Messages les plus consultés

vendredi 2 août 2019

Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL


Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)

La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).

Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.


1. Non-conformité et infractions à la règlementation sur la protection des données personnelles

La règlementation sur la protection des données personnelles s’est considérablement étoffée avec l’entrée en application du RGPD.

    1.1 Les exemples de non-conformité

Les organismes ont disposé de deux ans, entre la date de publication du RGPD le 27 avril 2016 et son entrée en application le 25 mai 2018, pour mettre leurs activités de traitement de données personnelles en conformité. Les autorités de contrôle ont par la suite décidé d’appliquer une approche pédagogique pendant la première année d’application du RGPD. Un an après, les organismes doivent désormais être en conformité.

La liste des cas de non-conformité au RGPD est longue. On peut citer, entre autre :
- le défaut d’information des personnes concernées,
- la collecte frauduleuse, déloyale ou illicite de données personnelles,
- le détournement de finalité,
- la poursuite d’un traitement en dépit de l’opposition de la personne concernée,
- la conservation des données pour une durée non limitée,
- la conservation illicite de données sensibles,
- la poursuite d’un traitement interdit,
- le traitement illicite du NIR,
- le défaut de sécurité,
- le défaut de notification à l’autorité de contrôle en cas de violation de données,
- ou le transfert non autorisé de données en dehors de l’Union européenne.

    1.2 Le montant des sanctions alourdi

Le montant des sanctions pouvant être prononcées a été significativement alourdi, passant de 150.000 euros à 3 millions d’euros en octobre 2016, avec l’entrée en vigueur de la loi pour une république numérique (2), puis à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise avec le RGPD. (3)

Cette évolution du montant des sanctions pécuniaires est le reflet des risques croissants qui pèsent sur les personnes en cas de traitements illicites de leurs données, facilités par les développements des technologies (collecte à l’insu des personnes, détournement de finalité, etc.).

Alors qu’avant le RGPD, les sanctions prononcées en France par la CNIL atteignaient rarement quelques dizaines de milliers d’euros, la première sanction pécuniaire prononcée par la formation restreinte de la CNIL en application du RGPD s’est élevée à 50 millions d’euros. Cette amende a été prononcée à l’encontre de la société Google en janvier 2019, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. (4) Plus récemment, la formation restreinte de la CNIL a condamné la société de gestion immobilière Sergic à 400.000€ d’amende pour atteinte à la sécurité des données et non respect des durées de conservation. (5) Enfin, la société Active Assurances vient d’être condamnée à une amende de 180.000€ pour atteinte à la sécurité des données de ses clients. (6)


2. L’action répressive de la CNIL

Les Etats-membres prennent toutes les mesures nécessaires pour la mise en oeuvre du respect du règlement. En cas de sanction, celle-ci doit être effective, proportionnée et dissuasive. (7)

L’action répressive de la CNIL est définie aux articles 20 et suivants de la loi Informatique et Libertés, modifiée. Celle-ci comprend trois étapes, que l’on peut synthétiser comme suit :

    1ère étape - Le signalement

La CNIL prend connaissance des potentiels manquements à la réglementation sur la protection des données par différents canaux d’information, à savoir :

    - Les plaintes reçues par la CNIL : toute personne, en qualité de consommateur, client, salarié, citoyen, etc. dont les données personnelles ont été collectées et ont fait l’objet d’un traitement, peut déposer une plainte à la CNIL, via le site de la Commission, en cas de violation du RGPD par un responsable de traitement (site e-commerce, banque, administration, association, etc.).

    - Les informations publiées dans la presse ou sur internet : les articles de presse ou posts sur les réseaux peuvent alerter la CNIL sur les pratiques de certaines sociétés ou sur des failles de sécurité par exemple.

    - L’auto-saisine par la CNIL : chaque année, la CNIL définit un programme de contrôles pour l’année en cours, avec des thèmes identifiés comme prioritaires. Par exemple, la CNIL a identifié le contrôle des relations entre les responsables de traitements et les sous-traitants (répartition des responsabilités) et les traitements de données de mineurs comme thèmes prioritaires de ses contrôles pour 2019. A ce titre, la CNIL peut ainsi effectuer des contrôle par auto-saisine sur des organismes mettant en oeuvre des traitements identifiés dans ses thèmes prioritaires.

    - La coopération entre les autorités de contrôle européennes : le RGPD prévoit une plus grande coordination entre les autorités de contrôle des Etats-membres. Par exemple, en cas de plainte de la part d’un ou plusieurs consommateurs ou salariés d’un pays à l’encontre d’une société présente dans plusieurs Etats membres, l’autorité de contrôle de ce pays peut désormais signaler ladite plainte à la CNIL si des consommateurs ou salariés sont concernés en France.

    2ème étape - Le contrôle

La procédure de contrôle peut se dérouler comme suit :
    - Le contrôle en ligne, si les manquements signalés sont visibles à distance ;
   - Le contrôle sur place, dans les locaux de l’organisme. Dans ce cas, le contrôleur demandera au responsable du traitement de contrôler les traitements de données mis en oeuvre. par l’organisme ;
    - La convocation, avec audition des personnes responsables des organismes concernés.

Ces trois procédures de contrôle font l’objet d’un procès-verbal identifiant les éléments contrôlés et les manquements éventuellement constatés.

    - Le contrôle sur pièces. Ce type de contrôle est réalisé suite à l’envoi de questions écrites et la demande de documents au responsable du traitement.

    3ème étape - Les suites du contrôle

Suite au contrôle effectué par les agents de la CNIL, deux issues sont possibles :
    - Le contrôle a donné lieu à pas ou peu d’observations. Le dossier est alors clôturé et l’organisme contrôlé reçoit la notification de ladite clôture.

    - Si des manquements sérieux à la règlementation sont avérés, deux cas de figure peuvent alors se présenter :
La présidente de la CNIL peut prononcer une mise en demeure. La mise en demeure peut être publique (par voie de communiqué), la publicité ayant un double effet - d’alerte et pédagogique, pour tout organisme qui serait dans une situation similaire. L’organisme en cause dispose alors d’un délai pour se mettre en conformité, auquel cas, le dossier est clôturé. (8)

Par exemple, le 25 septembre 2018, la présidente de la CNIL a mis en demeure cinq société des groupes Humanis et Malakoff-Médéric pour détournement de la finalité des traitements des assurés. Les sociétés s’étant mises en conformité (modification du système informatique, suppression des données acquises illégalement, formation interne à la protection des données personnelles), les procédures de mises en demeure ont été clôturées le 21 février 2019. (9)

Le 8 novembre 2018, la présidente de la CNIL a mis en demeure la société Vectaury pour absence de recueil du consentement des utilisateurs au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Suite à cette mise en demeure, la société Vectaury s’étant mise en conformité (affichage d’une bannière informative lors de l’installation des applications mobiles pour recueillir le consentement des utilisateurs), la procédure de mise en demeure a été clôturée le 26 février 2019. (10)
 
La formation restreinte de la CNIL, exerçant une fonction juridictionnelle, peut prononcer une sanction si l’organisme ne se met pas en conformité suite à la mise en demeure de la présidente de la CNIL. La formation restreinte peut également prononcer directement une sanction contre l’organisme en cause, sans mise en demeure préalable. (11)

La sanction peut être de nature pécuniaire pour les manquements les plus graves (montants définis par le RGPD), ou non pécuniaire (rappel à l’ordre, injonction sous astreinte, etc.). Enfin, les sanctions peuvent être publiques (par voie de communiqué et par la publication de la résolution sur le site de la CNIL et sur Légifrance) ou non publiques.

Les sanctions prononcées par la CNIL peuvent faire l’objet d’un recours par l’organisme sanctionné devant le Conseil d’Etat dans un délai de deux mois.


