tag:blogger.com,1999:blog-85936141870901668552024-03-16T02:12:17.799+01:00DELEPORTE WENTZ AVOCAT - Droit des Technologies et du NumériqueDELEPORTE WENTZ AVOCAT est une société d’avocats spécialisée en droit des technologies de l’information - informatique, internet, données personnelles, inscrite au Barreau de Paris.
Nous publions régulièrement des articles concernant des thématiques juridiques diverses relevant du domaine des technologies : actualité juridique, présentation d'une nouvelle loi ou analyse d'une jurisprudence récente.
Pour consulter notre site web: www.dwavocat.comDeleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.comBlogger149125tag:blogger.com,1999:blog-8593614187090166855.post-61740728162785431042023-07-04T17:53:00.007+02:002023-07-04T18:04:06.913+02:00Le nouveau site web du cabinet est en ligne<p><span style="font-family: verdana;">Le nouveau site web du cabinet Deleporte Wentz Avocat est en ligne depuis le 1er juillet !</span></p><p><span style="font-family: verdana;">Notre site web nouvelle version, revu et mis à jour, dispose d'un design modernisé et d'une nouvelle identité numérique, dont un nouveau logo.</span></p><p> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjH7qLxmSp9XxRu7kQ44aixAwtvTBNsD97iVbbmxIXODrk6vd_EGj2t3z1-WA99iaWXnYv066wPenRxclTbpDeOTQtWVl0jalbWbQMuk3LdRqhYsHdAV2jKwIFcnrxOG5OG_WaLN3EIxsJI5yLFDxvO3c0VOcKG4BivFmaMOuY1tkbR_9ga0_Z_BeEcgIaX/s1767/DWA%20+%20baseline%204%20.jpg.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="297" data-original-width="1767" height="54" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjH7qLxmSp9XxRu7kQ44aixAwtvTBNsD97iVbbmxIXODrk6vd_EGj2t3z1-WA99iaWXnYv066wPenRxclTbpDeOTQtWVl0jalbWbQMuk3LdRqhYsHdAV2jKwIFcnrxOG5OG_WaLN3EIxsJI5yLFDxvO3c0VOcKG4BivFmaMOuY1tkbR_9ga0_Z_BeEcgIaX/s320/DWA%20+%20baseline%204%20.jpg.jpg" width="320" /></a></div> <p></p><p><span style="font-family: verdana;">Pour continuer à suivre les actualités et publications du cabinet, rendez-vous sur <a href="http://www.dwavocat.com">www.dwavocat.com</a></span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-73059899145424187442023-04-17T19:11:00.004+02:002023-04-17T19:16:07.294+02:00La protection des données personnelles : un droit fondamental, mais non absolu<p style="text-align: justify;"><span style="font-family: verdana;"></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrWFNs4suvflgCje5qdOiW7NdCQvzD8jGyuUc3eKvrYjLtadQhWOLoN9KWfgr2OXfzhH0NDzwdZP1tm6nxQACyH2qCwLswU1NikfMucw5mOFzbeH0kk8ta0T-DOk75j55_xq14s7QgiO3-JkHEQ7GVGlkYQu9RKkUMT5ZBIv9x4Bg0r7ITctgcJ8uQfA/s1600/DataPrivacy.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1200" data-original-width="1600" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhrWFNs4suvflgCje5qdOiW7NdCQvzD8jGyuUc3eKvrYjLtadQhWOLoN9KWfgr2OXfzhH0NDzwdZP1tm6nxQACyH2qCwLswU1NikfMucw5mOFzbeH0kk8ta0T-DOk75j55_xq14s7QgiO3-JkHEQ7GVGlkYQu9RKkUMT5ZBIv9x4Bg0r7ITctgcJ8uQfA/s320/DataPrivacy.jpg" width="320" /></a></div> <p></p><p style="text-align: justify;"><span style="font-family: verdana;">Dans un arrêt du 8 mars 2023, la Cour de cassation a rappelé que bien que la protection des données à caractère personnel soit un droit fondamental, lorsque confronté à un autre droit fondamental, la protection des données personnelles doit être mise en balance avec cet autre droit, conformément au principe de proportionnalité.<br /><br />Cette situation d’opposition entre le droit de la protection des données personnelles et un autre droit fondamental se produit régulièrement. On rappellera par exemple un jugement du tribunal judiciaire de Paris du 30 juin 2021 dans lequel la protection des données personnelles (en l’occurrence, le droit à l’oubli), était mis en balance avec le droit à l’information.<br /><br />Il convient toutefois de rappeler ce que l’on entend par “droits fondamentaux” et comment est appliqué le principe de proportionnalité avant d’analyser les critères retenus par les juges pour faire primer un droit fondamental sur un autre.<br /><br /><br /><b>1. Qu’entend-on par droits fondamentaux ?</b><br /><br /><b>Les sources des droits fondamentaux.</b><br />Il n’existe pas de définition unique de la notion de droits fondamentaux. <br /><br />On peut toutefois considérer que ces droits sont issus en premier lieu de la Déclaration des droits de l’Homme et du Citoyen de 1789, de la Convention européenne de sauvegarde des droits de l’Homme et des Libertés fondamentales du 4 novembre 1950, de la Constitution et de la Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000. Certains de ces droits sont par ailleurs rappelés dans le RGPD.<br /><br />Ces textes énoncent des droits et libertés considérés comme fondamentaux, dont le respect est garanti par l’Etat. Ces droits peuvent être distingués entre droits subjectifs, attachés à la personne et droits collectifs, regroupant les libertés applicables dans notre société.<br /><br />Concernant les droits attachés à la personne, on retrouve par exemple la notion de dignité humaine, le droit à la vie, le droit à l’intégrité de la personne, mais également le droit à la vie privée, le droit à la protection des données à caractère personnel, la liberté de penser, d’opinion, de religion, l’égalité en droit, dont l’égalité entre les hommes et les femmes, etc.<br /><br />Parmi les libertés fondamentales, on citera la liberté de réunion, la liberté d’expression et d’information, la liberté d’association, la solidarité, la justice, dont le droit à un recours effectif et la présomption d’innocence, et le droit de l’environnement.<br /><br /><b>Le principe de proportionnalité ou la recherche d’un équilibre entre deux droits fondamentaux.</b><br />Bien que considérés comme fondamentaux, il arrive que deux droits soient opposés l’un à l’autre, comme par exemple le droit à la protection des données personnelles (droit subjectif) et le droit à la liberté d’expression (liberté fondamentale). Il revient donc au juge de décider quel droit fondamental devra primer. Pour ce faire, le juge mettra en balance les intérêts en présence pour chercher soit à concilier ces droits, soit à faire primer l’un sur l’autre, compte tenu des faits d’espèce. Cette analyse sera menée au cas par cas.<br /><br /><br /><b>2. Dans un arrêt du 8 mars 2023, la Cour de cassation fait primer le droit à la preuve sur le droit de la protection des données personnelles</b><br /><br />Dans un arrêt rendu le 8 mars 2023, la Cour de cassation a reconnu la primauté de l’exercice du droit à la preuve et à la défense du principe de l’égalité entre les hommes et les femmes sur le droit de la protection des données personnelles. (1)<br /><br />Dans cette affaire, une femme avait occupé le poste de Chief operating officer (COO) de la société Exane Derivatives, puis avait été nommée Directrice stratégie et projets groupe de la société Exane. Licenciée le 22 février 2019, elle a considéré avoir subi une inégalité salariale par rapport à certains collègues masculins occupant ou ayant occupé le poste de COO. Afin de pouvoir rapporter la preuve de ses allégations, elle a saisi en référé le Conseil des prud’hommes le 31 octobre 2019 pour obtenir la communication d’éléments de comparaison de la part de ses deux anciens employeurs.<br /><br />Par arrêt du 3 décembre 2020, la Cour d’appel de Paris avait ordonné aux sociétés Exane et Exane Derivatives de communiquer sous astreinte à l’intéressée les bulletins de paie de huit salariés, sur des périodes déterminées, avec occultation de certaines données personnelles, à l’exception des noms et prénoms, de la classification conventionnelle, de la rémunération mensuelle détaillée et brute totale cumulée par année civile.<br /><br />Or, ses ex-employeurs s’opposèrent à la communication de ces documents, alléguant d’une part leur caractère confidentiel et leur obligation de sécurité vis-à-vis de ces données, en application du Règlement général sur la protection des données du 27 avril 2016 (RGPD), d’autre part, le fait que selon l’article 145 du code de procédure civile, le juge ne peut prononcer que des mesures d’instruction légalement admissibles. La communication des bulletins de paie de salariés serait donc contraire au RGPD, sachant que le droit à la preuve ne saurait justifier la production d’informations portant atteinte à la vie privée si la salariée est déjà en mesure de produire des éléments lui permettant de présumer l’existence d’une telle discrimination.<br /><br />Pour justifier sa décision, la Cour de cassation applique le principe de proportionnalité : <br /> 1) rappelant le 4é considérant du RGPD selon lequel “<i>Le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être considéré par rapport à sa fonction dans la société et être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité</i>”, puis <br /> 2) l’article 145 du code de procédure civile relatif aux mesures d’instruction pouvant être ordonnées par le juge pour permettre au demandeur d’établir la preuve des faits, et<br /> 3) les articles 6 et 8 de la Convention de sauvegarde des droits de l’homme en vertu desquels le droit à la preuve peut justifier la production d’éléments portant atteinte à la vie personnelle, à la conditions que cette production soit indispensable à l’exercice de ce droit, et que l’atteinte soit proportionnée au but poursuivi.<br /><br />La Cour confirme que la communication de ces éléments était indispensable à l’exercice du droit à la preuve et proportionnée au but poursuivi, à savoir, la défense de l’intérêt de la salariée à l’égalité de traitement entre les hommes et les femmes en matière d’emploi et de travail. Les sociétés Exane et Exane Derivatives doivent donc communiquer les bulletins de paie des salariés concernés à l’intéressée, au format précisé dans l’arrêt d’appel.<br /><br />Le pourvoi des sociétés Exane et Exane Derivatives contre la décision de la cour d’appel est donc rejeté.<br /><br /><b><br />3. Le tribunal judiciaire de Paris reconnaît la primauté du droit d’informer sur le droit de la protection des données personnelles</b><br /><br />Dans un jugement rendu le 30 juin 2021, le tribunal judiciaire de Paris a refusé d’appliquer le droit à l’oubli, au profit du droit à l’information. (2)<br /><br />Dans cette affaire, un ancien responsable du Racing Club de Paris, condamné en 2009 pour abus de confiance et abus de biens sociaux demandait en 2019, sois 10 ans après les faits, la suppression, ou a minima l’anonymisation, d’un article publié en ligne par le journal 20 Minutes.<br /><br />Le journal a refusé de donner droit à sa demande, arguant de la liberté d’expression et du droit à l’information. L’ancien responsable du Racing Club a donc assigné 20 Minutes devant le tribunal judiciaire de Paris pour faire supprimer l’article le concernant.<br /><br />Comme dans l’arrêt de cassation précité, les juges rappellent les termes du 4é considérant du RGPD selon lequel le droit à la protection des données à caractère personnel n'est pas un droit absolu; il doit être mis en balance avec d'autres droits fondamentaux, conformément au principe de proportionnalité. Le droit à l’effacement (ou droit à l’oubli) est prévu à l’article 17 du RGPD. Ce droit doit être mis en parallèle avec le droit à la liberté d’expression et d’information, garanti notamment par l’article 10 de la Convention de sauvegarde des droits de l’homme. <br /><br />La société 20 Minutes est éditrice de presse. Elle exerce une activité de journalisme consistant à mettre en oeuvre la liberté d’expression. Selon l’article 17.3 a) du RGPD, le droit à l’oubli peut être écarté au profit du droit à l’information “<i>dans la mesure où ce traitement est nécessaire à l’exercice du droit à la liberté d’expression et d’information.</i>” En application du principe de proportionnalité, la suppression de l’article ou son anonymisation, même si celui-ci est relativement ancien, aurait pour conséquence une restriction excessive de la liberté de la presse.<br /><br />En l’espèce, les juges ont donc décidé de faire primer le droit à l’information sur le droit à l’oubli.<br /><br />On notera cependant que les juges soulignent le caractère spécifique des sociétés d’édition de presse, dont l’activité d’information doit être protégée, contrairement aux moteurs de recherches dont l’activité se limite à l’indexation d’informations disponibles en ligne.