en hausse. Ainsi, le nombre de plaintes déposées en vertu des principes UDRP par les ayants droit de marques dans des litiges relatifs à des noms de domaine s’est élevé à 3.447 en 2018 et a porté sur un total de 5.655 noms de domaine, en hausse de 12% par rapport à 2017. 

Les sites utilisant des noms de domaines litigieux sont généralement liés à des activités frauduleuses, telles que la vente de contrefaçons, le phishing (hameçonnage), l’atteinte au droit des marques par exemple, ou encore le développement d’une activité parasitaire.

En 2018, les parties aux litiges administrés par l’OMPI en vertu des principes UDRP venaient de 109 pays. 976 plaintes concernent les États-Unis, suivis par la France (553 plaintes), le Royaume-Uni (305 plaintes) et l’Allemagne (244 plaintes).

Les trois principaux domaines d’activité des plaignants sont la banque et la finance (12%), la biotechnologie et les produits pharmaceutiques (11%) et internet et les technologies de l’information (11%).


    Les noms de domaine font partie des actifs majeurs de la plupart des entreprises, qu'elles aient une activité commerciale en ligne ou un simple site "vitrine". Le cybersquatting porte une atteinte manifeste non seulement à l’image des titulaires de marques mais également à la concurrence. Il est donc nécessaire de mettre en place une stratégie de défense comprenant d’une part l’enregistrement de noms de domaines dans les extensions les plus courantes quand cela est possible, et avec des dérivés orthographiques, et d’autre part organiser une veille internet régulière pour détecter les fraudes éventuelles.

Le recours aux services d’arbitrage et de médiation de l’OMPI permet notamment aux ayants droit de récupérer un nom de domaine enregistré de mauvaise foi par un tiers, en évitant des procédures judiciaires longues et coûteuses, et le plus souvent internationales. Cette procédure simple, rapide et peu coûteuse (mais entièrement à la charge du requérant), n’exclut cependant pas la possibilité pour l’une ou l’autre des parties de porter le litige devant les tribunaux.


                                                                   * * * * * * * * * *

(1) « Nouveau record de plaintes pour cybersquattage (+12%) déposées auprès de l’OMPI en 2018 », Communiqué de presse du 15 mars 2019, OMPI

(2) Site de l’OMPI

(3) La procédure UDRP (Uniform Dispute Resolution Policy) et les Principes directeurs et les règles d’application éditées le 24 octobre 1999, sont accessibles sur le site du Centre d’arbitrage de l’OMPI
 
(4) Il existe deux types de procédures similaires - la procédure Syreli (Système de règlement des litiges) et la procédure PARL Expert (Procédures alternatives de résolution de litiges) administrées par l’Afnic pour l’extension en .fr et les extensions gérées gérées par l’Afnic 

(5) Pour les conditions de recours à la procédure UDRP, voir notre précédent article sur le sujet “Conflit entre une marque et un nom de domaine : le choix du recours à la procédure extrajudiciaire

(6) Voir la page “Impact of Changes to Availability of WhoIs Data on the UDRP: WIPO Center Informal Q&A



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2019

vendredi 26 avril 2019

Signature d’une Charte des acteurs du e-commerce pour une relation équilibrée entre les places de marché et les vendeurs

 
Le 26 mars 2019, une Charte des acteurs du e-commerce a été co-signée par Mounir Mahjoubi, ex-Secrétaire d’état chargé du numérique, la Fevad (Fédération du e-commerce), la CPME (Confédération des PME) et huit places de marché (ou marketplaces), membres de la Fevad, dont Cdiscount, eBay, Le Bon Coin, et Rakuten. (1)

L’objet de cette charte, dont l’adhésion est volontaire, est de poser les « conditions d’une relation équilibrée, transparente et loyale entre les opérateurs de plateformes en ligne, tels que définis à l’article L.111-7 du code de la consommation » et les entreprises utilisatrices. La charte propose ainsi des bonnes pratiques, afin d’améliorer la confiance des utilisateurs dans le e-commerce. Ces entreprises, la plupart PME, voire TPE, utilisent les services et la visibilité des plateformes pour faciliter l’accès au marché de la vente en ligne.