                                                                * * * * * * * * * * *

(1) “RGPD : près d’un tiers des entreprises non conformes”, Le Monde Informatique, 26 juillet 2019

(2) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique, ancien article 47 al.2 de la loi Informatique et Libertés

(3) Art. 83.5 et 6 du RGPD

(4) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(5) Délibération de la formation restreinte n°SAN-2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société Sergic

(6) Délibération de la formation restreinte n°SAN-2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société Active Assurances

(7) RGPD, art. 84 (1)

(8) Le délai pour se mettre en conformité est fixé par la présidente. Il varie généralement entre 6 et 12 mois - mais ce délai peut être beaucoup plus court en cas d’urgence par exemple

(9) (Communication de la CNIL sur la clôture des mises en demeure à l’encontre des sociétés des groupes Humanis et Malakoff-Médéric, Site de la CNIL)

(10) (Communication de la CNIL sur la clôture de la mise en demeure à l’encontre de la société Vectaury, Site de la CNIL)

(11) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Août 2019

mercredi 24 juillet 2019

ICO : des dispositions innovantes dans la loi PACTE pour développer la confiance


Les ICO (“Initial Coin Offering”) permettent aux start-ups et entreprises innovantes de collecter des fonds de manière dématérialisée à l’international.

La loi PACTE, définitivement promulguée le 22 mai 2019, prévoit des dispositions visant notamment à encadrer et sécuriser la procédure de levée de fonds en crypto-actifs, ou ICO. (1)


1. L’ICO, un moyen alternatif de financer le développement des start-ups


Une ICO consiste en une émission d’actifs numériques sous forme de jetons (ou “tokens”) au public, fonctionnant en principe sur la blockchain. Les investisseurs peuvent acheter des jetons en devise (euros, dollars, etc.) ou en crypto-monnaie (bitcoin, ether, etc.).

Un “actif numérique” est la représentation numérique d’une valeur non émise ni garantie par une banque centrale ou une autorité, et non nécessairement attachée à une monnaie ayant cours légal - émis en bitcoin par exemple. (2)

Les jetons sont définis à l’article L.552-2 du code monétaire et financier comme “tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé (blockchain) permettant d'identifier, directement ou indirectement, le propriétaire dudit bien”.

L’Autorité des marchés financiers (AMF) distingue trois grands types de jetons (tokens) :
    - les crypto-actifs comme monnaie d’échange et unité de valeur (par exemple, le bitcoin) ;
    - les crypto-actifs assimilés à des instruments financiers - “security tokens”, donnant des droits de participation à la gouvernance ou d’intéressement aux profits futurs de l’entreprise émettrice (droits de vote ou dividendes) ; et
    - les crypto-actifs utilitaires - “utility tokens”, donnant des droits d’utilisation de produits ou services futurs proposés par l’émetteur. Ces tokens constituent la plus grande partie des crypto-actifs émis à l’heure actuelle.
Certains tokens sont cependant hybrides ou issus de plusieurs catégories. (3)

Les start-ups qui auraient des difficultés à lever des fonds par les méthodes classiques peuvent envisager de recourir à une ICO. L’ICO présente en effet plusieurs avantages : le coût d’une ICO est moindre qu’une levée de fonds classique, car cette opération peut être réalisée sans intermédiaire financier ; en cas d’attribution de utility tokens, le capital n’est pas dilué puisque les tokens attribués n’offrent qu’un droit d’usage à l’investisseur (droit d’utilisation du bien ou du service produit par la société émettrice, ce bien ou ce service étant généralement à l’état d’idée ou de projet à la date de l’ICO).

Mais les risques (perte du capital investi, absence de marché pour la revente ou l’échange des tokens, etc.) ne doivent pas être sous-estimés : les opérations d’ICO restent peu, voire pas réglementées. Seuls quelques pays commencent à réglementer ces opérations, qui revêtent donc un niveau de risque supérieur à une opération de levée de fonds classique ; les ICO sont le plus souvent non documentées, contrairement à une levée de fonds classique, accompagnée d’un prospectus comprenant des informations détaillées sur la société et l’opération envisagée ; enfin, l’absence d’information sur les sociétés et sur les projets financés ne permet pas d’écarter les risques d’escroquerie (détournement des fonds à des fins personnelles ou autres) ou de blanchiment d’argent par exemple.

Même si les levées de fonds par ICO restent encore marginales dans le monde, ce mode de financement continue de se développer. Plusieurs pays ont ainsi décidé de commencer à réglementer les ICO pour donner plus de transparence à ces opérations et sécuriser la procédure. (4)


2. De nouvelles règles avec un objectif de transparence et de sécurisation de la procédure d’ICO

En France, la loi PACTE du 22 mai 2019 a introduit deux séries de dispositions pour donner plus de transparence et de sécurité aux opérations d’ICO. (5)

Les principales dispositions figurant dans la loi PACTE sont les suivantes :

- Création d’un visa optionnel pour les émetteurs d’ICO, délivré par l’AMF
Le visa pourra être demandé par les émetteurs d’ICO. L’objectif de ce visa est d’apporter une garantie de sérieux au projet. Le visa est principalement destiné aux start-ups innovantes ou développant une activité en France. Il concerne l’émission d’actifs numériques qui ne présentent pas les caractéristiques d’un titre financier ou bon de caisse, et sera délivré pour un projet et une durée déterminés.(6)

Les projets disposant du visa de l’AMF seront inscrits sur une liste blanche. En revanche, les projets ayant perdu le visa seront inscrits sur une liste noire.

La procédure de demande de visa a été publiée par l’AMF le 6 juin dernier (7). Elle repose sur trois conditions :
    1) la fourniture d’un document d’information présentant la société émettrice et décrivant le projet, et précisant notamment le nombre de jetons émis, leur prix, les droits associés, et le protocole de blockchain utilisé pour inscrire les jetons ;
    2) un dispositif garantissant la sécurité des fonds recueillis pendant la durée de l’offre ; et
    3) le respect des obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme avec la mise en place d’un système KYC ("Know your customer"). L’émetteur doit être établi ou immatriculé en France.

Il est précisé que l’objet du visa est de valider la structuration du projet et non sa qualité ou son opportunité.

Le délai d’instruction du dossier par l’AMF est fixé à 20 jours ouvrés à compter de la réception du dossier complet.

 - Encadrement du marché secondaire
    Création d’un agrément pour les nouveaux prestataires de services sur actifs numériques (“PSAN”)
Une nouvelle procédure d’agrément volontaire est prévue pour les prestataires de services sur actifs numériques, tels que les plateformes d’échanges de crypto-actifs (bitcoins, ether, etc.) ou les services de conseils aux souscripteurs d’actifs numériques et de gestion de portefeuilles d’actifs numériques pour le compte de tiers. (art. L.54-10-5)

    Enregistrement des plateformes d’achat-vente de crypto-actifs
Enfin, les plateformes d’achat-vente de crypto-actifs en monnaie fiduciaire et les services de conservation de jetons seront soumis à un enregistrement obligatoire auprès de l’AMF, au titre du contrôle de la lutte anti-blanchiment. (art. L.54-10-3) Le non-respect de cette obligation pourra entraîner des sanctions pénales (30.000€ d’amende et deux ans d’emprisonnement).


                                                                  * * * * * * * * * *

(1) Loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (Loi PACTE)

(2) Article L.54-10-1 du Code monétaire et financier

(3) “ICO françaises : un nouveau mode de financement ?”, Caroline Le Moign, AMF, novembre 2018

(4) Les pays ayant commencé à réglementer les ICO comprennent notamment, outre la France, l’Australie, Singapour. Certains pays considèrent que les ICO avec émission de “security tokens” relèvent de la règlementation sur les valeurs mobilières.
Par ailleurs, certains pays, dont la Chine et la Corée du Sud, ont décidé pour l’instant d’interdire les ICO, considérant le risque de fraude trop élevé.

(5) Art. 85 et 86 de la loi PACTE, codifiés aux articles L.551-1 et s. (“Intermédiaires en biens divers et émetteurs de jetons”), et L. 54-10-1 et s. du code monétaire et financier

(6) Les bons de caisse et jetons correspondant à un instrument financier sont soumis à des règles spécifiques figurant aux articles L.223-1 et s. et L.232-1 du Code monétaire et financier

(7) Instruction AMF n°DOC-2019-06



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com


Juillet 2019

lundi 10 juin 2019

La CNUCED publie une carte de l’état de la protection des consommateurs dans le monde


La Conférence des Nations unies sur le commerce et le développement (CNUCED ou UNCTAD) a publié le “Global Cyberlaw Tracker”, une carte du monde interactive qui permet de visualiser les pays qui disposent de lois (ou de projets de lois) sur la protection des données personnelles, la protection des consommateurs, le e-commerce et la cybercriminalité, et les pays sans réglementation dans ces domaines. (1)

Protection de données personnelles
Selon la CNUCED, à ce jour, 107 pays, dont 66 pays en voie de développement économique, ont adopté des lois de protection de données personnelles. (2) Le taux d’adoption pour les pays d’Asie et d’Afrique est au même niveau, avec seulement 40% des pays de ces deux continents protégeant les données à caractère personnel. Des pays tels que Cuba, le Venezuela, l’Algérie, l’Egypte, le Sénégal, le Myanmar, le Laos ou le Cambodge par exemple n’ont toujours pas adopté de loi sur la protection des données personnelles.