<br /><br /> * * * * * * * * * * *<br /><br /><span style="font-size: x-small;">(1) Cass. civ., ch. soc., 8 mars 2023, pourvoi n° 21-12.492<br /><br />(2) TJ Paris, 17é ch. 30 juin 2021, M. X c. 20 Minutes France<br /></span><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Avril 2023 </span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-2303814793339757742023-03-09T17:41:00.002+01:002023-03-27T18:02:26.830+02:00Avantages et inconvénients d’un projet informatique développé en mode Agile<p style="text-align: center;"> <a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgYM4nohtBuirP64UMNgNAl9rQiyAgqXIDkpQfEbqiGMnnX0UW_U3oMI3E-h5mHQ3uoZ4DQMcpxNuRIDcn3M5Yro5KLHuAf4qyekDV9C1_X6IRwye4_L2h1zwXvBv0Qjp71pVNujCbZbBiu2SGwCNFOiiwKZf_RUG-YpPY7qV5ClIK2_nz_J4n10ykiA/s1760/Agile-Project-Management.webp" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1017" data-original-width="1760" height="116" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjgYM4nohtBuirP64UMNgNAl9rQiyAgqXIDkpQfEbqiGMnnX0UW_U3oMI3E-h5mHQ3uoZ4DQMcpxNuRIDcn3M5Yro5KLHuAf4qyekDV9C1_X6IRwye4_L2h1zwXvBv0Qjp71pVNujCbZbBiu2SGwCNFOiiwKZf_RUG-YpPY7qV5ClIK2_nz_J4n10ykiA/w200-h116/Agile-Project-Management.webp" width="200" /></a><br /></p><p style="text-align: left;"><span style="font-family: verdana;">Les méthodes Agiles, de plus en plus utilisées depuis le début des années 2000 pour gérer les projets informatiques, comportent de nombreux avantages, particulièrement en termes de flexibilité, mais peuvent également être source de litiges si le projet n’est pas géré de manière rigoureuse.<br /><br /><b>1. Bref rappel des méthodes Agiles<br /></b><br />Les méthodes Agiles ont pris leur essor au début des années 2000, en réaction aux méthodes de développement classique en cascade ou en V. <br /> <br />Se voulant plus pragmatiques que les méthodes classiques de développement, leur objectif est de répondre au mieux aux besoins du client, sachant que ceux-ci ne sont pas nécessairement figés dès le début du projet. Les méthodes Agiles (Scrum, Extreme Programing, Lean Software Development, RAD, etc.) reposent sur des principes de souplesse, flexibilité en cours d’exécution du projet, collaboration soutenue entre les parties, requérant notamment une grande implication du client tout au long du projet, et rapidité d’exécution.<br /><br />Ces pratiques de gestion de projets informatiques ont été conceptualisées en février 2001 dans le Manifeste Agile (The Agile Manifesto).(1) Elles reposent sur quatre valeurs fondamentales : <br /></span></p><ul style="text-align: left;"><li><span style="font-family: verdana;">la prise en compte des individus et leurs interactions plutôt que les processus et les outils,</span></li><li><span style="font-family: verdana;"> </span><span style="font-family: verdana;">un logiciel qui fonctionne, plutôt qu’une documentation complète,</span></li><li><span style="font-family: verdana;"> </span><span style="font-family: verdana;">la coopération avec le client plutôt que la négociation du contrat, et</span></li><li><span style="font-family: verdana;"> </span><span style="font-family: verdana;">l’adaptation au changement plutôt que le suivi d’un plan.</span></li></ul><p style="text-align: left;"><span style="font-family: verdana;">Ces méthodes incluent les notions de développement itératif, d’intégration continue et des tests et réception à l’issue de chaque itération.<br /><br />Même si l’expression des besoins du client n’est pas figée, et même si un projet Agile doit reposer sur la confiance entre les parties, il convient toutefois de rester vigilant sur la conduite du projet afin d’éviter déconvenues et dérapages. Le contrat reste un outil indispensable pour traduire les principes de collaboration entre les parties et d’adaptation au fur et à mesure des demandes du client, et fournir une grille de travail aux parties pour éviter les malentendus sur les processus qui seront appliqués. Le projet, non figé dès le départ, peut en principe être suspendu à tout moment.<br /><br />Par ailleurs, les conditions financières d’un projet Agile doivent être transparentes et validées avant de débuter les prestations. Certains projets pourront être conclus intégralement en régie (facturation au temps ou au nombre de jours passés), d’autres pourront être conclus au forfait, pour chaque itération par exemple. Enfin, il est toujours possible de prévoir une partie du projet soumise au forfait et une autre en régie.</span></p><p style="text-align: left;"><span style="font-family: verdana;"><br /><b>2. L’arrêt du 6 janvier 2023 - une nouvelle consécration du modèle Agile</b><br /><br />Les tribunaux ont été amenés à juger quelques affaires dans lesquelles des projets informatiques avaient été menés en appliquant une méthode Agile. Ainsi, dans un arrêt de la Cour d’appel de Paris du 6 janvier 2023, les juges ont confirmé les conséquences d’un contrat exécuté en application d’une méthode Agile. (2)<br /><br />La société Oopet, une startup dans le domaine des services aux animaux de compagnie, avait commandé le développement de deux applications mobiles et d’un site web à la société Dual Media Communication, prestataire informatique. <br /><br />Le client a par la suite reproché au prestataire d’avoir notamment manqué à son obligation de conseil pour ne pas lui avoir recommandé de réaliser un cahier des charges, et d’avoir livré des prestations défectueuses.<br /><br />Les juges n’ont pourtant pas considéré que le prestataire avait manqué à son obligation de conseil et de mise en garde. Ils relèvent les “<i>nombreux échanges de courriels</i> (qui) <i>montrent que le développement des applications mobiles et du site internet devait suivre les souhaits précis de la société Oopet exprimés au fur et à mesure de l’envoi par la société Dual Media Communication des maquettes fonctionnelles. Les courriers et textos ont été nombreux (…)</i>” Toutefois “f<i>ace à une communication compliquée avec son client et en difficulté pour stabiliser les demandes de ce dernier, la société Dual Media prouve par ses nombreuses réponses et sa réactivité avoir rempli son devoir de conseil, (…)</i>”. La Cour ne retient aucun manquement à l’encontre du prestataire et confirme donc le jugement du 7 octobre 2020. (3)<br /><br />Même en l’absence de cahier des charges exhaustif, le client doit pouvoir définir a minima la finalité du projet et ses attentes (exigences formelles par exemple) afin que le prestataire comprenne ses besoins. Les juges rappellent que si l’obligation de conseil à la charge du prestataire dépend des besoins et objectifs du client, ce dernier doit les exprimer précisément. Or, le prestataire ne pourra exécuter correctement son obligation si le client ne lui fournit pas les informations nécessaires afin de lui permettre de répondre au plus près à ses besoins.<br /><br />On rappellera, en toute logique, que ce type de contrat est soumis à une obligation de moyens de la part du prestataire. Il revenait donc au client de rapporter la preuve de manquements du prestataires à ses obligations, ce en quoi la société Oopet a échoué en l’espèce. (4)<br /><br /><br /> En conclusion, “agilité” n’est pas synonyme d’absence totale de formalisme. Au contraire, les parties se doivent d’être très impliquées dans le projet, de désigner des personnes aptes à conduire le projet et à prendre des décisions, côté prestataire mais aussi, côté client, et de suivre une méthodologie rigoureuse afin de garantir un résultat satisfaisant, tant pour le client (achèvement du projet) que pour le prestataire (recette des itérations et paiement des factures).<br /><br /> * * * * * * * * * * *<br /><br /><span style="font-size: x-small;">(1) Voir https://agilemanifesto.org/ <br /><br />(2) CA Paris, Pôle 5, ch. 11, 6 janvier 2023, Oopet c/ Dual Media Communication<br /><br />(3) T. com. Paris, 8é ch., jugement du 7 octobre 2020, Oopet c/ Dual Media Communication<br /><br />(4) Sur l’obligation de moyens dans un contrat Agile, voir T. com. Nanterre, 4ème ch., jugement du 24 juin 2016, Macif c. IGA Assurances, et CA Pau 2e ch., 19 Novembre 2018, Axiome Solution c/ Hors Limites 64</span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Mars 2023</span><br /><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-8260731201114841582023-02-24T19:06:00.013+01:002023-03-22T17:41:41.404+01:00 Contrefaçon ou liberté d’expression artistique : le créateur des NFT MetaBirkins condamné pour contrefaçon de marque<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBaBb6HYSbP7ZCfFjtgeHJrCZJ2inKdryI55BroIhTAlkC8-0DqJvdmkGtH69YDuoE1iOUjod9kydJBuPYHnq0LXVqzad2CglpV89LlWvkLM7maUEwajsZgc5oJwL6FHus4PakSWYsBVLtBkRXYzSQP4QmEMveulFAF3ES6uznekR-BA0phblLojPozg/s1020/NFT-Metavers-quels-sont-les-liens-1020x450.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="450" data-original-width="1020" height="141" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjBaBb6HYSbP7ZCfFjtgeHJrCZJ2inKdryI55BroIhTAlkC8-0DqJvdmkGtH69YDuoE1iOUjod9kydJBuPYHnq0LXVqzad2CglpV89LlWvkLM7maUEwajsZgc5oJwL6FHus4PakSWYsBVLtBkRXYzSQP4QmEMveulFAF3ES6uznekR-BA0phblLojPozg/s320/NFT-Metavers-quels-sont-les-liens-1020x450.jpg" width="320" /></a></div><p><span style="font-family: verdana;">Dans l’une des premières affaires relatives au droit des marques dans le métavers, le jury du tribunal du District Sud de New York vient de rendre une décision selon laquelle un artiste utilisant une marque associée à des NFTs, sans l’accord de ses ayants droit est coupable de contrefaçon. (1)</span></p><p><span style="font-family: verdana;"><br /><b>1. Les faits</b><br /><br />En 2021, l’artiste américain Mason Rothschild (de son vrai nom Sonny Estival) a fondé le studio Gasoline, spécialisé dans la création de “solutions” pour le Web3. (2) Il lance un premier projet dénommé “Baby Birkin”, une image numérique animée représentant un sac Hermès Birkin avec un foetus à l’intérieur, associé à un NFT (non-fungible token - jeton non-fongible). L’image a été vendue 23.500$. <br /><br />S’en est suivi un second projet, dénommé “MetaBirkins”, reprenant le modèle de sac Hermès Birkin en fausse fourrure de différentes couleurs. Cette image numérique, déclinée en 100 exemplaires aurait rapporté plus de 1,1 million de dollars à son créateur, selon Hermès. En parallèle, Mason Rothschild a enregistré le nom de domaine metabirkins.com. pour faire la promotion en ligne de la collection MetaBirkins, mise aux enchères sur des sites spécialisés dans la vente de NFTs.<br /><br />Or, l’artiste n’a pas demandé l’autorisation à la société Hermès d’utiliser ce modèle de sac emblématique de la maison Hermès, ni la marque associée, Birkin. <br /><br />En janvier 2022, la société Hermès a assigné l’artiste devant les tribunaux de New York pour contrefaçon du modèle de sac Birkin, de la marque associée, dilution de la marque Birkin et cybersquatting. Hermès demandait la cessation du projet, la récupération du nom de domaine metabirkins.com et le versement de dommages et intérêts.<br /><br /><b>2. Liberté créative vs contrefaçon de marque</b><br /><br />Selon Mason Rothschild, la demande de la société Hermès est irrecevable. Pour sa défense, il invoque le 1er amendement de la Constitution américaine, qui garantit la liberté d’expression, arguant que les NFTs litigieux seraient des oeuvres d’art dénonçant la maltraitance animale. L’artiste se justifie en faisant un parallèle avec les célèbres tableaux de boîtes de soupe Campbell d’Andy Warhol. <br /><br />Il invoque ensuite la jurisprudence Rogers vs Grimaldi, décision rendue en 1989 aux Etats-Unis, selon laquelle les utilisateurs d’une marque ne peuvent être poursuivis en contrefaçon, sous réserve que cette utilisation i) soit le fruit d’une expression artistique, et ii) n’induise pas expressément les consommateurs en erreur. (3)<br /><br />Les NFTs MetaBirkins seraient donc le résultat d’une expression artistique, au même titre que les tableaux de Warhol et les utilisateurs ne seraient pas trompés sur leur origine.<br /><br />Selon Hermès, la jurisprudence Rogers vs Grimaldi ne serait pas applicable à l’espèce. En effet, i) l’utilisation de la dénomination MetaBirkins pour désigner les NFTs n’est pas le résultat d’une expression artistique. Les NFTs MetaBirkins sont des actifs numériques, produits en 100 exemplaires. Il s’agirait d’une ligne de produits et non d’oeuvres d’art. La marque, et le nom de domaine, seraient utilisés non pas dans un cadre artistique mais au contraire, pour promouvoir une activité commerciale ; ii) l’utilisation de la marque, associée au modèle de sac peut induire le public en erreur sur l’origine de l’oeuvre.