La charte s’articule autour des points suivants :

   - La formalisation des engagements mutuels entre les parties, plateformes et entreprises utilisatrices, par la mise à disposition des entreprises des conditions d’utilisation claires et compréhensibles, permettant notamment le recours à la médiation en cas de litige ;

   - La garantie d’un échange ouvert, fiable et individualisé entre la plateforme et l’entreprise utilisatrice par un dispositif au sein des plateformes permettant les échanges entre les parties ;

   - Des règles de déréférencement plus claires avec la possibilité pour les entreprises utilisatrices de les contester et des règles relatives au classement commercial des produits plus robustes. Concernant les entreprises utilisatrices, apprendre à respecter les règles de fonctionnement de la plateforme et mettre en ligne des offres conformes aux règlementations applicables en matière de vente à distance ;

   - L’efficacité de la lutte contre la contrefaçon par les plateformes et par les entreprises utilisatrices.

La charte doit faire l’objet d’un bilan annuel.

La charte sera complétée dans les mois qui viennent par le règlement sur les services d’intermédiation en ligne (règlement « platform to business ») et les directives « nouvelle donne pour les consommateurs ». (2)


                                                                         * * * * * * * * * *

(1) site de la Fevad

(2) Proposition de règlement promouvant l’équité et la transparence pour les entreprises utilisatrices des services d’intermédiation en ligne (règlement « platform to business ») et proposition de directives « nouvelle donne pour les consommateurs » (new deal for consumers)



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

mardi 23 avril 2019

Résiliation contractuelle et stricte application de la clause résolutoire

En vertu de l’article 1103 du code civil, “Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits”. (1) Cette disposition s’applique tant aux conditions d’exécution du contrat qu’aux conditions de résiliation qui ont été prévues par les parties. (2)

La Cour de cassation l’a rappelé dans deux arrêts dans lesquels les juges ont fait une stricte application de la clause résolutoire figurant dans les contrats pour apprécier la régularité de la résiliation.


1. Les conditions de mise en oeuvre de la clause résolutoire

Dans une première affaire, la propriétaire d’un immeuble avait vendu son bien, avec une partie en rente viagère. L’acheteur (débirentier) n’ayant pas réglé des rentes à leur échéance, le 6 avril 2012 la vendeuse (crédirentier) a fait signifier un commandement de payer visant la clause résolutoire figurant au contrat de vente. Le 9 mai 2012, le crédirentier a assigné le débirentier, alors en redressement judiciaire, pour voir constater l’acquisition de la clause résolutoire du contrat de vente et obtenir le paiement des sommes dues par ce dernier.

La clause résolutoire figurant au contrat de vente stipulait “qu’à défaut par le débirentier de payer exactement les arrérages de la rente, et en cas de mise en demeure par le crédirentier au débirentier d’avoir à acquitter ladite rente, la vente sera résolue de plein droit, après un simple commandement de payer resté infructueux et contenant déclaration par le crédirentier de son intention d’user du bénéfice de ladite clause”.

Le commandement de payer signifié au débirentier faisait effectivement référence à la clause résolutoire du contrat. Le crédirentier avait en outre manifesté “sans ambiguïté”, sa volonté d’appliquer cette clause, avec effet immédiat. La Cour d’appel avait ainsi conclu au caractère régulier du commandement de payer.

Dans un arrêt du 17 octobre 2018, la Cour de cassation a cassé l’arrêt de la Cour d’appel d’Aix en Provence du 1er mars 2017, au motif que cette dernière n’avait pas correctement tiré les conséquences légales de ses constatations sur l’application de la clause résolutoire du contrat. (3)

Selon les termes de cette clause, la résolution du contrat était soumise à un délai accordé au débirentier pour régler les sommes impayées (“commandement de payer resté infructueux”). En conséquence, la Cour de cassation a décidé que la résolution du contrat devait être impartie d’un délai au débirentier pour régler les sommes impayées, appliquant strictement les termes de la clause résolutoire.