Protection des consommateurs
Alors que plus de la moitié des pays, dont tous les pays économiquement développés, disposent d’une règlementation sur la protection des consommateurs, comprenant des dispositions plus ou moins protectrices des consommateurs, de nombreux pays en voie de développement économique n’ont pas encore adopté de loi dans ce domaine, dont un grand nombre de pays d’Afrique, mais également l’Inde et l’Arabie Saoudite.

Commerce électronique
Le taux d’adoption de lois applicables au commerce électronique est particulièrement élevé dans le monde, notamment comparé au domaine de la protection des consommateurs. 145 pays disposent d’une loi sur le commerce en ligne, dont 104 pays en voie de développement économique. Plusieurs pays d’Afrique sont à la traîne dans ce domaine.

Cybercriminalité 
Enfin, la réglementation sur la lutte contre la cybercriminalité se répand. Ainsi, 138 pays dans le monde (dont 95 pays en voie de développement économique) ont adopté une loi de lutte contre la cybercriminalité. 30 pays n’ont toujours pas de loi dans ce domaine.

                                                                               * * * * * * * * * *

(1) ”Data Protection and Privacy Legislation Worldwide”, UNCTAD

(2) Etude menée sur la base des 194 pays membres de la CNUCED


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2019

jeudi 9 mai 2019

Noms de domaine : le cybersquatting en hausse selon l’OMPI

De nombreuses entreprises sont victimes chaque année de cybersquatting (ou cybersquattage), en particulier dans les domaines du commerce de détail, de la mode et du luxe ou de la finance. Pour se défendre, les victimes peuvent soit engager une action en justice, soit lancer une procédure extrajudiciaire.

Dans un communiqué de presse publié le 15 mars 2019, l’OMPI (Organisation mondiale de la Propriété intellectuelle) a annoncé que son Centre d’arbitrage et de médiation avait reçu 3.447 plaintes relatives aux noms de domaine en 2018. Ces plaintes, déposées en vertu des Principes UDRP par des titulaires de marques, sont en hausse de 12% par rapport à l’année précédente. (1)


1. Le rôle du Centre d’arbitrage et de médiation de l’OMPI dans le règlement extrajudiciaire des litiges sur les noms de domaines (principes UDRP)

Le Centre d’arbitrage et de médiation est un organisme relevant de l’OMPI, dont le siège est situé à Genève, avec un bureau à Singapour. L’objet du Centre d’arbitrage est de proposer des services de règlement extrajudiciaires des litiges (médiation et arbitrage) dans les domaines de la propriété intellectuelle, des technologies et des noms de domaines, en particulier de nature internationale. (2)

Les procédures concernent tant des litiges contractuels (exécution de licences de brevets et de logiciels, contrats de coexistence de marques, contrats de recherche et de développement) que des litiges non-contractuels (tels que des litiges de contrefaçon ou le cybersqatting). Les litiges relatifs aux noms de domaines sont, de loin, les plus nombreux.

Les litiges relatifs aux noms de domaine sont traités par le Centre d’arbitrage et de médiation en vertu des Principes directeurs concernant le règlement uniforme des litiges relatifs aux noms de domaine (principes UDRP - Uniform Dispute Resolution Policy). (3) Cette procédure ne s’applique qu’aux litiges entre noms de domaine et marques.

Concernant les noms de domaine, seuls les litiges portant sur des noms de domaine enregistrés dans les domaines génériques de premier niveau (gTLD), tels que les domaines en .com, .org, .net, et les nouveaux gTLD en .online, .info., .app par exemple, sont pris en compte. Il convient d’ajouter plusieurs domaines de pays de premier niveau (ccTLD), notamment plusieurs extensions “exotiques” pouvant être utilisées à des fins frauduleuses, tels que les domaines en .ag (Antigua-et-Barbuda), .bm (Bermudes), .bs (Bahamas), .tv (Tuvalu), mais également le .fr, ou le .eu. (4) On notera toutefois que les noms de domaine en .com représentent encore plus de 70% des litiges traités par le Centre.

Pour être recevable, la demande du requérant doit remplir trois conditions cumulatives :
    i) le nom de domaine litigieux doit être identique ou similaire à une marque sur laquelle le requérant détient des droits, et prêter à confusion dans l’esprit du public ;
    ii) le détenteur du nom de domaine litigieux n’a aucun droit sur le nom de domaine, ni aucun intérêt légitime qui s’y attache ; et
    iii) le nom de domaine litigieux a été enregistré et utilisé de mauvaise foi. (5)

Enfin, l’entrée en application du RGPD permet désormais de masquer les coordonnées des titulaires de noms de domaines sur les bases de données Whois, rendant l’accès à l’information plus difficile en cas de litige. Le Centre d’arbitrage a publié des conseils “informels” afin de permettre aux ayants droit de s’assurer de la recevabilité des leurs plaintes. (6)


2. La hausse des plaintes relatives aux noms de domaine

Les plaintes concernant le cybersquatting sont en hausse. Ainsi, le nombre de plaintes déposées en vertu des principes UDRP par les ayants droit de marques dans des litiges relatifs à des noms de domaine s’est élevé à 3.447 en 2018 et a porté sur un total de 5.655 noms de domaine, en hausse de 12% par rapport à 2017. 

Les sites utilisant des noms de domaines litigieux sont généralement liés à des activités frauduleuses, telles que la vente de contrefaçons, le phishing (hameçonnage), l’atteinte au droit des marques par exemple, ou encore le développement d’une activité parasitaire.

En 2018, les parties aux litiges administrés par l’OMPI en vertu des principes UDRP venaient de 109 pays. 976 plaintes concernent les États-Unis, suivis par la France (553 plaintes), le Royaume-Uni (305 plaintes) et l’Allemagne (244 plaintes).

Les trois principaux domaines d’activité des plaignants sont la banque et la finance (12%), la biotechnologie et les produits pharmaceutiques (11%) et internet et les technologies de l’information (11%).


    Les noms de domaine font partie des actifs majeurs de la plupart des entreprises, qu'elles aient une activité commerciale en ligne ou un simple site "vitrine". Le cybersquatting porte une atteinte manifeste non seulement à l’image des titulaires de marques mais également à la concurrence. Il est donc nécessaire de mettre en place une stratégie de défense comprenant d’une part l’enregistrement de noms de domaines dans les extensions les plus courantes quand cela est possible, et avec des dérivés orthographiques, et d’autre part organiser une veille internet régulière pour détecter les fraudes éventuelles.

Le recours aux services d’arbitrage et de médiation de l’OMPI permet notamment aux ayants droit de récupérer un nom de domaine enregistré de mauvaise foi par un tiers, en évitant des procédures judiciaires longues et coûteuses, et le plus souvent internationales. Cette procédure simple, rapide et peu coûteuse (mais entièrement à la charge du requérant), n’exclut cependant pas la possibilité pour l’une ou l’autre des parties de porter le litige devant les tribunaux.