<br /><br />A ce titre, on notera qu’Hermès a assigné Mason Rothschild pour contrefaçon dans le cadre du projet MetaBirkins, reproduit à 100 exemplaires, et non sur le premier projet (Baby Birkin) produit en un exemplaire unique.<br /><br />En conséquence, les NFTs MetaBirkins ne peuvent bénéficier des règles plus favorables applicables aux créations artistiques, mais doivent au contraire être soumis à la réglementation applicable aux marques (Lanham Act). Or la reproduction d’une marque sans l’autorisation de ses ayants droit est une contrefaçon.<br /><br /><b>3. La décision</b><br /><br />Le 8 février 2023, le jury, chargé de rendre sa décision dans cette affaire, a suivi l’argumentaire de la société Hermès et condamné Mason Rothschild à hauteur de 110.000$ pour contrefaçon de marque et 23.000$ pour cybersquatting.<br /><br />Mason Rothschild a déclaré qu’il envisageait de faire appel de cette décision.<br /><br /><b>4. Les suites de l’affaire Hermès c. Mason Rothschild</b><br /><br />On notera en l’espèce que les marques Hermès et Birkin sont des marques notoires, qui bénéficient à ce titre d’une exception au principe de spécialité, applicable en droit français des marques. <br /><br />En effet, en application du principe de spécialité, une marque enregistrée n’est protégée que sur le territoire et pour les produits et/ou services désignés lors de l’enregistrement. Deux marques identiques ou similaires enregistrées dans différentes classes désignant des produits et/ou services distincts peuvent ainsi coexister. <br /><br />La marque Birkin n’était pas enregistrée dans les classes permettant sa protection contre la contrefaçon numérique. Cependant, compte tenu de sa renommée, elle a pu bénéficier de l’exception au principe de spécialité qui permet d’étendre la protection de la marque au-delà du périmètre formel de l’enregistrement. Hermès a d’ailleurs déposé la marque Birkin dans les classes 9, 35 et 41 auprès de l’Office américain des marques (USPTO) en août 2022.<br /><br />La question de la contrefaçon de marque par des NFTs reste donc posée pour les marques non notoires qui ne seraient pas enregistrées pour les produits et/ou services numériques. Il est donc recommandé, pour les produits et services susceptibles d’être utilisés dans le métavers, d’étendre l’enregistrement des marques aux classes permettant de protéger la marque dans l’environnement virtuel, telle que la classe 9 (selon la classification de Nice en vigueur). <br /><br />Ce principe de précaution doit être étendu aux noms de domaine. Là encore, pour les produits et services susceptibles d’être utilisés dans le métavers, il est recommandé d’enregistrer les noms de domaines comprenant les termes liés au web3 (blockchain, NFT, meta…) afin de prévenir le cybersquatting.<br /><br /><br /> Même si cette décision a été rendue par une juridiction américaine, elle est intéressante à plus d’un titre. Pour la première fois, une marque désignant un produit physique peut voir sa protection étendue à sa représentation numérique. Ainsi, sous réserve des développements judiciaires en appel et du développement de la jurisprudence en France, cette décision a le mérite de rappeler aux créateurs et aux utilisateurs qui souhaiteraient commercialiser des produits de marque virtuels dans le métavers, que le droit des marques est étendu à ces mondes virtuels.<br /><br />Enfin, les NFTs et les métavers ne sont pas ancrés dans un territoire géographique défini. Aujourd’hui régis par les CGU des plateformes et les smart contracts, il sera souhaitable d’encadrer ces contrats par un droit des actifs et des mondes virtuels homogène, malgré les différences entre les systèmes juridiques, afin de garantir un environnement social et économique stable, permettant à ces technologies innovantes de se développer de manière juridiquement sécurisée.<br /><br /> * * * * * * * * * * *<br /><br /><span style="font-size: x-small;">(1) Hermes International et al. v. Rothschild, Case No 1:22-CV-00384 (S.D.N.Y) 14 02 2023<br /><br />(2) Le web3, successeur du web 2.0 est défini comme un web décentralisé exploitant la blockchain.<br /><br />(3) Ginger Rogers vs Alberto Grimaldi, 875 F.2d 994 (2d Cir. 1989)</span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Février 2023</span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-21025638002831449802022-09-19T17:57:00.001+02:002022-09-19T17:57:29.606+02:00 Prévention de la diffusion de contenus terroristes en ligne : les nouvelles règles applicables<p style="text-align: justify;"><span style="font-size: small;"></span></p><div class="separator" style="clear: both; text-align: center;"><span style="font-size: small;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKYOSaYJ26TWQFRHTWGasph8IqEkVdi_mIxrRK_ScLw0EO9-ViWTz6qhJ0GJixBoBtneAq48yKDTKkVuSrRBQKyvgvz6epDkDZxHVpbsSYdj79R_33g8oDf7DpChESZeixnBfWuWSb9t_P2x3QD-3VoniO6KcuFQFjmVhEYRuIMkMASKXygbCukgYzAg/s500/cybercriminalite%CC%81.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="188" data-original-width="500" height="120" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgKYOSaYJ26TWQFRHTWGasph8IqEkVdi_mIxrRK_ScLw0EO9-ViWTz6qhJ0GJixBoBtneAq48yKDTKkVuSrRBQKyvgvz6epDkDZxHVpbsSYdj79R_33g8oDf7DpChESZeixnBfWuWSb9t_P2x3QD-3VoniO6KcuFQFjmVhEYRuIMkMASKXygbCukgYzAg/s320/cybercriminalite%CC%81.jpg" width="320" /></a></span></div><span style="font-size: small;"><br /><span style="font-family: verdana;">L’un des axes de la lutte anti-terroriste et contre la radicalisation porte sur la lutte contre la diffusion sur internet de contenus à caractère terroriste. L’Union européenne a renforcé sa réglementation en la matière avec l’adoption du règlement relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO”, le 29 avril 2021. (1)<br /><br />En France, après l’adoption de la loi du 24 août 2021, la réglementation relative à la lutte contre la diffusion de contenus terroristes en ligne vient d’être complétée par la loi du 16 août 2022. (2) <br /><br />Cette loi poursuit et complète l’adaptation du droit français à la lutte contre la diffusion de contenus terroristes suite à l’entrée en application du règlement européen le 7 juin 2022. la nouvelle réglementation précise les conditions relatives à la notification et au retrait des contenus à caractère terroriste, les sanctions applicables pour non-respect de l’obligation de retrait, et enfin, les recours ouverts aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait de contenus.<br /><br /><b><br />1. Les règles relatives au retrait des contenus à caractère terroriste</b><br /><br />La notion de “contenu à caractère terroriste” est précisément définie et les différents cas de figure listés dans le règlement comme “un ou plusieurs des types de matériel suivants, à savoir le matériel qui:<br /> a) incite à la commission de l’une des infractions visées à l’article 3, paragraphe 1, points a) à i), de la directive (UE) 2017/541, lorsque ce matériel prône la commission d’infractions terroristes, directement ou indirectement, par exemple en glorifiant les actes terroristes, entraînant ainsi le risque qu’une ou plusieurs de ces infractions soient commises ;<br /> b) sollicite une personne ou un groupe de personnes pour commettre l’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541, ou pour contribuer à la commission de l’une de ces infractions;<br /> c) sollicite une personne ou un groupe de personnes pour participer aux activités d’un groupe terroriste au sens de l’article 4, point b), de la directive (UE) 2017/541;<br /> d) fournit des instructions concernant la fabrication ou l’utilisation d’explosifs, d’armes à feu ou d’autres armes, ou de substances nocives ou dangereuses, ou concernant d’autres méthodes ou techniques spécifiques aux fins de commettre l’une des infractions terroristes visées à l’article 3 (…) de la directive (UE) 2017/541 ou de contribuer à la commission de l’une de ces infractions;<br /> e) constitue une menace quant à la commission d’une des infractions visées à l’article 3 (…) de la directive (UE) 2017/541.”<br /><br />L’article 6-1 de la LCEN, modifié par la loi du 24 août 2021 et entré en vigueur le 7 juin 2022, impose un délai très court - 24 heures - aux hébergeurs techniques et aux fournisseurs de contenus pour retirer ou bloquer les contenus à caractère terroriste. Ce délai court à compter de la réception d’une injonction de retrait de la part des autorités. En France, l’autorité compétente pour émettre les injonctions de retrait ou de blocage de contenus à caractère terroriste est l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication - OCLCTIC.<br /><br />Les injonctions de retrait doivent notamment être motivées et inclure l’URL exacte pour permettre aux destinataires d’accéder directement au contenu litigieux et prendre les mesures de suspension ou de blocage qui s’imposent.<br /> <br />Les fournisseurs de services d’hébergement destinataires d’une injonction de retrait informent l’autorité compétente du retrait ou du blocage du contenu en cause et des date et heure de cette action. <br /><br />Un modèle d’injonction de retrait et un modèle de réponse aux autorités figurent en annexe au règlement TCO.<br /><br />L’OCLCTIC peut par ailleurs communiquer les adresses électroniques dont les contenus auraient un caractère terroriste, aux moteurs de recherche ou aux annuaires pour que ces derniers désindexent lesdits contenus, notamment lorsque le retrait n’a pas été effectué dans les délais impartis.<br /><br />L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) est identifiée comme l’organisme compétent, par l’intermédiaire d’une personnalité qualifiée désignée en son sein, pour s’assurer notamment de la régularité des demandes de suppression et de déréférencement de contenus. <br /><br />L’Arcom est également en charge de recueillir auprès des hébergeurs les informations nécessaires au suivi de l’application de leur obligation de retrait ou de blocage et de les mettre en demeure de se conformer à leurs obligations de retrait ou de rétablissement éventuel de contenus litigieux<br /><br /><br /><b>2. Les sanctions applicables pour non-respect de l’obligation de retrait</b><br /><br />Ces dispositions sont complétées par les nouveaux articles 6-1-1 à 6-1-5 de la LCEN qui précisent les modalités pratiques de la mise en oeuvre des injonctions de retrait et notamment les sanctions pénales applicables pour non-respect de l’obligation de retrait ou de blocage de contenus à caractère terroriste.<br /><br />Le montant des sanctions est à la hauteur de l’enjeu de sécurité publique. En effet, l’absence de retrait ou de blocage d’un tel contenu par un hébergeur ou un éditeur de contenu dans le délai d’une heure à compter de la réception d’une injonction est punie d’un an d’emprisonnement et de 250.000 euros d’amende, ou 1.250.000 euros d’amende pour les personnes morales, qui peuvent par ailleurs être déclarées pénalement responsables. Lorsque cette infraction est commise “de manière habituelle” par une personne morale, l’amende peut atteindre 4% de son chiffre d’affaires mondial pour l’exercice N-1.<br /><br />En cas de non-respect de leurs obligations de diligence vis-à-vis de ces contenus, l’Arcom peut en outre prononcer une amende administrative à l’encontre des hébergeurs fautifs, pouvant atteindre 4% de leur chiffre d’affaires mondial pour l’exercice N-1. Le montant de la sanction prend en considération plusieurs critères d’appréciation, tels que la nature, la gravité et la durée du manquement, le caractère intentionnel ou négligent du manquement, son caractère répétitif ou non, la coopération de l’hébergeur avec les autorités compétentes, etc.<br /><br /><br /><b>3. Quels recours pour les hébergeurs et fournisseurs de contenus contre les injonctions de retrait de contenus ?</b><br /><br />La loi prévoit différentes voies de recours aux hébergeurs et fournisseurs de contenus pour contester une injonction de retrait.<br /><br />Les fournisseurs services d’hébergement et de contenus, ainsi que la personnalité qualifiée désignée par l’Arcom, peuvent demander l’annulation d’une injonction de retrait ou de blocage au président du tribunal administratif dans un délai de 48 heures à compter de sa réception par l’hébergeur, ou pour le fournisseur de contenu, à compter du moment où il a été informé du retrait du contenu par l’hébergeur.