2. L’incompatibilité d’une faute grave avec l’application d’un préavis de résiliation

Dans cette seconde affaire, un radiologue avait conclu un contrat d’exploitation d’un scanner avec une clinique, en date du 21 décembre 2010. La clause résolutoire prévoyait que les parties pourraient mettre fin au contrat sous réserve d’un préavis de six mois. En cas de résiliation par la clinique, celle-ci devait verser au médecin une indemnité correspondant à un an de chiffre d’affaires. En revanche, en cas de faute grave de la part du médecin, la résiliation serait immédiate et celui-ci n’aurait pas droit à l’indemnité.

Par courrier du 25 juillet 2014, la clinique a résilié le contrat à effet du 31 janvier 2015, s’appuyant sur un certain nombre de griefs, mais en s’opposant au versement de l’indemnité.

Le médecin a assigné la clinique en versement de l’indemnité contractuelle prévue à la clause résolutoire.

Le litige portait notamment sur la qualification de la faute imputable au médecin, et sur les conditions applicables à la résiliation du contrat. En effet, soit la clinique estimait que le médecin avait commis une faute grave, et dans ce cas la résiliation était immédiate et ne donnait pas lieu au versement de l’indemnité prévue au contrat, soit la faute n’était pas qualifiée de “grave”, et dans ce cas la résiliation était assortie du préavis de 6 mois et du versement de l’indemnité contractuelle.

Dans un arrêt rendu le 14 novembre 2018, la Cour de cassation a une nouvelle fois fait une application stricte des termes du contrat et relève la contradiction entre le fait de retenir une faute grave à l’encontre du cocontractant et refuser de lui régler l’indemnité contractuelle, et le fait d’assortir la résiliation d’un préavis de 6 mois. Ainsi, les juges soulignent “qu’une faute grave, par son importance, rend impossible le maintien d’un contrat d’exploitation ou d’exercice” conclu entre un médecin et un établissement de santé pendant la durée du préavis. La faute grave “ne peut, dès lors être retenue que si la résiliation a été prononcée avec effet immédiat.” (4)

La Cour d’appel de Paris, dans son arrêt du 15 juin 2017, avait relevé que la clinique avait résilié le contrat en accordant à la société (au médecin) un préavis de six mois. La qualification de faute grave ne pouvait donc s’appliquer. La cour de cassation a confirmé l’arrêt d’appel mais a prononcé la cassation partielle sur le montant de l’indemnité due par la clinique au médecin.


   La résiliation anticipée d’un contrat est désormais régie par l’article 1225 du code civil, dans sa version en vigueur depuis la réforme du droit des contrats. (5) Un contrat ne peut être résilié de manière anticipée que sous réserve 1- d’une mise en demeure restée sans effet, et 2- que la mise en demeure mentionne expressément la clause résolutoire figurant au contrat. Les parties peuvent cependant prévoir que le contrat sera résilié du seul fait de l’inexécution de ses obligations par une partie.

Il convient donc d’une part de rédiger les clauses résolutoires dans des termes clairs, en précisant les différentes situations pouvant entraîner la résiliation du contrat (manquement contractuel, faute grave - et éventuellement fournir des exemples de manquements qui pourront être qualifiés de faute grave), et d’autre part de s’assurer de les exécuter correctement en cas de mise en oeuvre de la clause de résiliation anticipée du contrat.


                                                                      * * * * * * * * * *

(1) ancien article 1134 al.1 du code civil dans sa version antérieure à l’ordonnance du 10 février 2016.

(2) article 1184 du code civil, dans sa version antérieure à l’ordonnance du 10 février 2016, remplacé par les articles 1224 à 1230 du code civil

(3) Cass com, affaire n°17-17935, arrêt du 17 octobre 2018

(4) Cass civ 1, affaire n°17-23135, arrêt du 14 novembre 2018

(5) Art 1225 du code civil “La clause résolutoire précise les engagements dont l'inexécution entraînera la résolution du contrat.
La résolution est subordonnée à une mise en demeure infructueuse, s'il n'a pas été convenu que celle-ci résulterait du seul fait de l'inexécution. La mise en demeure ne produit effet que si elle mentionne expressément la clause résolutoire.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

jeudi 18 avril 2019

L’importance de l’implication du client dans l’exécution d’un projet informatique