                                                                   * * * * * * * * * *

(1) « Nouveau record de plaintes pour cybersquattage (+12%) déposées auprès de l’OMPI en 2018 », Communiqué de presse du 15 mars 2019, OMPI

(2) Site de l’OMPI

(3) La procédure UDRP (Uniform Dispute Resolution Policy) et les Principes directeurs et les règles d’application éditées le 24 octobre 1999, sont accessibles sur le site du Centre d’arbitrage de l’OMPI
 
(4) Il existe deux types de procédures similaires - la procédure Syreli (Système de règlement des litiges) et la procédure PARL Expert (Procédures alternatives de résolution de litiges) administrées par l’Afnic pour l’extension en .fr et les extensions gérées gérées par l’Afnic 

(5) Pour les conditions de recours à la procédure UDRP, voir notre précédent article sur le sujet “Conflit entre une marque et un nom de domaine : le choix du recours à la procédure extrajudiciaire

(6) Voir la page “Impact of Changes to Availability of WhoIs Data on the UDRP: WIPO Center Informal Q&A



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2019

vendredi 26 avril 2019

Signature d’une Charte des acteurs du e-commerce pour une relation équilibrée entre les places de marché et les vendeurs

 
Le 26 mars 2019, une Charte des acteurs du e-commerce a été co-signée par Mounir Mahjoubi, ex-Secrétaire d’état chargé du numérique, la Fevad (Fédération du e-commerce), la CPME (Confédération des PME) et huit places de marché (ou marketplaces), membres de la Fevad, dont Cdiscount, eBay, Le Bon Coin, et Rakuten. (1)

L’objet de cette charte, dont l’adhésion est volontaire, est de poser les « conditions d’une relation équilibrée, transparente et loyale entre les opérateurs de plateformes en ligne, tels que définis à l’article L.111-7 du code de la consommation » et les entreprises utilisatrices. La charte propose ainsi des bonnes pratiques, afin d’améliorer la confiance des utilisateurs dans le e-commerce. Ces entreprises, la plupart PME, voire TPE, utilisent les services et la visibilité des plateformes pour faciliter l’accès au marché de la vente en ligne.

La charte s’articule autour des points suivants :

   - La formalisation des engagements mutuels entre les parties, plateformes et entreprises utilisatrices, par la mise à disposition des entreprises des conditions d’utilisation claires et compréhensibles, permettant notamment le recours à la médiation en cas de litige ;

   - La garantie d’un échange ouvert, fiable et individualisé entre la plateforme et l’entreprise utilisatrice par un dispositif au sein des plateformes permettant les échanges entre les parties ;

   - Des règles de déréférencement plus claires avec la possibilité pour les entreprises utilisatrices de les contester et des règles relatives au classement commercial des produits plus robustes. Concernant les entreprises utilisatrices, apprendre à respecter les règles de fonctionnement de la plateforme et mettre en ligne des offres conformes aux règlementations applicables en matière de vente à distance ;

   - L’efficacité de la lutte contre la contrefaçon par les plateformes et par les entreprises utilisatrices.

La charte doit faire l’objet d’un bilan annuel.

La charte sera complétée dans les mois qui viennent par le règlement sur les services d’intermédiation en ligne (règlement « platform to business ») et les directives « nouvelle donne pour les consommateurs ». (2)


                                                                         * * * * * * * * * *

(1) site de la Fevad

(2) Proposition de règlement promouvant l’équité et la transparence pour les entreprises utilisatrices des services d’intermédiation en ligne (règlement « platform to business ») et proposition de directives « nouvelle donne pour les consommateurs » (new deal for consumers)



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

mardi 23 avril 2019

Résiliation contractuelle et stricte application de la clause résolutoire

En vertu de l’article 1103 du code civil, “Les contrats légalement formés tiennent lieu de loi à ceux qui les ont faits”. (1) Cette disposition s’applique tant aux conditions d’exécution du contrat qu’aux conditions de résiliation qui ont été prévues par les parties. (2)

La Cour de cassation l’a rappelé dans deux arrêts dans lesquels les juges ont fait une stricte application de la clause résolutoire figurant dans les contrats pour apprécier la régularité de la résiliation.


1. Les conditions de mise en oeuvre de la clause résolutoire

Dans une première affaire, la propriétaire d’un immeuble avait vendu son bien, avec une partie en rente viagère. L’acheteur (débirentier) n’ayant pas réglé des rentes à leur échéance, le 6 avril 2012 la vendeuse (crédirentier) a fait signifier un commandement de payer visant la clause résolutoire figurant au contrat de vente. Le 9 mai 2012, le crédirentier a assigné le débirentier, alors en redressement judiciaire, pour voir constater l’acquisition de la clause résolutoire du contrat de vente et obtenir le paiement des sommes dues par ce dernier.

La clause résolutoire figurant au contrat de vente stipulait “qu’à défaut par le débirentier de payer exactement les arrérages de la rente, et en cas de mise en demeure par le crédirentier au débirentier d’avoir à acquitter ladite rente, la vente sera résolue de plein droit, après un simple commandement de payer resté infructueux et contenant déclaration par le crédirentier de son intention d’user du bénéfice de ladite clause”.

Le commandement de payer signifié au débirentier faisait effectivement référence à la clause résolutoire du contrat. Le crédirentier avait en outre manifesté “sans ambiguïté”, sa volonté d’appliquer cette clause, avec effet immédiat. La Cour d’appel avait ainsi conclu au caractère régulier du commandement de payer.

Dans un arrêt du 17 octobre 2018, la Cour de cassation a cassé l’arrêt de la Cour d’appel d’Aix en Provence du 1er mars 2017, au motif que cette dernière n’avait pas correctement tiré les conséquences légales de ses constatations sur l’application de la clause résolutoire du contrat. (3)

Selon les termes de cette clause, la résolution du contrat était soumise à un délai accordé au débirentier pour régler les sommes impayées (“commandement de payer resté infructueux”). En conséquence, la Cour de cassation a décidé que la résolution du contrat devait être impartie d’un délai au débirentier pour régler les sommes impayées, appliquant strictement les termes de la clause résolutoire.


2. L’incompatibilité d’une faute grave avec l’application d’un préavis de résiliation

Dans cette seconde affaire, un radiologue avait conclu un contrat d’exploitation d’un scanner avec une clinique, en date du 21 décembre 2010. La clause résolutoire prévoyait que les parties pourraient mettre fin au contrat sous réserve d’un préavis de six mois. En cas de résiliation par la clinique, celle-ci devait verser au médecin une indemnité correspondant à un an de chiffre d’affaires. En revanche, en cas de faute grave de la part du médecin, la résiliation serait immédiate et celui-ci n’aurait pas droit à l’indemnité.

Par courrier du 25 juillet 2014, la clinique a résilié le contrat à effet du 31 janvier 2015, s’appuyant sur un certain nombre de griefs, mais en s’opposant au versement de l’indemnité.

Le médecin a assigné la clinique en versement de l’indemnité contractuelle prévue à la clause résolutoire.

Le litige portait notamment sur la qualification de la faute imputable au médecin, et sur les conditions applicables à la résiliation du contrat. En effet, soit la clinique estimait que le médecin avait commis une faute grave, et dans ce cas la résiliation était immédiate et ne donnait pas lieu au versement de l’indemnité prévue au contrat, soit la faute n’était pas qualifiée de “grave”, et dans ce cas la résiliation était assortie du préavis de 6 mois et du versement de l’indemnité contractuelle.

Dans un arrêt rendu le 14 novembre 2018, la Cour de cassation a une nouvelle fois fait une application stricte des termes du contrat et relève la contradiction entre le fait de retenir une faute grave à l’encontre du cocontractant et refuser de lui régler l’indemnité contractuelle, et le fait d’assortir la résiliation d’un préavis de 6 mois. Ainsi, les juges soulignent “qu’une faute grave, par son importance, rend impossible le maintien d’un contrat d’exploitation ou d’exercice” conclu entre un médecin et un établissement de santé pendant la durée du préavis. La faute grave “ne peut, dès lors être retenue que si la résiliation a été prononcée avec effet immédiat.” (4)

La Cour d’appel de Paris, dans son arrêt du 15 juin 2017, avait relevé que la clinique avait résilié le contrat en accordant à la société (au médecin) un préavis de six mois. La qualification de faute grave ne pouvait donc s’appliquer. La cour de cassation a confirmé l’arrêt d’appel mais a prononcé la cassation partielle sur le montant de l’indemnité due par la clinique au médecin.


   La résiliation anticipée d’un contrat est désormais régie par l’article 1225 du code civil, dans sa version en vigueur depuis la réforme du droit des contrats. (5) Un contrat ne peut être résilié de manière anticipée que sous réserve 1- d’une mise en demeure restée sans effet, et 2- que la mise en demeure mentionne expressément la clause résolutoire figurant au contrat. Les parties peuvent cependant prévoir que le contrat sera résilié du seul fait de l’inexécution de ses obligations par une partie.