<br /><br />De même, les fournisseurs de service d’hébergement et de contenu peuvent demander à la juridiction administrative d’annuler la décision motivée de la personnalité qualifiée désignée par l’Arcom, dans un délai de 48 heures à compter de la notification de cette décision.<br /><br />Le président du tribunal administratif statue sur la légalité de l’injonction de retrait ou de la décision motivée dans les 72 heures de sa saisine.<br /><br /> La plateforme Pharos permet à toute personne de signaler les contenus illicites, et notamment les contenus à caractère terroriste. (3) Ces signalements sont ensuite traités par l’OCLCTIC qui peut demander aux hébergeurs et aux fournisseurs de contenus le retrait desdits contenus dans le délai de 24 heures, ou leur blocage par les fournisseurs d’accès et les moteurs de recherche. <br /><br />Selon les autorités, en 2021 l’OCLCTIC a prononcé près de 15.000 demandes de retrait auprès des hébergeurs et des fournisseurs de contenus.<br /><br /><br /> * * * * * * * * * * *<br /><br /><br /><span style="font-size: x-small;">(1) Règlement (UE) 2021/784 du Parlement européen et du Conseil du 29 avril 2021 relatif à la lutte contre la diffusion de contenus à caractère terroriste en ligne, ou règlement “TCO” (terrorist content online)<br /><br />(2) Loi n°2021-1109 du 24 août 2021 confortant le respect des principes de la République ; <br />Loi n°2022-1159 du 16 août 2022 portant diverses dispositions d'adaptation au droit de l'Union européenne en matière de prévention de la diffusion de contenus à caractère terroriste en ligne, codifiée aux articles 6-1-1 à 6-1-5 de la loi n°2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN)<br /><br />(3) Plateforme Pharos accessible à : <a href="https://www.internet-signalement.gouv.fr/PharosS1/">https://www.internet-signalement.gouv.fr/PharosS1/</a></span> <br /></span></span><p></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;"><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Septembre 2022 </span></span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-3088620709877333712022-05-23T14:41:00.000+02:002022-05-23T14:41:28.686+02:00Les cookie walls validés sous conditions par la CNIL <p style="text-align: justify;"><span style="font-family: verdana;"> </span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj6aeTzehihmnlfanzxNjVkx8ev0vgKvTwRXVFv2jO63n0f9KRdDHWN2kQk8l5_6KRf-UIqfk5r_DnPk20IPQGU3ywwLcZcuxaFRRWut4EBtThFT6Llu4yHNKoVSRpmB9oCowEQIl9wCZjBw_IhtCkRFmRp58aaEK-Hv6nV0xKRqLrvGq1g0F8r48puw/s299/Cookies.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="168" data-original-width="299" height="168" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhj6aeTzehihmnlfanzxNjVkx8ev0vgKvTwRXVFv2jO63n0f9KRdDHWN2kQk8l5_6KRf-UIqfk5r_DnPk20IPQGU3ywwLcZcuxaFRRWut4EBtThFT6Llu4yHNKoVSRpmB9oCowEQIl9wCZjBw_IhtCkRFmRp58aaEK-Hv6nV0xKRqLrvGq1g0F8r48puw/s1600/Cookies.jpg" width="299" /></a></div>Les règles d’utilisation des cookies doivent être mises à jour par le futur règlement e-privacy, qui n’est toujours pas adopté à ce jour. (1) Toutefois, l’utilisation des cookies est également régie par le RGPD, notamment en ce qui concerne les règles relatives au consentement des internautes.<br /><br />Suite à l’entrée en application du RGPD, qui a notamment renforcé l’obligation de recueil du consentement des internautes par les responsables du traitement, de nombreux sites web ont mis en place des “cookie walls” (ou “murs de traceurs”) afin d’assurer la perception de revenus publicitaires. L’accès à ces sites est ainsi subordonné soit à l’acceptation des cookies par l’internaute (notamment des cookies de ciblage publicitaire), soit à un paiement ponctuel ou via un abonnement en cas de refus des cookies par l’internaute.<br /><br />Le 4 juillet 2019, la CNIL a publié des lignes directrices relatives aux cookies et autres traceurs. Ces lignes directrices invalidaient les cookie walls, en précisant notamment que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies. Par la suite, le Conseil d’Etat dans sa décision du 19 juin 2020, a partiellement invalidé les lignes directrices de la CNIL concernant l’interdiction des cookie walls. (2)<br /><br />Dans une recommandation du 16 mai 2022, la CNIL vient de préciser les conditions de validité des cookie walls. (3)<br /><br /><br /><b>1. L’existence d’alternatives réelles et satisfaisantes</b><br /><br />Dans sa recommandation du 16 mai 2022, la CNIL propose des critères d’évaluation pour apprécier la légalité des cookie walls. Comme précisé par le Conseil d’Etat dans sa décision du 19 juin 2020, ces critères doivent prendre en compte l’existence d’alternatives réelles et satisfaisantes en cas de refus des cookies par l’internaute. <br /><br />Ainsi, l’éditeur qui met en place un cookie wall doit s’assurer que l’internaute qui refuse les cookies dispose d’une d’alternative réelle et équitable, soit pour accéder au site, soit parce qu’il existe un autre site, facile d’accès et sans cookie wall, proposant un contenu similaire.<br /><br />L’alternative serait inexistante en cas d’exclusivité de l’éditeur sur les contenus ou services proposés, ou lorsqu’il n’y a pas ou peu d’alternatives au service.<br /><br /><br /><b>2. Le caractère raisonnable de l’accès payant</b><br /><br />Quant au prix à payer pour accéder au contenu en cas de refus des cookies, cette contrepartie payante (ou “pay wall”) est soumise à l’évaluation du caractère raisonnable du tarif imposé à l’internaute. Le caractère “raisonnable” du tarif, qui n’est pas fixé par la CNIL, doit être justifié par l’éditeur du site. <br /><br />La CNIL précise par ailleurs qu’en principe, aucun cookie ne doit être déposé en cas d’accès payant, hormis ceux nécessaires au fonctionnement du site et ceux qui pourraient être imposés pour accéder à un contenu ou service tiers (par exemple, vidéo hébergée sur un site tiers ou boutons de partage sur les réseaux sociaux).<br /><br />L’analyse de l’existence d’alternatives réelles et du caractère raisonnable du tarif de l’accès au site est réalisée au cas par cas.<br /><br /><br /> La collecte de données personnelles via un cookie wall, impliquant l’acceptation des cookies ou un accès payant au site web, doit en tout état de cause être conforme aux exigences fixées par le RGPD : recueil du consentement de l’internaute, transparence quant aux données collectées et à la finalité (ou aux finalités) du traitement, minimisation des données collectées par le responsable du traitement.<br /><br /><p></p><p style="text-align: center;"><span style="font-family: verdana;">* * * * * * * * * * *<br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;"><span style="font-size: x-small;">(1) <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=FR" target="_blank">P</a><a href="https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:52017PC0010&from=FR">roposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)</a><br /><br />(2) <a href="https://www.conseil-etat.fr/fr/arianeweb/CE/decision/2020-06-19/434684" target="_blank">Conseil d’Etat, décision du 19 juin 2020 sur les lignes directrices relatives aux cookies et autres traceurs</a><br /><br />(3) <a href="https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookie-walls/la-cnil-publie-des-premiers-criteres-devaluation" target="_blank">“Cookie walls : la CNIL publie des premiers critères d’évaluation”</a></span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Mai 2022 </span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-19205225826561570302022-04-19T10:00:00.002+02:002022-04-19T16:03:48.480+02:00 Google Ads : confirmation de la condamnation de Google pour abus de position dominante<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvkDbNcHsGYZ66nk2CwkiQU3aTQ2FLGIJ8WnvZ2uuSePRX-L05AaimySNucBjMxybXerZlvQpvQ3GMN4F9FyJ20Kaz1o8mOYb5g1H21wFfGXxVKHCldrvo1LzD8s_ROjDApI_ieWG71ojmrTmJJSReZepPCpAWGRrdzkC83NCFdlyQJzTK3WLXGz6YuA/s500/logo-google-ads.png" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="157" data-original-width="500" height="100" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjvkDbNcHsGYZ66nk2CwkiQU3aTQ2FLGIJ8WnvZ2uuSePRX-L05AaimySNucBjMxybXerZlvQpvQ3GMN4F9FyJ20Kaz1o8mOYb5g1H21wFfGXxVKHCldrvo1LzD8s_ROjDApI_ieWG71ojmrTmJJSReZepPCpAWGRrdzkC83NCFdlyQJzTK3WLXGz6YuA/s320/logo-google-ads.png" width="320" /></a><span style="font-family: verdana;"> </span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: verdana;">Dans un arrêt du 7 avril 2022, la Cour d’appel de Paris a confirmé la décision rendue par l’Autorité de la concurrence en date du 19 décembre 2019 ayant condamné la société Google à une amende de 150.000 euros pour abus de position dominante sur le marché de la publicité en ligne et enjoint Google de clarifier la rédaction des règles de fonctionnement de Google Ads ainsi que la procédure de suspension des comptes des annonceurs. (1) Nous rappelons ci-après les conditions d’utilisation du service Google Ads, la notion d’abus de position dominante et la situation de Google sur le marché de la publicité en ligne, ayant justifié cette décision.</span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: verdana;"> </span></div><div class="separator" style="clear: both; text-align: justify;"><span style="font-family: verdana;"> </span></div><div class="separator" style="clear: both; text-align: center;"><i><span style="font-family: verdana;"><b>Ce qu’il faut retenir :</b></span></i></div><div class="separator" style="clear: both; text-align: center;"><i><span style="font-family: verdana;"><b> </b><br /></span></i></div><div class="separator" style="clear: both; text-align: justify;"><i><span style="font-family: verdana;">Selon l’Autorité de la concurrence, Google détient une position “ultra-dominante” sur le marché français de la publicité en ligne liée aux recherches. <br /><br />L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant ou interdisant l’utilisation de son service Google Ads pour des produits et services licites à des fins de protection des consommateurs. Toutefois, ces règles doivent être définies de manière claire et être appliquées de manière objective, transparente et non-discriminatoire. </span></i><br /></div><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"><br /><b>1. Les conditions d’utilisation du service Google Ads</b><br /><br />Le service Google Ads (dénommé AdWords jusqu’en juillet 2018) est une régie publicitaire proposée par la société Google qui permet aux annonceurs “d’acheter” des mots-clés qui déclencheront l’affichage de leurs annonces publicitaires lorsque les internautes saisiront ces mots-clés. Ces annonces sont identifiées sur Google comme annonces publicitaires, publicités ou annonces sponsorisées. Les annonceurs paient, selon un système d’enchère sur les mots-clés sélectionnés, lorsqu’un utilisateur clique sur l’annonce.<br /><br />L’utilisation du service Google Ads est soumise aux Conditions générales de publicité de la société Google, complétées par des règles applicables à certaines catégories de produits et de services.<br /><b><br /> 1.1 Les Conditions générales de publicité de Google</b><br /><br />Lorsqu’un annonceur (ou une agence) s’inscrit sur le service Google Ads, il doit accepter les Conditions générales de publicité de Google qui régissent leurs relations contractuelles. <br /><br />L’article 1, “Programmes” décrit les conditions d’inscription aux différents services publicitaires de Google, dont Google Ads. Cet article stipule notamment que “Google et ses Partenaires peuvent refuser ou retirer une Publicité, Cible ou Destination spécifique à tout moment”. <br /><br />L’article 3, “Politiques” stipule que “le Client (l’annonceur)est seul responsable de l’utilisation des Programmes. (…) L’Utilisation par le Client des Programmes est soumise aux politiques et règlements de Google (…) et à l’ensemble des autres politiques mises à la disposition du Client par Google (…)”.<br /><br /><b> 1.2 Les règlements régissant l’utilisation de Google Ads</b><br /><br />Les Conditions générales de publicité sont complétées par des règlements (ou règles) qui limitent ou interdisent l’utilisation de Google Ads par les annonceurs.