La jurisprudence relative aux contrats informatiques relève souvent les carences du prestataire dans l’exécution de son obligation de conseil vis-à-vis du client ou dans l’exécution de ses prestations. On rappellera toutefois que dans le cadre de l’exécution de projets informatiques, le client ne peut pas attendre la livraison du projet en restant passif. Deux arrêts de cour d’appel remontant à 2017 rappellent ainsi l’importance du rôle actif du client dans l’exécution de projets informatiques. Sa pleine coopération est en effet un élément clé de la bonne exécution du projet. Par ailleurs, le nouveau droit des contrats, issu de l’ordonnance du 10 février 2016 prévoit que “Les contrats doivent être négociés, formés et exécutés de bonne foi.” (1) Cette obligation, d’ordre public, s’impose aux parties non seulement pendant la période pré-contractuelle, mais également pendant toute la durée du contrat.

Dans la première affaire, la faute du client qui n’avait pas exprimé ses besoins a été retenue par les juges. La seconde affaire retient la résiliation du contrat aux torts du client qui a refusé la réception provisoire d’un site internet.


1. Le client est tenu d’exprimer ses besoins

Dans un arrêt rendu le 5 octobre 2017, la cour d’appel d’Aix-en-Provence a prononcé la résiliation d’un contrat de développement de sites web aux torts du client qui n’a pas exprimé ses besoins. (2)

En 2010, la société Nouvelles Destinations, tour-opérateur spécialisé dans la vente de séjours autour de parcs d’attractions, a souhaité refondre son site internet destiné aux professionnels (B2B) et développer un site à destination des consommateurs (B2C). Les prestations de développement ont été confiées à la société Flag Systèmes. Trois contrats ont été conclus en décembre 2010 et janvier 2011 : un contrat-cadre pour les développements spécifiques, pour un montant total de 135.000 euros, un contrat d’achat et de maintenance des licences I-Resa et un contrat d’hébergement et d’administration de la plate-forme I-Resa.

N’ayant pas reçu le dernier paiement prévu au contrat-cadre de développement, ni le règlement des factures d’hébergement, la société Flag Systèmes a mis le client en demeure de payer le 14 octobre 2013. En réponse, la société Nouvelles Destinations a contesté devoir les sommes réclamées, invoquant divers dysfonctionnements. Le prestataire a donc fait assigner la société Nouvelles Destinations et son assureur devant le tribunal de commerce d’Aix-en-Provence en règlement des sommes. Dans un jugement du 10 novembre 2015, le tribunal a condamné la société Nouvelles Destinations à régler les sommes dues à la société Flag Systèmes. Nouvelles Destinations a interjeté appel.

Dans sa décision du 5 octobre 2017, la Cour relève que le contrat-cadre rappelle en préambule que la société Nouvelles Destinations n’a pas fourni de document d’expression de ses besoins ni de cahier des charges, que le contrat-cadre est destiné à permettre « d’initialiser les premières phases de travail sans que les enveloppes définitives soient engagées », et qu’il est recommandé à la société Nouvelles Destinations « de recourir à une assistance à maîtrise d’ouvrage, mener une réflexion de fond sur l’organisation des services, les processus métiers et les flux d’informations mis en place, et la mise en place d’un comité de pilotage. » Or, la société Nouvelles Destinations n’a suivi aucune des recommandations du prestataire, au titre de l’obligation de conseil de ce dernier.

Par ailleurs, alors qu’il revient à la société cliente de prouver les dysfonctionnements allégués et leur imputabilité au prestataire, les juges relèvent que la société Nouvelles Destinations ne produit que des emails émanant d’elle-même, se plaignant de dysfonctionnements, sans aucune plainte de clients ou de partenaires commerciaux, ni constat d’huissier attestant desdits dysfonctionnements pouvant justifier le non-paiement des factures du prestataire.

En conséquence, la Cour a confirmé le jugement du tribunal de commerce, mais revu la condamnation à la baisse. La société Nouvelles Destinations a ainsi été condamnée à payer 101.000 euros dus au titre des contrats.