Il convient donc d’une part de rédiger les clauses résolutoires dans des termes clairs, en précisant les différentes situations pouvant entraîner la résiliation du contrat (manquement contractuel, faute grave - et éventuellement fournir des exemples de manquements qui pourront être qualifiés de faute grave), et d’autre part de s’assurer de les exécuter correctement en cas de mise en oeuvre de la clause de résiliation anticipée du contrat.


                                                                      * * * * * * * * * *

(1) ancien article 1134 al.1 du code civil dans sa version antérieure à l’ordonnance du 10 février 2016.

(2) article 1184 du code civil, dans sa version antérieure à l’ordonnance du 10 février 2016, remplacé par les articles 1224 à 1230 du code civil

(3) Cass com, affaire n°17-17935, arrêt du 17 octobre 2018

(4) Cass civ 1, affaire n°17-23135, arrêt du 14 novembre 2018

(5) Art 1225 du code civil “La clause résolutoire précise les engagements dont l'inexécution entraînera la résolution du contrat.
La résolution est subordonnée à une mise en demeure infructueuse, s'il n'a pas été convenu que celle-ci résulterait du seul fait de l'inexécution. La mise en demeure ne produit effet que si elle mentionne expressément la clause résolutoire.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

jeudi 18 avril 2019

L’importance de l’implication du client dans l’exécution d’un projet informatique

La jurisprudence relative aux contrats informatiques relève souvent les carences du prestataire dans l’exécution de son obligation de conseil vis-à-vis du client ou dans l’exécution de ses prestations. On rappellera toutefois que dans le cadre de l’exécution de projets informatiques, le client ne peut pas attendre la livraison du projet en restant passif. Deux arrêts de cour d’appel remontant à 2017 rappellent ainsi l’importance du rôle actif du client dans l’exécution de projets informatiques. Sa pleine coopération est en effet un élément clé de la bonne exécution du projet. Par ailleurs, le nouveau droit des contrats, issu de l’ordonnance du 10 février 2016 prévoit que “Les contrats doivent être négociés, formés et exécutés de bonne foi.” (1) Cette obligation, d’ordre public, s’impose aux parties non seulement pendant la période pré-contractuelle, mais également pendant toute la durée du contrat.

Dans la première affaire, la faute du client qui n’avait pas exprimé ses besoins a été retenue par les juges. La seconde affaire retient la résiliation du contrat aux torts du client qui a refusé la réception provisoire d’un site internet.


1. Le client est tenu d’exprimer ses besoins

Dans un arrêt rendu le 5 octobre 2017, la cour d’appel d’Aix-en-Provence a prononcé la résiliation d’un contrat de développement de sites web aux torts du client qui n’a pas exprimé ses besoins. (2)

En 2010, la société Nouvelles Destinations, tour-opérateur spécialisé dans la vente de séjours autour de parcs d’attractions, a souhaité refondre son site internet destiné aux professionnels (B2B) et développer un site à destination des consommateurs (B2C). Les prestations de développement ont été confiées à la société Flag Systèmes. Trois contrats ont été conclus en décembre 2010 et janvier 2011 : un contrat-cadre pour les développements spécifiques, pour un montant total de 135.000 euros, un contrat d’achat et de maintenance des licences I-Resa et un contrat d’hébergement et d’administration de la plate-forme I-Resa.

N’ayant pas reçu le dernier paiement prévu au contrat-cadre de développement, ni le règlement des factures d’hébergement, la société Flag Systèmes a mis le client en demeure de payer le 14 octobre 2013. En réponse, la société Nouvelles Destinations a contesté devoir les sommes réclamées, invoquant divers dysfonctionnements. Le prestataire a donc fait assigner la société Nouvelles Destinations et son assureur devant le tribunal de commerce d’Aix-en-Provence en règlement des sommes. Dans un jugement du 10 novembre 2015, le tribunal a condamné la société Nouvelles Destinations à régler les sommes dues à la société Flag Systèmes. Nouvelles Destinations a interjeté appel.

Dans sa décision du 5 octobre 2017, la Cour relève que le contrat-cadre rappelle en préambule que la société Nouvelles Destinations n’a pas fourni de document d’expression de ses besoins ni de cahier des charges, que le contrat-cadre est destiné à permettre « d’initialiser les premières phases de travail sans que les enveloppes définitives soient engagées », et qu’il est recommandé à la société Nouvelles Destinations « de recourir à une assistance à maîtrise d’ouvrage, mener une réflexion de fond sur l’organisation des services, les processus métiers et les flux d’informations mis en place, et la mise en place d’un comité de pilotage. » Or, la société Nouvelles Destinations n’a suivi aucune des recommandations du prestataire, au titre de l’obligation de conseil de ce dernier.

Par ailleurs, alors qu’il revient à la société cliente de prouver les dysfonctionnements allégués et leur imputabilité au prestataire, les juges relèvent que la société Nouvelles Destinations ne produit que des emails émanant d’elle-même, se plaignant de dysfonctionnements, sans aucune plainte de clients ou de partenaires commerciaux, ni constat d’huissier attestant desdits dysfonctionnements pouvant justifier le non-paiement des factures du prestataire.

En conséquence, la Cour a confirmé le jugement du tribunal de commerce, mais revu la condamnation à la baisse. La société Nouvelles Destinations a ainsi été condamnée à payer 101.000 euros dus au titre des contrats.


2. Le client qui refuse la réception provisoire du projet est en tort

Dans un arrêt du 6 juillet 2017, la cour d’appel de Grenoble a confirmé la résiliation d’un contrat de développement d’un site internet aux torts exclusifs du client qui avait refusé de procéder à la réception provisoire, alors que la réception aurait pu lui permettre de faire réaliser les corrections nécessaires par le prestataire au vu des éventuelles réserves.

La société Sikirdji Gemfrance, spécialisée dans le commerce de pierres fines et précieuses avait conclu un contrat de réalisation de site web avec la société DediServices le 9 juillet 2012 et a versé un premier acompte de 40% à la commande (soit 10.697,02€ TTC). Prétendant que le site commandé n’avait jamais été achevé et qu’il comportait de nombreux dysfonctionnements, la société Sikirdji Gemfrance a demandé au prestataire le remboursement de l’acompte versé par mise en demeure du 4 avril 2013, puis assigné la société DediServices en résolution du contrat et remboursement de l’acompte le 16 septembre 2013.

Dans son jugement du 28 novembre 2014, le tribunal de commerce de Grenoble a condamné la société cliente à payer à la société DediServices la somme de 16.045,54 € au titre des factures impayées avec application des pénalités de retard contractuelles, 10.000 € euros de dommages et intérêts et 2.000 € au titre de l’article 700 du code de procédure civile. La société Sikirdji Gemfrance a interjeté appel le du 16 janvier 2015.

Alors que la réception a notamment pour objet d’obliger le prestataire à faire les modifications correspondant aux éventuelles réserves qui auraient été mentionnées au procès-verbal de recette, en l’espèce la société cliente a refusé la réception provisoire du site.

La cour a confirmé la condamnation de la société Sikirdji Gemfrance à payer au prestataire les sommes prévues par le contrat et non encore réglées, augmentées des pénalités de retard, 10.000 € pour le travail supplémentaire généré par les nombreuses demandes d’interventions et de modifications, et 50.000 € de dommages-intérêts.

Cet arrêt fait l’objet d’un pourvoi en cassation.

                                                                   * * * * * * * * * *

(1) article 1104 du Code civil

(2) Cour d’appel d’Aix-en-Provence, 8e ch. B, arrêt du 5 octobre 2017, Nouvelles Destinations / Flag Systèmes et Hiscox Europe Underwriting Ltd

(3) Cour d’appel de Grenoble, ch. com, arrêt du 6 juillet 2017 Sikirdji Gemfrance / DediServices


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2019

lundi 18 mars 2019

Transferts de données personnelles et Brexit : comment se préparer à une sortie de l’UE sans accord ?