<br /><br />Ces règles sont organisées en quatre groupes : <br /></span><ol style="text-align: left;"><li><span style="font-family: verdana;">les contenus interdits (par exemple les annonces pour des produits ou services dangereux, ou pour incitation à un comportement malhonnête) ;</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">les pratiques interdites (par exemple l’utilisation abusive du réseau publicitaire, ou les annonces comprenant des déclarations trompeuses) ; </span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">les contenus et fonctionnalités soumis à des restrictions (par exemple les annonces pour des contenus à caractère sexuel, alcools, jeux d’argent et de hasard) ; et </span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">les règles d’exigence éditoriales et techniques.</span><br /></li></ol><span style="font-family: verdana;">Google identifie certains produits et services licites mais “propices à des abus” et présentant un risque déraisonnable pour la sécurité des internautes. Les annonces pour ces produits et services sont donc interdites par Google, afin de protéger les consommateurs et éviter les abus.<br /><br /><br /><b>2. L’abus de position dominante</b><br /><br />L’abus de position dominante est prohibé tant par le droit européen que par le droit français.<br /><br />L’article L.420-2 al.1 du Code de commerce dispose qu’ “Est prohibée, (…) l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché intérieur ou une partie substantielle de celui-ci. Ces abus peuvent notamment consister en refus de vente (…) ainsi que dans la rupture de relations commerciales établies, au seul motif que le partenaire refuse de se soumettre à des conditions commerciales injustifiées.”<br /><br />L’existence d’une situation de position dominante n’est pas répréhensible en soi. Toutefois, l’entreprise en situation de position dominante doit être particulièrement attentive au respect de la concurrence et au traitement non discriminatoire de ses clients et utilisateurs. Deux conditions doivent être réunies pour que la position dominante soit considérée comme répréhensible : 1) l’existence d’une position dominante, et 2) son exploitation abusive.<br /><br />La position dominante s’analyse par rapport au pouvoir détenu par une entreprise sur un “marché pertinent” où agissent plusieurs concurrents. Selon la jurisprudence, l’existence d’une position dominante impose à l’entreprise concernée la responsabilité de ne pas porter atteinte par son comportement à une concurrence effective et non faussée. <br /><br /><br /><b>3. La situation de Google sur le marché de la publicité en ligne et l’affaire Gibmedia</b><br /><br />La société Gibmedia avait saisi l’Autorité de la concurrence courant 2018 pour abus de position dominante de la part de Google sur le marché de la publicité en ligne. <br /><br />Gibmedia édite plusieurs sites d’informations, dont les sites pages-annuaire.net et annuaire-inverse.net. A la suite de la suspension sans préavis de son compte Google Ads, la société Gibmedia a saisi l’Autorité pour pratiques anticoncurrentielles au motif que la procédure suivie par Google et les raisons de la suspension n’étaient pas objectifs, transparents, et non-discriminatoires.<br /><br />Gibmedia estime que Google a abusé de sa position dominante sur le marché de la publicité en ligne en adoptant des règles de fonctionnement de sa plateforme Google Ads opaques et difficilement compréhensibles, et en les appliquant de manière inéquitable et aléatoire.<br /><br /><b> 3.1 La position ultra-dominante de Google</b><br /><br />En l’espèce, le marché pertinent consiste en la publicité en ligne liée aux recherches, sur le marché français. Selon l’Autorité de la concurrence, Google détient une position dominante sur ce marché. L’Autorité qualifie même cette situation comme présentant des caractéristiques “extraordinaires”, notamment dans la mesure où son moteur de recherche totalise plus de 90% des recherches effectuées en France et sa part de marché de la publicité en ligne liée aux recherches serait supérieure à 90%.<br /><br />En outre, selon l’Autorité, la plateforme Google Ads a une nature “biface” : d’un côté, utilisée par 90% des internautes en France ; de l’autre bénéficiant d’une dynamique très forte auprès des annonceurs, aboutissant ainsi à une position ultra-dominante.<br /><br />Cette position sur le marché de la publicité en ligne impose une responsabilité particulière de Google en matière de respect des règles de concurrence, et particulièrement dans la mise en oeuvre des règles qui régissent l’utilisation de Google Ads.<br /><br />Même si l’Autorité ne va pas jusqu’à reconnaître un abus de dépendance économique entre les sociétés Google et Gibmedia, elle relève que d’une manière générale, compte tenu de cette situation d’ultra-dominance, “la position des annonceurs à l’égard de l’offre de Google est (…) particulièrement contrainte”.<br /><br /> <b> 3.2 Des règles Google Ads qui manquent de clarté </b><br /><br />L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant l’utilisation de son service Google Ads à des fins de protection des consommateurs. Ces règles doivent être définies de manière claire et appliquées de manière objective, transparente et non-discriminatoire. Cet objectif ne saurait cependant justifier que Google traite de manière différenciée et aléatoire des acteurs dans des situations comparables. Google ne peut pas suspendre le compte d’un annonceur au motif qu’il proposerait des services qu’elle estime contraire aux intérêts du consommateur, tout en acceptant de référencer et d’accompagner sur sa plateforme publicitaire des sites qui vendent des services similaires.<br /><br />Or, l’Autorité relève que les règles applicables aux annonceurs sont :<br /></span><p></p><ul style="text-align: left;"><li><span style="font-family: verdana;">imprécises et confuses dans leur formulation et leur interprétation,</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">sujettes à de nombreuses modifications par Google sans que les annonceurs en soient informés,</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">soumises à des changements de position dans leur interprétation, créant une situation d’instabilité et d’insécurité juridique et économique pour les annonceurs,</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">appliquées de manière discriminatoire : plusieurs sites ont été suspendus alors que d’autres, aux contenus ou services similaires, ne l’étaient pas.</span><br /></li></ul><p style="text-align: justify;"><span style="font-family: verdana;">L’Autorité a prononcé à l’encontre de Google une sanction de 150 millions d’euros et ordonné à Google de :<br /><span> </span>- clarifier la rédaction des Règles de Google Ads, <br /><span> </span>- clarifier les procédures de suspension des comptes afin d’éviter que celles-ci ne revêtent un caractère brutal et injustifié, <br /><span> </span>- et mettre en place des procédures d’alerte, de prévention, de détection et de traitement des manquements à ses Règles, afin que les mesures de suspension de sites ou de comptes Google Ads soient strictement nécessaires et proportionnées à l’objectif de protection des consommateurs.<br /><br /><br /> La décision Gibmedia de l’Autorité de la concurrence, confirmée par la Cour d’appel de Paris est dans la droite ligne de la jurisprudence de l’Autorité. (2) Ainsi, dans l’affaire Amadeus, datant de janvier 2019, l’Autorité rappelait déjà que Google est libre de déterminer sa politique de contenus, mais ces règles doivent être suffisamment intelligibles pour les acteurs économiques et s’appliquer dans des conditions objectives, transparentes et non-discriminatoires afin que tous les annonceurs d’un même secteur soient traités sur un pied d’égalité. <br /><br />Depuis cette dernière décision, Google a clarifié une partie des règles applicables au service Google Ads.<br /><br /><br /> * * * * * * * * * * *<br /><br />(1) CA Paris, 7 avril 2022, Google Ireland Ltd c. GibMedia ; Aut. Conc. déc. n°19-D-26, 19 décembre 2019, GibMedia<br /><br />(2) Voir les décisions Navx - Aut. conc. déc. n°10-MC-01, 30 juin 2010 et Aut. conc. déc. n°10-D-30, 28 octobre 2010, et Amadeus - Aut. conc. déc. n°19-MC-01, 31 janvier 2019<br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Avril 2022 </span><br /></p><p style="text-align: left;"><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-36655131271891684162022-04-13T17:10:00.002+02:002022-04-21T15:29:51.397+02:00 DSA : Proposition de règlement sur les services numériques pour encadrer les fournisseurs de services en ligne<div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRxrJ1cpUwt_9HCeQXI0XYDfmESTrcmsYrx0JI5GE-7YvF_o8GWWgob-gb-S0BwMyXdWhIX6O3IHgcQqp8OZXPrguoEKqK8-u_HzG-dOcsxYGFyI3NKFKt0KDLJDQCI0sFW-VlJ-I8cY4YS_mwZ6Clw_lGbdIxsUKzujL3FETLhYlIM2PhSbtIOlQEMw/s1950/Online%20services.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="550" data-original-width="1950" height="90" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhRxrJ1cpUwt_9HCeQXI0XYDfmESTrcmsYrx0JI5GE-7YvF_o8GWWgob-gb-S0BwMyXdWhIX6O3IHgcQqp8OZXPrguoEKqK8-u_HzG-dOcsxYGFyI3NKFKt0KDLJDQCI0sFW-VlJ-I8cY4YS_mwZ6Clw_lGbdIxsUKzujL3FETLhYlIM2PhSbtIOlQEMw/s320/Online%20services.jpg" width="320" /></a></div><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;">Le droit européen du numérique est sur le point d’être profondément réformé avec l’adoption dans les semaines à venir du Règlement sur les marchés numériques (Digital Markets Act - DMA) puis du Règlement sur les services numériques (Digital Services Act - DSA), pour une entrée en vigueur qui devrait intervenir début 2023. Un accord sur le texte définitif du DMA a été trouvé à l’issue du trilogue entre des représentants du Parlement, du Conseil et de la Commission le 24 mars. Le DSA est également en cours de discussions finales. (1)</span></span><br /><span style="font-size: small;"><span style="font-family: verdana;"><br />Ces deux textes ayant des objectifs distincts, nous avons présenté le DMA dans un premier <a href="https://dwavocat.blogspot.com/2022/02/proposition-de-reglement-sur-les.html" target="_blank">article</a> et présentons les principales dispositions du DSA ci-après.</span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;"> </span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;"></span></span></p><p style="text-align: center;"><i><span style="font-size: small;"><span style="font-family: verdana;"><b>Ce qu’il faut retenir</b><br /></span></span></i></p><p style="text-align: justify;"><i><span style="font-size: small;"><span style="font-family: verdana;">L’objectif du DSA est de réguler les fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin d’améliorer la lutte contre les contenus illicites et la propagation de fausses informations. </span></span></i></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;"><i>Les règles de responsabilité des “intermédiaires en ligne” ne sont pas profondément modifiées mais sont aménagées pour prendre en compte l’évolution des services numériques et harmoniser la réglementation dans l’Union européenne.<br /><br />Le DSA prévoit la mise en place de nouvelles procédures de contrôle avec un système de modération des contenus par les plateformes plus transparent, une meilleure identification des vendeurs professionnels par les plateformes, ainsi que des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne<br /><br />Enfin, de nouvelles autorités de contrôle seraient créées au niveau des Etats-membres et au niveau communautaire (Comité européen des services numériques - CESN).<br /></i><br /><br /><b>1. Objectif et champ d’application du DSA </b><br /><br />Le champ d’application du DSA est plus étendu que le DMA, puisqu’il concerne un large éventail de fournisseurs de services “intermédiaires” en ligne, alors que le DMA se concentre principalement sur les GAFAM (les “contrôleurs d’accès”). (2)<br /><br />Depuis plusieurs années, la Commission européenne et les tribunaux nationaux tentent d’imposer aux fournisseurs de services en ligne un meilleur contrôle des contenus et produits illicites diffusés et vendus par leur intermédiaire. Jusqu’à présent, les avancées sont restées très limitées, les fournisseurs de services concernés se retranchant derrière la règlementation en vigueur dans leur propre juridiction ou dans l’Union européenne.<br /><br />L’objectif du DSA est de réguler les fournisseurs de services numériques, ou fournisseurs de services “intermédiaires en ligne”, en leur imposant de nouvelles obligations de transparence et de diligence, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations et in fine, améliorer la qualité des contenus et la confiance des utilisateurs. Ces nouvelles obligations seront cependant adaptées en fonction de la taille du fournisseur de services concerné.