2. Le client qui refuse la réception provisoire du projet est en tort

Dans un arrêt du 6 juillet 2017, la cour d’appel de Grenoble a confirmé la résiliation d’un contrat de développement d’un site internet aux torts exclusifs du client qui avait refusé de procéder à la réception provisoire, alors que la réception aurait pu lui permettre de faire réaliser les corrections nécessaires par le prestataire au vu des éventuelles réserves.

La société Sikirdji Gemfrance, spécialisée dans le commerce de pierres fines et précieuses avait conclu un contrat de réalisation de site web avec la société DediServices le 9 juillet 2012 et a versé un premier acompte de 40% à la commande (soit 10.697,02€ TTC). Prétendant que le site commandé n’avait jamais été achevé et qu’il comportait de nombreux dysfonctionnements, la société Sikirdji Gemfrance a demandé au prestataire le remboursement de l’acompte versé par mise en demeure du 4 avril 2013, puis assigné la société DediServices en résolution du contrat et remboursement de l’acompte le 16 septembre 2013.

Dans son jugement du 28 novembre 2014, le tribunal de commerce de Grenoble a condamné la société cliente à payer à la société DediServices la somme de 16.045,54 € au titre des factures impayées avec application des pénalités de retard contractuelles, 10.000 € euros de dommages et intérêts et 2.000 € au titre de l’article 700 du code de procédure civile. La société Sikirdji Gemfrance a interjeté appel le du 16 janvier 2015.

Alors que la réception a notamment pour objet d’obliger le prestataire à faire les modifications correspondant aux éventuelles réserves qui auraient été mentionnées au procès-verbal de recette, en l’espèce la société cliente a refusé la réception provisoire du site.

La cour a confirmé la condamnation de la société Sikirdji Gemfrance à payer au prestataire les sommes prévues par le contrat et non encore réglées, augmentées des pénalités de retard, 10.000 € pour le travail supplémentaire généré par les nombreuses demandes d’interventions et de modifications, et 50.000 € de dommages-intérêts.

Cet arrêt fait l’objet d’un pourvoi en cassation.

                                                                   * * * * * * * * * *

(1) article 1104 du Code civil

(2) Cour d’appel d’Aix-en-Provence, 8e ch. B, arrêt du 5 octobre 2017, Nouvelles Destinations / Flag Systèmes et Hiscox Europe Underwriting Ltd

(3) Cour d’appel de Grenoble, ch. com, arrêt du 6 juillet 2017 Sikirdji Gemfrance / DediServices


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

lundi 18 mars 2019

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Les sociétés britanniques et leurs co-contractants européens doivent donc être préparés en cas de sortie de l’UE sans accord (« hard Brexit » ou « no-deal Brexit »), afin de minimiser les conséquences d’une telle situation sur leurs activités.

Bien que le Royaume-Uni ait mis à jour sa réglementation sur la protection des données personnelles avec le Data Protection Act 2018,(1) entré en application en même temps que le RGPD le 25 mai 2018, un hard Brexit signifierait la fin de la libre circulation des données personnelles entre l’Union européenne et le Royaume-Uni. Le Royaume-Uni sera alors considéré comme un pays tiers à l’UE et à l’EEE, sans pouvoir bénéficier du statut de pays offrant un niveau de protection adéquat. Les sociétés concernées, responsables de traitement, cotraitants et sous-traitants, devront mettre en place des accords de même type que les entreprises à l’international.

Voyant la date butoir se rapprocher, le Comité européen de la protection des données (CEPD) et la CNIL ont publié, courant février, des conseils à l’attention des organismes concernés par les transferts de données entre l’Union européenne et le Royaume-Uni.(2)


1. La mise en place d’outils de transfert de données pour continuer à assurer un niveau de protection adéquat

Les transferts de données depuis un pays membre de l’Union européenne vers un pays extérieur à l’UE ne bénéficiant pas d’une décision d’adéquation sont soumis à l’exigence de “garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives”, définies par des documents contraignants pour les deux parties, responsable du traitement et destinataire des données. (art. 46 du RGPD)