Le rejet du plan de sortie de l’Union européenne par les parlementaires britanniques à deux reprises, les 15 janvier et 12 mars derniers, laisse planer la possibilité d’un Brexit sans accord le 29 mars 2019, et ce même en cas d’un report éventuel de quelques semaines. La sortie du Royaume-Uni de l’Union européenne sans accord posera de multiples problèmes, dont celui des transferts de données personnelles entre l’UE (et l’Espace économique européen - EEE) et le Royaume-Uni. Les sociétés de services numériques, les établissements financiers et les multinationales sont particulièrement concernés.

Les sociétés britanniques et leurs co-contractants européens doivent donc être préparés en cas de sortie de l’UE sans accord (« hard Brexit » ou « no-deal Brexit »), afin de minimiser les conséquences d’une telle situation sur leurs activités.

Bien que le Royaume-Uni ait mis à jour sa réglementation sur la protection des données personnelles avec le Data Protection Act 2018,(1) entré en application en même temps que le RGPD le 25 mai 2018, un hard Brexit signifierait la fin de la libre circulation des données personnelles entre l’Union européenne et le Royaume-Uni. Le Royaume-Uni sera alors considéré comme un pays tiers à l’UE et à l’EEE, sans pouvoir bénéficier du statut de pays offrant un niveau de protection adéquat. Les sociétés concernées, responsables de traitement, cotraitants et sous-traitants, devront mettre en place des accords de même type que les entreprises à l’international.

Voyant la date butoir se rapprocher, le Comité européen de la protection des données (CEPD) et la CNIL ont publié, courant février, des conseils à l’attention des organismes concernés par les transferts de données entre l’Union européenne et le Royaume-Uni.(2)


1. La mise en place d’outils de transfert de données pour continuer à assurer un niveau de protection adéquat

Les transferts de données depuis un pays membre de l’Union européenne vers un pays extérieur à l’UE ne bénéficiant pas d’une décision d’adéquation sont soumis à l’exigence de “garanties appropriées et à la condition que les personnes concernées disposent de droits opposables et de voies de droit effectives”, définies par des documents contraignants pour les deux parties, responsable du traitement et destinataire des données. (art. 46 du RGPD)

Ces documents peuvent être :

    - Les clauses contractuelles types (CCT)
Les CCT sont des contrats types de transferts de données adoptés par la Commission européenne. Les CCT doivent être signées telles quelles, et ne peuvent être modifiées par les parties. Il existe deux types de CCT : les CCT entre responsable du traitement européen et responsable du traitement de pays tiers (co-responsables de traitements) et les CCT entre responsable du traitement européen et sous-traitant d’un pays tiers.(3)

    - Les contrats “ad hoc”
Les clauses contractuelles spécifiques, ou “ad hoc” sont des contrats de transferts de données négociés entre les parties. Ces contrats doivent cependant être préalablement autorisés par la CNIL, après avis du CEPD.

    - Les codes de conduite et les mécanismes de certification
Ces deux outils ont été créés avec le RGPD. Comme pour les contrats “ad hoc”, les codes de conduite et mécanismes de certification doivent avoir été préalablement autorisés par la CNIL, après avis du CEPD. Ces outils étant nouveaux, ils semblent peu appropriés pour gérer les transferts de données entre l’UE et le Royaume-Uni, alors que les délais de mise en conformité sont très serrés.

    - Les règles contraignantes d’entreprise (ou binding corporate rules - BCR)
Les BCR sont des politiques intra-groupe, mises en oeuvre au sein de groupes ou sociétés multinationales et applicables à toutes les sociétés du groupe dans le monde. (art. 47 du RGPD) L’adoption des BCR est soumise à une procédure d’approbation par la CNIL. Comme pour les codes de conduite, le délai de mise en place de BCR rend cet outil peu approprié en l’espèce.(4)

Ainsi, pour les entreprises concernées par des transferts de données personnelles vers le Royaume-Uni n’ayant pas de BCR (transferts au sein de sociétés d’un même groupe), l’outil le plus adapté, compte tenu de la situation, est le CCT, document “prêt-à-signer” permettant de se mettre en conformité dans des délais très courts.

En cas d’utilisation de services cloud par des sociétés situées dans l’Union européenne, il conviendra de se poser la question de la situation des data centers et prendre éventuellement les mesures appropriées de mise en conformité : rapatriement des données personnelles sur le continent ou signature de CCT avec le prestataire de services cloud.

Des décisions devront être prises très rapidement par les entreprises concernées pour minimiser les blocages de transferts de données entre le continent européen et le Royaume-Uni.


2. Les autres mesures de mise en conformité des sociétés britanniques et non-européennes

Les sociétés britanniques et non-européennes devront également se mettre en conformité avec le RGPD en cas de “hard Brexit”.

    - La désignation d’un représentant dans l’UE
En vertu des articles 3(2) et 27 du RGPD, les sociétés britanniques responsables de traitement ou sous-traitantes, qui traitent d’importants volumes de données de résidents européens, devront désigner un représentant situé dans l’un des Etats-membres, comme toute société non-européenne dans la même situation.

Quant aux sociétés non-européennes qui auraient désigné un représentant britannique, elles devront désigner un nouveau représentant situé dans l’un des Etats-membres pour se mettre en conformité.

    - La désignation d’une autorité chef de file dans l’UE
Enfin, les sociétés non-européennes qui auraient désigné l’autorité de contrôle britannique (ICO) comme autorité de contrôle chef de file devront rapidement désigner une nouvelle autorité de contrôle dans l’un des Etats-membres, conformément à l’article 56 du RGPD.


3. La situation des données en provenance du Royaume-Uni

Les transferts de données personnelles vers l’UE en provenance du Royaume-Uni ne seraient pas soumis à des procédures supplémentaires pour garantir les droits des personnes concernées. Ces données personnelles britanniques pourront être transférées librement vers l’Union européenne, sous réserve d’être ensuite traitées conformément à la réglementation applicable.


    En l’absence de mise en place des outils juridiques appropriés avant la date effective du Brexit, tout transfert de données depuis l’UE vers le Royaume-Uni deviendra illicite. Cette situation peut paraître paradoxale alors que le Royaume-Uni est pour l’instant soumis au RGPD et donc considéré comme offrant les garanties nécessaires pour la protection des données personnelles en provenance du continent.

La Commission devrait très probablement régulariser cette situation dans les mois qui viennent en prenant une décision d’adéquation pour le Royaume-Uni.

                                                                          * * * * * * * * * * * *


(1) https://ico.org.uk/for-organisations/data-protection-act-2018/
 
(2) Se préparer à un Brexit sans accord : quelles questions ? Quels conseils de la CNIL ? site de la CNIL

(3) https://www.cnil.fr/fr/les-clauses-contractuelles-types-de-la-commision-europeenne

(4) https://www.cnil.fr/fr/les-regles-dentreprise-contraignantes-bcr-binding-corporate-rules


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

vendredi 8 mars 2019

Transferts de données à l’international : le Japon reconnu comme offrant un niveau de protection adéquat

Le 23 janvier 2019, la Commission européenne a d’adopté une décision d’adéquation avec le Japon. (1) Le Japon a publié une décision réciproque d’adéquation pour l’Union européenne, ces deux décisions prenant effet ce même jour.

En pratique, cette décision d’adéquation avec le Japon signifie que les entreprises européennes pourront désormais transférer des données personnelles depuis l’Union européenne vers le Japon en application de l’article 45 du RGPD, sans autre formalité.


1. Les transferts de données personnelles à l’international et la notion d’adéquation


Depuis la directive du 24 octobre 1995 sur la protection des données, les organismes peuvent librement transférer des données personnelles d’un Etat membre à un autre au sein de l’Union européenne (sous réserve cependant de respecter la réglementation en matière de protection des données). Les transferts de données vers des pays situés à l’extérieur de l’UE restent toutefois soumis à des règles strictes. Ce principe reste applicable avec le RGPD.