<br /><br />Les contours de la responsabilité des “intermédiaires en ligne” sont redéfinis afin d’améliorer et d’harmoniser la lutte contre les contenus et les produits contrefaisants et illicites (services et produits contrefaisants, contenus à caractère haineux, pédopornographique, terroriste, fausses informations), accessibles en ligne.<br /><br />Les fournisseurs de services intermédiaires couverts par le DSA recouvrent plusieurs catégories de prestataires de services complémentaires, depuis :<br /> - les fournisseurs de services de “simple transport”, tels que les fournisseurs de services internet,<br /> - les fournisseurs de services de “mise en cache”, consistant à transmettre des informations fournies par un bénéficiaire du service, impliquant le stockage automatique, intermédiaire et temporaire de cette information, dans le but de rendre plus efficace la transmission ultérieure de l’information à la demande d’autres bénéficiaires, et enfin<br /> - les fournisseurs de services d’”hébergement” comprenant notamment les services cloud, les plateformes d’applications (app stores), plateformes de partage de contenus et d’intermédiation, places de marché, réseaux sociaux, etc.<br /><br />Des discussions sont en cours pour inclure les moteurs de recherche dans le champ du DSA.<br /><br /><br /><b>2. Un ajustement du régime de responsabilité des fournisseurs de services </b><br /><br />Actuellement, le régime de responsabilité applicable aux acteurs de l’internet est binaire. Hormis les fournisseurs d’accès à internet et les fournisseurs de services de mise en cache qui ne sont pas en principe responsables des contenus, les sites web tels que les sites de e-commerce ou les sites d’information, sont globalement soumis au régime des éditeurs, responsables du contenu qu’ils mettent en ligne. D’autre part, les hébergeur techniques, qui hébergent des contenus tiers, mis en ligne par les utilisateurs du service sont soumis à un régime de responsabilité atténuée. Non soumis à une obligation générale de surveillance des contenus hébergés, leur responsabilité est limitée au retrait des contenus manifestement illicites, suite à leur notification par un tiers ou imposé par un juge. <br /><br />Le DSA ne modifie pas fondamentalement ce système de responsabilité, défini par la directive commerce électronique de juin 2000 (3), mais l’aménage afin de prendre en compte l’évolution des services numériques et d’harmoniser la réglementation dans l’Union européenne.<br /><br />Ainsi, les fournisseurs de services intermédiaires restent soumis à un régime de responsabilité aménagé pour les contenus mis en ligne par leurs utilisateurs. Comme dans la réglementation actuelle, ces services ne sont pas soumis à une obligation générale de surveillance des contenus, ni de recherche active des faits. (Art. 7 et s. DSA) La notification de contenus illicites aux fournisseurs de services d’hébergement devra être suffisamment précise et dûment motivée. La réception de ces notifications par les hébergeurs signifie qu’il prennent connaissance du caractère illicite du contenu notifié et qu’ils doivent alors traiter ces notifications “en temps opportun, de manière diligente et objective”. (art 14 et s.)<br /><br />Les fournisseurs de services intermédiaires devront désigner un point de contact unique pour permettre une communication directe avec les autorités des Etats-membres, la Commission et le Comité européen des services numériques. Si le fournisseur de services ne dispose pas d’établissement au sein de l’UE, il devra alors nommer un représentant dans l’un des Etats-membres comme point de contact avec les autorités. (art. 10)<br /><br /><br /><b>3. La mise en place de nouvelles procédures de contrôle</b> <br /><br /> <b> 3.1 Un système de modération des contenus par les plateformes plus transparent</b> </span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;">La Commission européenne souhaite établir un contrôle plus strict des règles de modération des contenus par les plateformes pour assurer un traitement non arbitraire et non discriminatoire des contenus supprimés, et plus de transparence sur le fonctionnement des algorithmes utilisés pour identifier et supprimer les contenus illicites et les fausses informations (“infox”). <br /><br />A cette fin, les plateformes devront publier un rapport annuel “clair, transparent et facilement compréhensible”, détaillant leur activité en matière de modération des contenus. (art. 13) Les micro-entreprises et PME seraient toutefois exemptées de cette obligation.<br /><br /> <b> 3.2 Une meilleure identification des vendeurs professionnels par les plateformes</b> </span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;">Le renforcement de la sécurité des produits et services proposés à la vente passe par l’amélioration de l’identification, et de la traçabilité des vendeurs professionnels par les plateformes. <br /><br />A cette fin, le DSA prévoit la mise en place d’un système de connaissance du client commercial (professionnel) par les fournisseurs de services, dont les places de marché. Ce système de “KYBC” (Know Your Business Customer), déjà utilisé dans d’autres secteurs de l’économie, consistera pour les fournisseurs de services, à collecter une série d’informations plus étendue concernant les vendeurs professionnels dont leurs coordonnées (nom, adresse, etc.), un extrait Kbis ou équivalent et une déclaration par laquelle le professionnel s’engage à ne fournir que des produits ou services licites et conformes aux règles communautaires. <br /><br />Ces informations, qui devront être contrôlées par les fournisseurs de services, ont pour objet de responsabiliser les vendeurs professionnels, à renforcer la protection et la confiance des consommateurs, et enfin à faciliter les poursuites judiciaires en cas de vente de produits ou services illicites ou contrefaisants. (art. 22)<br /><br /> <b> 3.3 La création de nouvelles autorités de contrôle</b><br /></span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;">Au niveau national, la mise en oeuvre des obligations imposées par le DSA et le suivi de la conformité des fournisseurs de services seront contrôlés par de nouvelles autorités compétentes, les coordinateurs pour les services numériques, sauf si l’État membre concerné a assigné certaines missions ou certains secteurs spécifiques à d’autres autorités compétentes. (art. 38 s.)<br /><br />Un Comité européen des services numériques (CESN) est créé avec pour mission d’assurer la surveillance des fournisseurs de services intermédiaires et de conseiller les coordinateurs pour les services numériques et la Commission. (art. 47 s.)<br /><br /><br /><b>4. Des règles de prévention et de transparence spécifiques pour les “très grandes plateformes” en ligne (TGPF)</b><br /><br />La définition des très grandes plateformes en ligne diffère de celle des contrôleurs d’accès du DMA. Les très grandes plateformes (“TGPF” ou “VLOP”) sont les plateformes disposant de plus de 45 millions de membres actifs dans l’Union européenne. (art. 25) Ce seuil, représentant 10% de la population de l’UE, sera adapté en fonction de son évolution.<br /><br />Ces très grandes plateformes seront tenues à une série d’obligations supplémentaires pour prendre en compte les risques systémiques posés par leur taille pour les conséquences notamment, de la dissémination de fausses informations. <br /><br />Parmi ces obligations, on retiendra notamment l’établissement d’un rapport annuel d’évaluation des risques ainsi que la réalisation d’audits indépendants. (art. 26 et 27)<br /><br />Le rapport annuel d’évaluation des risques porte sur le fonctionnement et l’utilisation de leurs services au sein de l’UE, y compris la diffusion de contenus illicites par leur intermédiaire, et les effets négatifs pour l’exercice des droits fondamentaux (respect de la vie privée, liberté d’expression et d’information, interdiction de la discrimination, droits de l’enfant).<br /><br />Des audits indépendants devront être organisés au moins une fois par an pour évaluer le respect de leurs obligations et des engagements pris en vertu de codes de conduite. <br /><br />Les très grandes plateformes devront également mettre en place de mesures d’atténuation des risques (mitigation), adaptées aux risques systémiques identifiés et seront soumises à une obligation de transparence des systèmes de recommandations (algorithmes).<br /><br />Enfin, les très grandes plateformes devront désigner un ou plusieurs responsables de la conformité dans l’Union européenne, en charge de contrôler le respect du règlement. (art. 32)<br /><br />Une liste des très grandes plateformes sera publiée et actualisée afin d’en permettre une identification claire.<br /><br /><br /><b>5. Des sanctions dissuasives </b><br /><br />Deux régimes de sanctions sont prévus par le DSA suivant qu’elles s’appliquent aux fournisseurs de services intermédiaires ou aux très grandes plateformes.<br /><br />Concernant les fournisseurs de services intermédiaires, le montant maximum des amendes pouvant être imposées par les coordinateurs pour les services numériques ou les tribunaux doit être fixé par chaque Etat-membre, sans pouvoir dépasser 6% des revenus ou du chiffre d’affaires annuel du fournisseur de services en cas de non conformité au DSA, ou 1% des revenus ou du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés. (art. 42)<br /><br />Concernant les très grandes plateformes, les amendes pourront atteindre jusqu’à 6% du chiffre d’affaires annuel réalisé par la très grande plateforme au cours de l’exercice précédent en cas de non conformité au DSA, ou 1% du chiffre d’affaires annuel en cas de fourniture de renseignements inexacts, incomplets ou dénaturés, en réponse à une demande de la Commission. (art. 59)<br /></span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;"><b><br />6. Les modifications apportées par le Parlement européen</b><br /><br />Lors de l’examen du DSA par le Parlement européen, les députés ont introduit quelques modifications au projet de règlement. Celles-ci comprennent notamment: <br /> - une exemption d’application du DSA par les micro et petites entreprises<br /> - un renforcement des règles relatives à la publicité ciblée, dont l’interdiction des techniques de ciblage et d’amplification comprenant des données de mineurs pour l’affichage de publicités et l’interdiction du ciblage publicitaire de certains groupes de personnes en fonction de leur orientation sexuelle, un handicap, la race, etc.<br /> - la possibilité pour les destinataires des services numériques et les organisations représentatives de poursuivre les plateformes qui ne respectent pas les dispositions du DSA.<br /><br /><br /> Certains principes et procédés figurant dans le DSA rappellent le RGPD, tels que l’obligation de désigner un représentant dans l’Union européenne, de désigner un responsable de la conformité (similaire au DPO en matière de protection des données) pour les très grandes plateformes, la création de coordinateurs pour les services numériques (similaire aux autorités de contrôle du RGPD - tels la CNIL), et du Comité européen des services numériques (CESN - similaire au CEPD du RGPD). On notera également le souhait d certains députés européens de porter le montant maximum des amendes de 6 à 10% du chiffre d’affaires annuel des fournisseurs de services pour être en ligne avec le RGPD.<br /><br />Le projet de DSA risque de subir quelques dernières modifications avant son adoption définitive.