Ces documents peuvent être :

    - Les clauses contractuelles types (CCT)
Les CCT sont des contrats types de transferts de données adoptés par la Commission européenne. Les CCT doivent être signées telles quelles, et ne peuvent être modifiées par les parties. Il existe deux types de CCT : les CCT entre responsable du traitement européen et responsable du traitement de pays tiers (co-responsables de traitements) et les CCT entre responsable du traitement européen et sous-traitant d’un pays tiers.(3)

    - Les contrats “ad hoc”
Les clauses contractuelles spécifiques, ou “ad hoc” sont des contrats de transferts de données négociés entre les parties. Ces contrats doivent cependant être préalablement autorisés par la CNIL, après avis du CEPD.

    - Les codes de conduite et les mécanismes de certification
Ces deux outils ont été créés avec le RGPD. Comme pour les contrats “ad hoc”, les codes de conduite et mécanismes de certification doivent avoir été préalablement autorisés par la CNIL, après avis du CEPD. Ces outils étant nouveaux, ils semblent peu appropriés pour gérer les transferts de données entre l’UE et le Royaume-Uni, alors que les délais de mise en conformité sont très serrés.

    - Les règles contraignantes d’entreprise (ou binding corporate rules - BCR)
Les BCR sont des politiques intra-groupe, mises en oeuvre au sein de groupes ou sociétés multinationales et applicables à toutes les sociétés du groupe dans le monde. (art. 47 du RGPD) L’adoption des BCR est soumise à une procédure d’approbation par la CNIL. Comme pour les codes de conduite, le délai de mise en place de BCR rend cet outil peu approprié en l’espèce.(4)

Ainsi, pour les entreprises concernées par des transferts de données personnelles vers le Royaume-Uni n’ayant pas de BCR (transferts au sein de sociétés d’un même groupe), l’outil le plus adapté, compte tenu de la situation, est le CCT, document “prêt-à-signer” permettant de se mettre en conformité dans des délais très courts.

En cas d’utilisation de services cloud par des sociétés situées dans l’Union européenne, il conviendra de se poser la question de la situation des data centers et prendre éventuellement les mesures appropriées de mise en conformité : rapatriement des données personnelles sur le continent ou signature de CCT avec le prestataire de services cloud.

Des décisions devront être prises très rapidement par les entreprises concernées pour minimiser les blocages de transferts de données entre le continent européen et le Royaume-Uni.


2. Les autres mesures de mise en conformité des sociétés britanniques et non-européennes

Les sociétés britanniques et non-européennes devront également se mettre en conformité avec le RGPD en cas de “hard Brexit”.

    - La désignation d’un représentant dans l’UE
En vertu des articles 3(2) et 27 du RGPD, les sociétés britanniques responsables de traitement ou sous-traitantes, qui traitent d’importants volumes de données de résidents européens, devront désigner un représentant situé dans l’un des Etats-membres, comme toute société non-européenne dans la même situation.

Quant aux sociétés non-européennes qui auraient désigné un représentant britannique, elles devront désigner un nouveau représentant situé dans l’un des Etats-membres pour se mettre en conformité.

    - La désignation d’une autorité chef de file dans l’UE
Enfin, les sociétés non-européennes qui auraient désigné l’autorité de contrôle britannique (ICO) comme autorité de contrôle chef de file devront rapidement désigner une nouvelle autorité de contrôle dans l’un des Etats-membres, conformément à l’article 56 du RGPD.


3. La situation des données en provenance du Royaume-Uni

Les transferts de données personnelles vers l’UE en provenance du Royaume-Uni ne seraient pas soumis à des procédures supplémentaires pour garantir les droits des personnes concernées. Ces données personnelles britanniques pourront être transférées librement vers l’Union européenne, sous réserve d’être ensuite traitées conformément à la réglementation applicable.


    En l’absence de mise en place des outils juridiques appropriés avant la date effective du Brexit, tout transfert de données depuis l’UE vers le Royaume-Uni deviendra illicite. Cette situation peut paraître paradoxale alors que le Royaume-Uni est pour l’instant soumis au RGPD et donc considéré comme offrant les garanties nécessaires pour la protection des données personnelles en provenance du continent.