Les organismes européens souhaitant transférer des données vers une société située en dehors de l’UE, et son cocontractant doivent soit signer les Clauses contractuelles types (CCT) de la Commission, soit signer un contrat ad hoc de transfert des données, validé par une autorité de contrôle. Les partie peuvent également se soumettre à un code de conduite approuvé, assorti d’engagements contraignants des parties, ou mettre en oeuvre un mécanisme de certification approuvé, également assorti d’engagements contraignants. (2)

Enfin, si les deux entités appartiennent à un même groupe de sociétés, elles peuvent faire approuver des Règles d’entreprise contraignantes (Binding corporate rules - BCR). (3)

Certains pays tiers à l’UE peuvent cependant être reconnus comme offrant un niveau de protection adéquat aux données transférées depuis l’UE. La reconnaissance de l’adéquation du niveau de protection est déterminée par la Commission européenne, sur la base des critères énoncés à l’article 45 du RGPD. Ces critères vont au-delà de l’existence d’une réglementation locale sur la protection des données personnelles et portent sur, outre l’existence et le fonctionnement effectif d’une autorité de contrôle indépendante, sur l’état de droit dans le pays tiers et sur les engagements internationaux pris par ce pays.

Concernant l’état de droit, la Commission prend notamment en considération le respect des droits de l'homme et des libertés fondamentales, l'accès des autorités publiques aux données à caractère personnel, et les droits effectifs et opposables dont bénéficient les personnes concernées dans ce pays tiers. (4)

La procédure d’adéquation est organisée en quatre étapes : 1- une proposition d’adéquation émise par la Commission européenne, 2- un avis rendu par le Conseil européen de la protection des données (CEPD), 3- un accord des représentants des Etats membres, et 4- l’adoption de la décision d’adéquation par la Commission.

Comme nous le verrons pour la décision d’adéquation du Japon, cette procédure peut prendre plusieurs années avant que le pays soit reconnu comme offrant un niveau de protection adéquat.

En vertu de l’article 45 du RGPD, la décision d’adéquation signifie que les entreprises européennes peuvent librement transférer des données personnelles depuis l’Union européenne vers le pays reconnu comme adéquat, sans autre formalité, de la même manière que les transferts intra-européens.

Le Parlement européen et le Conseil peuvent demander à la Commission de modifier ou supprimer une décision d’adéquation en cas de non respect de ses engagements par le pays tiers. Il existe par ailleurs un mécanisme de suivi, pour s’assurer du respect de la décision d’adéquation par le pays tiers. Par exemple, le Privacy Shield, mécanisme d’adéquation mis en place avec les Etats-Unis, est revu tous les ans. (5) Ainsi, une décision d’adéquation peut être accordée par la Commission. Elle peut également être suspendue si les autorités du pays tiers ne se conforment pas, ou plus, à la décision.


2. Historique de la procédure d’adéquation du Japon

La première loi de protection des données japonaise date de 2005.

Une autorité de contrôle indépendante (Personal Information Protection Commission - PPC) a été créée en 2016. (6)

Une nouvelle loi de protection des données est entrée en vigueur le 30 mai 2017. (7) La loi de 2017 a intégré de nouveaux concepts dans le droit japonais, tels que les notions de données sensibles et d’anonymisation des données, et prend globalement en compte le RGPD.

La Commission européenne, constatant que le droit japonais de la protection des données personnelles s’était rapproché des concepts du droit européen, a débuté les discussions d’adéquation avec le Japon il y a deux ans, en janvier 2017. Un accord de principe a été conclu en juillet de la même année, en parallèle avec la conclusion de l’accord de partenariat économique entre l’Union européenne et le Japon. Un projet de décision d’adéquation a ensuite été publié par la Commission en septembre 2018 ayant abouti à son adoption en janvier 2019.


3. Les principaux éléments de la décision d’adéquation concernant le Japon

La loi japonaise n’étant pas identique au RGPD, le Japon a dû mettre en place des “règles supplémentaires” afin d’atténuer les différences entre les deux systèmes de droit de la protection des données. (8) Ces règles supplémentaires concernent plus particulièrement les données sensibles, l’exercice des droits individuels par les personnes concernées, et les conditions dans lesquelles les données personnelles en provenance de l’Union européenne peuvent ensuite être transférées vers un autre pays tiers à l’UE. Ces règles s’appliqueront aux entreprises japonaises destinataires de données personnelles en provenance de l’UE. De son côté, le Japon n’a pas imposé de règles supplémentaires aux entreprises européennes qui importeraient des données en provenance du Japon.

La décision d’adéquation comporte également un engagement du gouvernement japonais relatif à l’accès aux données par les autorités publiques japonaises aux fins de procédures pénales et de la sécurité nationale. L’accès et le traitement de données personnelles en provenance de l’UE dans ces domaines doivent être limités, proportionnés et soumis à une procédure de surveillance et de recours indépendants.

Enfin, la décision comprend un mécanisme de traitement des plaintes des personnes concernées européennes, géré et contrôlé par la PPC.

Il est prévu qu’un réexamen de l’application de la décision soit réalisé après deux ans, puis tous les quatre ans, pour évaluer son fonctionnement effectif, notamment concernant les règles supplémentaires.

Cette décision d’adéquation devrait ainsi faciliter les transferts de données vers le Japon, 3é puissance économique mondiale comptant 127 millions d’habitants.


    Il s’agit de la première décision d’adéquation prise depuis l’entrée en application du RGPD, les précédentes décisions ayant été prises en application de la directive d’octobre 1995 sur la protection des données.

A ce jour, seuls 13 pays ou territoires ont été reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles. (9) La Commission a cependant décidé d’étendre cette liste à de nouveaux pays. Cette dynamique viendrait en parallèle des conditions d’application extraterritoriale du RGPD d’une part, et du fait que plusieurs pays envisagent de faire évoluer leur droit de la protection des données personnelles pour se rapprocher des concepts du RGPD d’autre part. (10)

On notera enfin que des discussions d’adéquation sont également en cours depuis deux ans entre l’Union européenne et la Corée du Sud. Des députés européens se sont rendus à Séoul fin octobre 2018 pour rencontrer les autorités coréennes, y compris la Commission des communications coréenne et l’Agence de l’internet et de la sécurité coréenne (KISA) afin d’avancer vers une décision d’adéquation.


                                                                * * * * * * * * * * *

(1) Communiqué de presse de la Commission européenne du 23 janvier 2019

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), article 47

(3) article 46, RGPD

(4) article 45 2., RGPD

(5) Voir notre article Relations UE-US – Le Privacy Shield renouvelé pour un an

(6) https://www.ppc.go.jp/en/

(7) Act on the protection of personal information : https://www.ppc.go.jp/en/legal/

(8) https://ec.europa.eu/info/sites/info/files/annex_adequacy_decision_japan_2.pdf

(9) Liste des pays offrant un niveau de protection adéquate :
- Europe (hors UE) Andorre, Iles Faroe, Ile de Man, Guernesey, Jersey, Suisse
- Amérique : Canada, Etats-Unis (Privacy Shield), Argentine, Uruguay
- Asie : Israël, Japon
- Océanie : Nouvelle Zélande

(10) voir article 3 “Champ d’application territorial”, RGPD


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2019

mardi 5 février 2019

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google


Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

L’un des objectifs du RGPD est de donner aux personnes concernées plus de maîtrise sur leurs données personnelles, en renforçant les principes de transparence et de consentement éclairé, grâce à une information préalable claire et compréhensible.

En l’espèce, la décision de la CNIL sanctionne un manque de transparence de la part de Google et met en cause la validité du consentement obtenu à partir d’informations qui “ne sont pas toujours claires et compréhensibles”, ni aisément accessibles pour les utilisateurs.

Les 25 et 28 mai 2018, soit juste après l’entrée en application du RGPD, la CNIL a été saisie de deux plaintes collectives en vertu de l’article 80 du RGPD, déposées pour le compte de près de 10.000 personnes, par les associations None Of Your Business et La Quadrature du Net. Ces plaintes étaient motivées par le fait que Google traitait les données personnelles des utilisateurs de ses services, notamment à des fins de ciblage publicitaire, sans base juridique valable.

En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google. Pour ce faire, la Commission a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès, en créant un compte Google au moment de la configuration de son téléphone mobile sous Android.


1. La compétence de la CNIL pour engager la procédure contre Google

Avant même d’aborder les manquements constatés par la formation restreinte de la CNIL(2), celle-ci justifie notamment sa compétence pour engager cette procédure contre la société Google.

La société Google contestait en effet la compétence de la CNIL, en soutenant que le siège européen de Google étant situé en République d’Irlande, l’autorité de protection des données irlandaise (Data Protection Commission) était compétente en qualité d’autorité chef de file.