<br /><br /><br /> * * * * * * * * * * *<br /><br /><span style="font-size: x-small;">(1) Proposition de règlement du Parlement européen et du Conseil relatif à un marché intérieur des services numériques modifiant la directive 2000/31/CE (Digital Services Act - DSA)<br /><br />(2) Google, Amazon, Facebook (Meta), Apple, Microsoft<br /><br />(3) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)</span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Avril 2022 </span></span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-45079116757452142412022-02-07T15:55:00.005+01:002022-04-21T15:30:15.439+02:00 DMA : Proposition de règlement sur les marchés numériques pour encadrer les “contrôleurs d’accès”<p style="text-align: left;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEifDAa9nj_5IiRxLAaLnWnJSXsyMBpsD4WgM_YKUFhVSo3rEJ2q3THisJkXTWFbjWGFJm80Q4okqi0i5pGs_bXCDbnyiAiU1Qkk_O1qepSBpTW9YzSl6Ru06yp1IniWX-djIajtcd0ShVSRZlSOvqjl7HTDnEaxajE8dbLkAzjBA6ftV3zK2Vpd73ISmQ=s250" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="232" data-original-width="250" height="205" src="https://blogger.googleusercontent.com/img/a/AVvXsEifDAa9nj_5IiRxLAaLnWnJSXsyMBpsD4WgM_YKUFhVSo3rEJ2q3THisJkXTWFbjWGFJm80Q4okqi0i5pGs_bXCDbnyiAiU1Qkk_O1qepSBpTW9YzSl6Ru06yp1IniWX-djIajtcd0ShVSRZlSOvqjl7HTDnEaxajE8dbLkAzjBA6ftV3zK2Vpd73ISmQ=w221-h205" width="221" /></a></div><p><br /></p><p style="text-align: justify;"><span style="font-family: verdana;">La réforme européenne du droit du numérique vient de passer une étape décisive avec le vote, par le Parlement européen, de la proposition de Règlement sur les marchés numériques (Digital Markets Act - DMA) le 15 décembre 2021, suivi du vote de la proposition de Règlement sur les services numériques (Digital Services Act - DSA) le 20 janvier 2022. Ces deux projets de règlements passent maintenant par l’étape d’un trilogue entre des représentants du Parlement, du Conseil et de la Commission afin de parvenir à un accord sur le texte définitif, pour une entrée en application probablement début 2023. (1)</span><span style="font-family: verdana;"> </span></p><p style="text-align: justify;"><span style="font-family: verdana;">L’objectif de cette réforme d’envergure est double : réguler le fonctionnement des marchés numériques, et plus particulièrement, le rôle des “contrôleurs d’accès” (ou “gatekeepers”), dont les GAFAM, qui jouent un rôle dominant sur le marché, et réguler les services numériques, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations.<br /><br />Dans ce premier article, nous nous concentrons sur le DMA. Un second article suivra afin de présenter le DSA, ces deux textes ayant des objectifs distincts.<br /></span></p><p style="text-align: left;"><span style="font-family: verdana;"><br /></span></p><p style="text-align: center;"><i><span style="font-family: verdana;"><b>Ce qu’il faut retenir</b><br /></span></i></p><p style="text-align: justify;"><i><span style="font-family: verdana;">Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.<br /><br />Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès. </span></i><br /></p><p><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"></span><br /></p><p style="text-align: justify;"><b><span style="font-family: verdana;">1. Le DMA - ou la régulation des contrôleurs d’accès</span><br /><span style="font-family: verdana;"></span></b><br /><span style="font-family: verdana;">Selon l’exposé des motifs du DMA, “<i>Certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes</i>.”</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Ainsi, le DMA a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés. Alors qu’il existerait plus de 10.000 plateformes actives sur le marché communautaire, seul un petit nombre d’entre elles captent la plus grande part de la valeur générée.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Suivant le constat des régulateurs, ces plateformes ont atteint une taille telle qu’elles ont rendu les utilisateurs - consommateurs et entreprises, dépendants de leurs services. Elles se positionnent ainsi en tant que régulateurs privés pouvant imposer des conditions inéquitables aux entreprises et aux consommateurs (services captifs, blocage de l’accès aux données générées en ligne par les entreprises, etc.) et imposent des barrières à l’entrée à leurs concurrents potentiels, qui ne peuvent avoir accès au marché. En effet, les contrôleurs d’accès, par leur taille, ont acquis une situation dominante, présentant des risques pour les droits des utilisateurs, personnes physiques et morales. </span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"></span><br /><b><span style="font-family: verdana;">2. Plateformes essentielles et contrôleurs d’accès</span><br /><span style="font-family: verdana;"></span></b><br /><span style="font-family: verdana;">Le DMA vise plus particulièrement les services de plateforme essentiels (les contrôleurs d’accès ou certains services qu’ils proposent). Ces services de plateforme essentiels recouvrent les services suivants : </span><br /></p><p style="text-align: justify;"></p><ul style="text-align: justify;"><li><span style="font-family: verdana;">l’intermédiation en ligne (y compris les places de marchés - Amazon, App Store, Google Play),</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">les moteurs de recherche (Google),</span></li><li><span style="font-family: verdana;">les réseaux sociaux (Facebook, Instagram), </span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">les plateformes de partage de vidéos (Youtube),</span></li><li><span style="font-family: verdana;">les services de communication électronique,</span></li><li><span style="font-family: verdana;">les systèmes d’exploitation (Android, iOS), </span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">les services en nuage (AWS, iCloud, Google Cloud) et </span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">les services de publicité en ligne (Google Ads).</span><br /></li></ul><p style="text-align: justify;"><span style="font-family: verdana;">Pour être qualifié de contrôleur d’accès, un service de plateforme essentiel doit remplir plusieurs critères quantitatifs (art. 3 DMA), à savoir : </span><br /></p><ol style="text-align: justify;"><li><span style="font-family: verdana;">avoir une forte incidence sur le marché numérique européen, c’est-à-dire réaliser un chiffre d’affaires annuel dans l’UE égal ou supérieur à 6,5 milliards d’euros au cours des trois derniers exercices ou avoir une capitalisation boursière moyenne, ou atteindre une juste valeur marchande équivalente de l’entreprise à laquelle il appartient, au moins égale à 65 milliards d’euros au cours du dernier exercice, et fournir un service de plateforme essentiel dans au moins trois Etats membres ;</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">exploiter un ou plusieurs points d’accès majeur des entreprises pour développer leurs activités commerciales en ligne, c’est-à-dire avoir enregistré plus de 45 millions d’utilisateurs actifs par mois dans l’UE et plus de 10.000 entreprises utilisatrices actives dans l’UE au cours du dernier exercice ;</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">occuper une position solide et durable sur le marché, c’est-à-dire avoir atteint le nombre d’utilisateurs finaux mentionné ci-dessus pendant les trois derniers exercices.</span><br /></li></ol><p style="text-align: justify;"><span style="font-family: verdana;">Les contrôleurs d’accès doivent informer la Commission de leur situation dans un délai de trois mois et fournir les informations visées ci-dessus. Ils pourront également démontrer à la Commission qu’ils ne remplissent pas ces critères. Enfin, la Commission pourra désigner comme contrôleur d’accès des services de plateforme essentiels qui satisfont aux exigences qualitatives ci-dessus, mais qui ne remplissent pas les critères quantitatifs.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"></span><br /><b><span style="font-family: verdana;">3. Les obligations des contrôleurs d’accès</span><br /><span style="font-family: verdana;"></span></b><br /><span style="font-family: verdana;">Les contrôleurs d’accès sont soumis à un certain nombre d’obligations, l’objectif étant d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès. </span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Parmi ces obligations, les contrôleurs d’accès doivent (art. 5 DMA) :</span><span style="font-family: verdana;"> </span></p><ul style="text-align: justify;"><li><span style="font-family: verdana;">s’abstenir de combiner les données personnelles issues de leurs services avec les données issues des autres services proposés par le contrôleur d’accès ou par des services tiers ;</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">permettre aux entreprises utilisatrices de proposer les mêmes produits ou services aux utilisateurs finaux via des services d’intermédiation en ligne tiers à des prix ou des conditions différents de ceux proposés par le contrôleur d’accès ;</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">permettre aux entreprises utilisatrices de promouvoir leurs offres auprès des utilisateurs finaux acquis grâce au service de plateforme essentiel et de conclure des contrats avec ces utilisateurs finaux ;</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">s’interdire d’exiger des entreprises utilisatrices ou des utilisateurs finaux qu’ils s’abonnent ou s’enregistrent à un autre service de plateforme essentiel comme condition d’accès, d’inscription ou d’enregistrement à l’un de ses services de plateforme essentiel ;</span><span style="font-family: verdana;"> </span></li><li><span style="font-family: verdana;">faire réaliser un audit, par un auditeur indépendant, sur les techniques de profilage des consommateurs utilisées, les résultats devant être soumis à la Commission. (art. 13 DMA)</span><br /></li></ul><p style="text-align: justify;"><span style="font-family: verdana;">Par ailleurs, le DMA interdira certaines pratiques manifestement déloyales, telles que l’interdiction pour les utilisateurs de désinstaller des logiciels ou applications pré-installés. Le règlement imposera également l’interopérabilité entre les services proposés sur ces plateformes et les logiciels tiers.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">La Commission européenne aura la possibilité de mener des enquêtes de marché ciblées pour déterminer s’il y a lieu de faire évoluer la règlementation sur les contrôleurs d’accès pour suivre l’évolution des marchés numériques. (art. 18 et s. DMA)</span></p><p style="text-align: left;"><b><span style="font-family: verdana;"> </span></b></p><p style="text-align: left;"><b><span style="font-family: verdana;">4. Des sanctions dissuasives en cas de violation du DMA</span></b><br /><br /></p><p style="text-align: justify;"><span style="font-family: verdana;">Les sanctions pouvant être imposées par la Commission européenne et par les tribunaux nationaux se veulent être à la hauteur des enjeux et de la taille des acteurs concernés.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">En cas de violation des dispositions du DMA, les amendes pourront atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent par le contrôleur d’accès. Pour fixer le montant de l’amende, la Commission prendra en considération la gravité, la durée et la récurrence des manquements aux obligations du DMA. (art. 26 DMA)</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">A l’issue de l’examen du DMA par le Parlement, les députés européens souhaitent améliorer les critères de qualification des contrôleurs d’accès. Les députés ont par ailleurs inclus les navigateurs web, les assistants virtuels et les télévisions connectées dans le champ du DMA et ajouté la possibilité de désinstaller des applications préinstallées. Les seuils quantitatifs permettant de désigner les contrôleurs d’accès ont également été relevés à 8 milliards d’euros de chiffre d’affaires annuel ou 80 milliards d’euros de capitalisation boursière et le montant des amendes a été doublé, de 10 à 20% du chiffre d’affaires.