La Commission devrait très probablement régulariser cette situation dans les mois qui viennent en prenant une décision d’adéquation pour le Royaume-Uni.

                                                                          * * * * * * * * * * * *


(1) https://ico.org.uk/for-organisations/data-protection-act-2018/
 
(2) Se préparer à un Brexit sans accord : quelles questions ? Quels conseils de la CNIL ? site de la CNIL

(3) https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

(4) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr-binding-corporate-rules


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

vendredi 8 mars 2019

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité.


1. Les transferts de données personnelles à l’international et la notion d’adéquation


Depuis la directive du 24 octobre 1995 sur la protection des données, les organismes peuvent librement transférer des données personnelles d’un Etat membre à un autre au sein de l’Union européenne (sous réserve cependant de respecter la réglementation en matière de protection des données). Les transferts de données vers des pays situés à l’extérieur de l’UE restent toutefois soumis à des règles strictes. Ce principe reste applicable avec le RGPD.

Les organismes européens souhaitant transférer des données vers une société située en dehors de l’UE, et son cocontractant doivent soit signer les Clauses contractuelles types (CCT) de la Commission, soit signer un contrat ad hoc de transfert des données, validé par une autorité de contrôle. Les partie peuvent également se soumettre à un code de conduite approuvé, assorti d’engagements contraignants des parties, ou mettre en oeuvre un mécanisme de certification approuvé, également assorti d’engagements contraignants. (2)

Enfin, si les deux entités appartiennent à un même groupe de sociétés, elles peuvent faire approuver des Règles d’entreprise contraignantes (Binding corporate rules - BCR). (3)

Certains pays tiers à l’UE peuvent cependant être reconnus comme offrant un niveau de protection adéquat aux données transférées depuis l’UE. La reconnaissance de l’adéquation du niveau de protection est déterminée par la Commission européenne, sur la base des critères énoncés à l’article 45 du RGPD. Ces critères vont au-delà de l’existence d’une réglementation locale sur la protection des données personnelles et portent sur, outre l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante, sur l’état de droit dans le pays tiers et sur les engagements internationaux pris par ce pays.

Concernant l’état de droit, la Commission prend notamment en considération le respect des droits de l'homme et des libertés fondamentales, l'accès des autorités publiques aux données à caractère personnel, et les droits effectifs et opposables dont bénéficient les personnes concernées dans ce pays tiers. (4)

La procédure d’adéquation est organisée en quatre étapes : 1- une proposition d’adéquation émise par la Commission européenne, 2- un avis rendu par le Conseil européen de la protection des données (CEPD), 3- un accord des représentants des Etats membres, et 4- l’adoption de la décision d’adéquation par la Commission.

Comme nous le verrons pour la décision d’adéquation du Japon, cette procédure peut prendre plusieurs années avant que le pays soit reconnu comme offrant un niveau de protection adéquat.

En vertu de l’article 45 du RGPD, la décision d’adéquation signifie que les entreprises européennes peuvent librement transférer des données personnelles depuis l’Union européenne vers le pays reconnu comme adéquat, sans autre formalité, de la même manière que les transferts intra-européens.

Le Parlement européen et le Conseil peuvent demander à la Commission de modifier ou supprimer une décision d’adéquation en cas de non respect de ses engagements par le pays tiers. Il existe par ailleurs un mécanisme de suivi, pour s’assurer du respect de la décision d’adéquation par le pays tiers. Par exemple, le Privacy Shield, mécanisme d’adéquation mis en place avec les Etats-Unis, est revu tous les ans. (5) Ainsi, une décision d’adéquation peut être accordée par la Commission. Elle peut également être suspendue si les autorités du pays tiers ne se conforment pas, ou plus, à la décision.


2. Historique de la procédure d’adéquation du Japon

La première loi de protection des données japonaise date de 2005.

Une autorité de contrôle indépendante (Personal Information Protection Commission - PPC) a été créée en 2016. (6)

Une nouvelle loi de protection des données est entrée en vigueur le 30 mai 2017. (7) La loi de 2017 a intégré de nouveaux concepts dans le droit japonais, tels que les notions de données sensibles et d’anonymisation des données, et prend globalement en compte le RGPD.