La formation restreinte rappelle que la notion d’établissement principal suppose que l’établissement concerné dispose d’un “pouvoir de décision vis-à-vis des traitements de données à caractère personnel (…)”, et que ce pouvoir de décision comprend “l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.” Cette notion doit s’apprécier in concreto et ne peut reposer que sur la déclaration de l’entreprise en cause.

En l’espèce, Google ne démontre pas que sa filiale irlandaise disposait d’un pouvoir décisionnel sur les finalités et les moyens des traitements concernés. Le rôle de Google Ireland Limited se concentrait sur les activités commerciales et financières de Google en Europe. Par ailleurs, Google Ireland Limited n’était pas mentionnée dans les Règles de confidentialité de la société au 25 mai 2018 (date de l’entrée en application du RGPD), et n’avait pas désigné de délégué à la protection des données (DPO).

La formation restreinte en conclut que Google Ireland Limited ne peut être considérée comme l’établissement principal européen de Google LLC au sens de l’article 4 (16) du RGPD. Elle ne peut donc identifier une autorité chef de file. Après avoir consulté les autres autorités de contrôle européennes et pris en compte les lignes directrices publiées par le CEPD (3), la CNIL se déclare compétente pour engager cette procédure.


2. Les manquements constatés par la CNIL

Pour établir ses constatations, la formation restreinte a analysé le parcours d’un utilisateur et les documents contractuels auxquels il peut avoir accès, en créant un compte Google lors de la configuration de son téléphone mobile sous Android.

Deux séries de manquements au RGPD ont été constatés :

     1 - Un manquement aux obligations de transparence et d’information

Le RGPD repose sur les deux principes fondamentaux de transparence et d’information. La formation restreinte reprend les articles correspondants (art. 12 et 13 notamment) et les applique à la lettre à la procédure de création de compte sur Google.

Selon l’article 12 du RGPD, les informations fournies à la personne concernée doivent être concises, transparentes, compréhensibles, aisément accessibles, et rédigées en termes clairs et simples. L’article 13 prévoit que le responsable de traitement fournit les informations suivantes à la personne concernée au moment de la collecte des données, à savoir l’identité et les coordonnées du responsable du traitement, le cas échéant les coordonnées du DPO, les finalités du traitement ainsi que sa base juridique, les destinataires des données, le cas échéant, le fait que les données seront transférées vers un pays tiers, etc.

En l’espèce, les informations délivrées par Google aux utilisateurs ne sont pas suffisamment accessibles, claires et compréhensibles. Certaines informations obligatoires ne sont pas fournies aux utilisateurs : “des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.

L’architecture générale de l’information, mise en place par Google, rend l’accès à certaines informations clés difficile. Ainsi, même si ces informations sont fournies par Google, elles sont difficiles à trouver car nécessitent de passer de page en page, par plusieurs clics, avant de les atteindre.

La formation restreinte conclut à un défaut global d’accessibilité des informations délivrées par la société.

La formation restreinte met ensuite l’accent sur le caractère “massif et intrusif” des traitements mis en oeuvre par Google. Elle rappelle que les données collectées par Google à travers ses différents services proviennent de sources très variées : données d’utilisation du téléphone portable (Android), de la messagerie Gmail, de la plateforme de vidéos YouTube, données de navigation sur internet avec les cookies Google Analytics déposés sur des sites tiers, données de géolocalisation…

Ces données relèvent de trois catégories : les données produites par la personne concernée (nom, mot de passe, adresse email, etc.), les données générées par son activité (adresse IP, identifiant uniques de l’utilisateur, données de réseaux mobiles et sans fil, géolocalisation, etc.), et les données dérivées à partir des données produites par la personne ou générées par son activité (ciblage publicitaire sur la base notamment des centres d’intérêt des utilisateurs, à partir de leur activité sur internet, ou recommandations personnalisées).

La formation restreinte considère que les finalités annoncées dans les différents documents sont “trop génériques au regard de la portée des traitements mis en oeuvre et de leurs conséquences.” La description des données collectées est imprécise et incomplète. Au vu de ces éléments, elle considère que l’utilisateur n’est pas à même de prendre la mesure des conséquences des principaux traitements sur sa vie privée.

Le manque de clarté et la difficulté des utilisateurs à “comprendre l’ampleur des traitements mis en place par Google”, considérés comme “particulièrement massifs et intrusifs” est en partie la conséquence du nombre de services proposés par Google, de la quantité de données collectées ainsi que leur nature.

     2 - Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La deuxième série de manquements concerne la validité du consentement.

L’un des principes fondamentaux du droit de la protection des données repose sur la caractère licite du traitement, et particulièrement le consentement de l’utilisateur qui doit être libre, spécifique, éclairé et univoque, et recueilli par un acte positif clair (art. 4 (11) RGPD). Les conditions relatives au recueil et au retrait du consentement figurent à l’article 7 du RGPD.

A ce titre, la CNIL relève que le consentement de l’utilisateur n’est pas valablement recueilli car non suffisamment éclairé, dans la mesure où l’information, telle que l’information sur les traitements de personnalisation de la publicité, est disséminée dans plusieurs documents et parfois difficile à localiser.

La CNIL relève ensuite que le consentement n’est ni “spécifique” car il concerne plusieurs traitements alors que le RGPD implique un consentement distinct pour chaque traitement ou finalité, ni “univoque” dans la mesure où plusieurs cases sont pré-cochées par défaut alors qu’elles devraient être décochées.

La formation restreinte en conclut que le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas donné par un acte positif et distinct pour chacun des traitements mis en oeuvre.


3. Les motivations justifiant le montant de la sanction

Enfin, la formation restreinte justifie le montant de cette sanction, fixé en application des nouvelles dispositions du RGPD (art. 83), compte tenu de la gravité des manquements constatés, du nombre d’utilisateurs, du nombre de services et du volume de données concernés, et du fait que ces manquements sont continus et non pas délimités dans le temps. La CNIL rappelle ainsi que “le renforcement des droits des personnes est l’un des axes majeurs du Règlement” et que “les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.

Les manquements constatés permettent, selon la formation restreinte, de justifier une amende qui, en l’espèce, a été fixée à 4% du chiffre d’affaires de la société Google, soit 50 millions d’euros. Cette amende reste cependant très en deçà du plafond de 20% du chiffre d’affaires mondial de Google (110 milliards de dollars en 2017 pour sa maison-mère, Alphabet), prévu par le RGPD.

La société Google a annoncé sa décision de former un recours devant le Conseil d’Etat.


    L’objectif de remplacer la précédente directive d’octobre 1995 par un règlement est d’assurer une approche unifiée du droit de la protection des données personnelles dans l’Union européenne. A ce titre, la formation restreinte mentionne avoir consulté les autres autorités de contrôle et se réfère à plusieurs reprises dans sa délibération aux lignes directrices du CEPD. On peut donc s’attendre au développement d’une “jurisprudence” homogène des autorités de contrôle européennes.

Cette première sanction de la CNIL donne un aperçu de l’application effective du RGPD et comment la conformité à la nouvelle réglementation est appréhendée par l’autorité de contrôle, à savoir une interprétation stricte du règlement. La CNIL sanctionne ici une architecture de l’information trop complexe et peu instinctive pour l’utilisateur, ainsi que des textes souvent rédigés dans des termes peu clairs ou trop généraux.

La difficulté pour Google, comme pour toutes les plateformes proposant plusieurs services, sera de concilier les impératifs de concision, transparence et simplicité de l’information avec ceux de clarté et spécificité du consentement, afin d’être considérée conforme aux dispositions du RGPD, alors même que ces dispositions impliquent des documents contractuels plus longs car plus détaillés. Même si Google a choisi de former un recours contre la délibération de la CNIL, la société devra faire un réel effort de simplification et de transparence de l’information.

                                                                   * * * * * * * * * * *


(1) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(2) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.

(3) Le comité européen à la protection des données (CEPD, ex-groupe de travail Article 29 ou G29) rassemble les autorités des 28 Etats-membres. Il a notamment pour mission de clarifier la mise en œuvre du RGPD en vue d’assurer une application uniforme du règlement. Ainsi, 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration par le CEPD.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2019