La Commission européenne, constatant que le droit japonais de la protection des données personnelles s’était rapproché des concepts du droit européen, a débuté les discussions d’adéquation avec le Japon il y a deux ans, en janvier 2017. Un accord de principe a été conclu en juillet de la même année, en parallèle avec la conclusion de l’accord de partenariat économique entre l’Union européenne et le Japon. Un projet de décision d’adéquation a ensuite été publié par la Commission en septembre 2018 ayant abouti à son adoption en janvier 2019.


3. Les principaux éléments de la décision d’adéquation concernant le Japon

La loi japonaise n’étant pas identique au RGPD, le Japon a dû mettre en place des “règles supplémentaires” afin d’atténuer les différences entre les deux systèmes de droit de la protection des données. (8) Ces règles supplémentaires concernent plus particulièrement les données sensibles, l’exercice des droits individuels par les personnes concernées, et les conditions dans lesquelles les données personnelles en provenance de l’Union européenne peuvent ensuite être transférées vers un autre pays tiers à l’UE. Ces règles s’appliqueront aux entreprises japonaises destinataires de données personnelles en provenance de l’UE. De son côté, le Japon n’a pas imposé de règles supplémentaires aux entreprises européennes qui importeraient des données en provenance du Japon.

La décision d’adéquation comporte également un engagement du gouvernement japonais relatif à l’accès aux données par les autorités publiques japonaises aux fins de procédures pénales et de la sécurité nationale. L’accès et le traitement de données personnelles en provenance de l’UE dans ces domaines doivent être limités, proportionnés et soumis à une procédure de surveillance et de recours indépendants.

Enfin, la décision comprend un mécanisme de traitement des plaintes des personnes concernées européennes, géré et contrôlé par la PPC.

Il est prévu qu’un réexamen de l’application de la décision soit réalisé après deux ans, puis tous les quatre ans, pour évaluer son fonctionnement effectif, notamment concernant les règles supplémentaires.

Cette décision d’adéquation devrait ainsi faciliter les transferts de données vers le Japon, 3é puissance économique mondiale comptant 127 millions d’habitants.


    Il s’agit de la première décision d’adéquation prise depuis l’entrée en application du RGPD, les précédentes décisions ayant été prises en application de la directive d’octobre 1995 sur la protection des données.

A ce jour, seuls 13 pays ou territoires ont été reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles. (9) La Commission a cependant décidé d’étendre cette liste à de nouveaux pays. Cette dynamique viendrait en parallèle des conditions d’application extraterritoriale du RGPD d’une part, et du fait que plusieurs pays envisagent de faire évoluer leur droit de la protection des données personnelles pour se rapprocher des concepts du RGPD d’autre part. (10)

On notera enfin que des discussions d’adéquation sont également en cours depuis deux ans entre l’Union européenne et la Corée du Sud. Des députés européens se sont rendus à Séoul fin octobre 2018 pour rencontrer les autorités coréennes, y compris la Commission des communications coréenne et l’Agence de l’internet et de la sécurité coréenne (KISA) afin d’avancer vers une décision d’adéquation.


                                                                * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 23 janvier 2019

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), article 47

(3) article 46, RGPD

(4) article 45 2., RGPD

(5) Voir notre article Relations UE-US – Le Privacy Shield renouvelé pour un an

(6) https://www.ppc.go.jp/en/

(7) Act on the protection of personal information : https://www.ppc.go.jp/en/legal/

(8) https://ec.europa.eu/info/sites/info/files/annex_adequacy_decision_japan_2.pdf

(9) Liste des pays offrant un niveau de protection adéquate :
- Europe (hors UE) Andorre, Iles Faroe, Ile de Man, Guernesey, Jersey, Suisse
- Amérique : Canada, Etats-Unis (Privacy Shield), Argentine, Uruguay
- Asie : Israël, Japon
- Océanie : Nouvelle Zélande

(10) voir article 3 “Champ d’application territorial”, RGPD


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019