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Ces dernières années, avec la montée en puissance des GAFAM, les juridictions des Etats membres et la Commission en Europe d’une part, les juridictions américaines d’autre part, ont tenté de lutter contre des pratiques jugées abusives de la part des sociétés, qualifiées de “contrôleurs d’accès” - sans grand succès. L’objectif du DMA est donc, par l’imposition de règles homogènes dans l’Union européenne, de lutter contre les avantages permettant à ces très grands groupes de conserver leur position dominante, favorisant notamment leurs produits et services par rapport aux entreprises utilisatrices ou exploiter les données générées par ces entreprises à leur propre avantage et, in fine permettre plus de compétitivité et de diversité, en donnant accès au marché à des acteurs de taille plus modeste. </span></p><p style="text-align: left;"><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"> * * * * * * * * * * *</span><br /><span style="font-family: verdana;"></span><br /><span style="font-size: x-small;"><span style="font-family: verdana;">(1) Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur du numérique (Digital Markets Act - DMA)</span></span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"></span><br /><span style="font-size: small;"><span style="font-family: verdana;">Bénédicte DELEPORTE</span><br /><span style="font-family: verdana;">Avocat</span></span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Deleporte Wentz Avocat</span><br /><span style="font-family: verdana;">www.dwavocat.com</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Février 2022 </span><br /><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-15948928062366093332022-01-06T15:06:00.000+01:002022-01-06T15:06:03.343+01:00 Transferts de données à l’international - la République de Corée reconnue comme offrant un niveau de protection adéquat <div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/a/AVvXsEj2Q5kGIHyu33TWo6UpqvxqV6n4FhYpN0251QL-MNsvhtv_4bqX0Z-ZzXJPje75zZPW06YJDcW9r4hRyb2jzNXbS8m1LGjtx7vwka3dDsC01HC0yDbYd8pfv6sYapzL3JgpQJ5huVMF9Gm0smxW3-rotcmUC87NsMRrGUAnQfm58Ky8-zLqFnyCFQkZnA=s1000" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="707" data-original-width="1000" height="141" src="https://blogger.googleusercontent.com/img/a/AVvXsEj2Q5kGIHyu33TWo6UpqvxqV6n4FhYpN0251QL-MNsvhtv_4bqX0Z-ZzXJPje75zZPW06YJDcW9r4hRyb2jzNXbS8m1LGjtx7vwka3dDsC01HC0yDbYd8pfv6sYapzL3JgpQJ5huVMF9Gm0smxW3-rotcmUC87NsMRrGUAnQfm58Ky8-zLqFnyCFQkZnA=w200-h141" width="200" /></a></div><span style="font-family: verdana;">La République de Corée vient d’entrer dans le club des pays reconnus par la Commission européenne comme offrant un niveau de protection adéquat aux traitements de données à caractère personnel. Il s’agit du 14é pays ou territoire extérieur à l’Union européenne à bénéficier de ce statut particulier en matière de flux transfrontières de données personnelles.</span><br /><p style="text-align: left;"><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Le 17 décembre 2021, la Commission européenne a publié sa décision d’adéquation concernant la République de Corée. (1) Cette décision permet désormais aux organismes situés dans l’UE de transférer des données personnelles vers des destinataires et sous-traitants situés en Corée du Sud, sans formalités particulières. (2)</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Les décisions d’adéquation sont accordées par la Commission européenne en application de l’article 45 du Règlement général pour la protection des données (RGPD). Elles font suite à une analyse approfondie de la réglementation du pays tiers sur la protection des données pour évaluer son niveau d’équivalence avec la réglementation européenne. La procédure d’examen préalable peut prendre plusieurs mois, voire plusieurs années, et impliquer des demandes d’adaptation de la réglementation du pays tiers. Toutefois, la décision d’adéquation ne signifie pas que les règles du pays tiers doivent être identiques au RGPD, mais uniquement qu’elles offrent un niveau d’équivalence essentielle.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">En l’espèce, des discussions étaient en cours avec la Corée depuis octobre 2018 avec une première visite de députés européens à Séoul. La procédure menant à la décision d’adéquation s’est poursuivie et des pourparlers avaient été signés entre la Commission et l’autorité de contrôle coréenne (Personal Information Protection Commission - PIPC), en mars 2021. </span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">La Corée a dû modifier sa législation sur la protection des données, notamment pour mettre en place une autorité de contrôle indépendante, des procédures plus transparentes, et la possibilité pour les résidents européens d’avoir accès à un mécanisme de correction en cas de traitement de données illicite ou non-conforme, y compris la possibilité de porter plainte auprès de l’autorité de contrôle coréenne, l’équivalent de la CNIL.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">La décision d’adéquation de la République de Corée sera réexaminée par la Commission dans trois ans, puis selon une périodicité maximum de quatre ans, afin de s’assurer que la réglementation coréenne répond toujours aux critères d’adéquation au droit européen de la protection des données personnelles. Au cas où la Corée s’éloignerait de ces critères, la décision d’adéquation pourra être retirée lors de son réexamen.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">A noter que les responsables de traitement et sous-traitants coréens qui étaient déjà soumis au RGPD en application de l’article 3.2 (traitements liés à l'offre de biens ou de services à des personnes concernées situées dans l’UE, ou au suivi de leur comportement) ne verront pas leurs obligations modifiées par la décision d’adéquation.</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"> Après Israël, puis le Japon en janvier 2019, la Corée est le troisième pays d’Asie à obtenir une décision d’adéquation, sachant que la plupart des pays d’Asie de l’Est et du Sud-Est ont adopté ou récemment révisé leurs réglementations en matière de protection des données personnelles, se rapprochant ainsi des standards internationaux de la protection des données.</span><br /><span style="font-family: verdana;"></span><br /></p><p style="text-align: center;"><span style="font-family: verdana;">* * * * * * * * * * *</span><br /></p><p style="text-align: left;"><span style="font-family: verdana;"></span><span style="font-size: x-small;"><br /><span style="font-family: verdana;">(1) Commission implementing decision of 17 December 2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the Republic of Korea under the Personal Information Protection Act</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">(2) Cette décision d’adéquation s’applique à l’Espace économique européen (EEE), qui compte, en sus des pays membres de l’UE, l’Islande, le Liechtenstein et la Norvège.</span></span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Bénédicte DELEPORTE</span><br /><span style="font-family: verdana;">Avocat</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Deleporte Wentz Avocat</span><br /><span style="font-family: verdana;">www.dwavocat.com</span><br /><span style="font-family: verdana;"></span><br /><span style="font-family: verdana;">Janvier 2022</span><br /><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-63723577378303721582021-11-30T11:38:00.000+01:002021-11-30T11:38:34.206+01:00Protection juridique du logiciel : condamnation pour contrefaçon des codes sources<p style="text-align: center;"><span style="font-family: verdana;"> </span><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhD9Iq_7VF1rMjidFntDxDu6YLFsAKReYwPVqBeCtJK9nCYksZLM8sEQA2F3fsuwfxT37pw2tJGvv-PKiSS6_gdMl3DfOuLqBqVR-mrXaGPHzyhscygsm_OyYg0kiAI2ZtOncHAxbFdvq6d/s800/flux_binaire+-+logiciel.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="600" data-original-width="800" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhD9Iq_7VF1rMjidFntDxDu6YLFsAKReYwPVqBeCtJK9nCYksZLM8sEQA2F3fsuwfxT37pw2tJGvv-PKiSS6_gdMl3DfOuLqBqVR-mrXaGPHzyhscygsm_OyYg0kiAI2ZtOncHAxbFdvq6d/w200-h150/flux_binaire+-+logiciel.jpg" width="200" /></a></p><p style="text-align: justify;"><span style="font-family: verdana;">Le logiciel est considéré comme une oeuvre de l’esprit, et à ce titre est protégé par le droit de la propriété intellectuelle. (1)<br /><br />Une société, son fondateur et des salariés, reconnus coupables de contrefaçon des codes sources d’un logiciel appartenant à un concurrent, viennent d’être condamnés au versement de près de trois millions d’euros de dommages et intérêts au titulaire des droits. (2)<br /><br />L’intérêt de ce jugement repose d’une part sur les éléments permettant de qualifier le caractère original du logiciel, pour déterminer s’il pouvait bénéficier de la protection par le droit d’auteur, auquel cas, la copie non autorisée des codes sources relève de la contrefaçon ; d’autre part, sur les éléments retenus pour l’évaluation du préjudice subi et la détermination par les juges de l’indemnisation du titulaire.<br /><br /><b>1. Les faits</b><br /><br />La société Generix, est titulaire des droits sur le logiciel applicatif GCS WMS, utilisé pour la gestion des entrepôts, notamment pour la grande distribution. Ce logiciel avait été développé par Infolog Solutions, société absorbée par Generix en 2010. Le logiciel GCS WMS a été développé à partir d’un programme générateur de codes sources dénommé APX, mis au point par Generix et non commercialisé.<br /><br />En 2011, le responsable support de la société Infolog Solutions a quitté cette société pour créer la société ACSEP, ayant pour activité la fourniture de prestations similaires à celles de Generix. D’anciens salariés d’Infolog Solutions et de Generix ont par ailleurs rejoint la société ACSEP.<br /><br />Entre 2014 et 2016, plusieurs clients de la société Generix ont résilié leurs contrats pour les transférer chez ACSEP. En outre, Generix a appris que la société ACSEP était en possession des codes source du logiciel GCS WMS. Par deux ordonnances sur requête du 5 février et du 24 mars 2015, à la demande de la société Generix, le président du tribunal de grande instance d’Aix-en-Provence a autorisé un huissier à se rendre dans les locaux d’ACSEP, afin de constater notamment qu’ACSEP détenait les codes source du logiciel GCS WMS.<br /><br />Le 2 mars 2016, la société Generix a fait assigner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions. Generix demandait au tribunal de condamner la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions à lui payer 4.000.000€ au titre du préjudice matériel lié à la détention et l’utilisation non autorisées des codes sources du logiciel, 300.000€ au titre de la réparation du préjudice moral subi suite à la contrefaçon du logiciel, 50.000€ au titre du préjudice économique résultant des actes de concurrence déloyale et parasitaire du fait de l’utilisation de sa marque Infolog, de sa dénomination sociale et de sa marque Generix et de ses supports et plans de formations.<br /><br />Le tribunal judiciaire de Marseille a rendu sa décision le 23 septembre 2021 et a condamné la société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions au paiement de près de 3.000.000€ pour contrefaçon de codes sources du logiciel GCS WMS. <br /><br /><br /><b>2. La protection du logiciel par le droit d’auteur</b><br /><br /> <b>2.1 Protection du logiciel et droit d’exploitation </b></span></p><p style="text-align: justify;"><span style="font-family: verdana;">Dans cette affaire, le tribunal rappelle que le logiciel, comprenant le code source et le code objet, ainsi que le matériel de conception préparatoire, est protégé par le droit d’auteur en application de l’article L.112-2 13° du code de la propriété intellectuelle (CPI). A ce titre, “<i>le droit d’exploitation appartenant à l’auteur d’un logiciel comprend le droit d’effectuer et d’autoriser 1° la reproduction permanente ou provisoire d’un logiciel en tout ou partie par tout moyen et sous toute forme. (…) ces actes ne sont possibles qu’avec l’autorisation de l’auteur</i>.” (art. L.122-6 CPI)<br /><br />La société Generix, devenue titulaire des droits sur le logiciel après avoir absorbé la société Infolog Solutions, avait déposé deux versions du logiciel auprès de l’Agence pour la protection des programmes (APP) en 2006 et 2010.<br /><br /> <b> 2.2 L’originalité du logiciel, condition de sa protection par le droit d’auteur</b></span></p><p style="text-align: justify;"><span style="font-family: verdana;">Toutefois, comme pour toute oeuvre de l’esprit, cette protection du logiciel par le droit d’auteur n’est accordée que pour autant que celui-ci soit reconnu original.<br /><br />A cette fin, le tribunal rappelle les principales caractéristiques du logiciel GCS WMS qui avaient été mises en avant par Generix pour démontrer son originalité, à savoir : 1) des choix personnels quant à la structure du “scénario radio”, 2) un choix propre quant aux réservations de stocks, 3) le choix d’une forte interopérabilité du logiciel par l’utilisation d’un format d’échanges de données unique et original, 4) l’utilisation du langage de développement Cobol afin de permettre la portabilité du logiciel sur un grand nombre de machines, 5) le développement d’un atelier de génie logiciel en interne, 6) un choix technique personnel quant aux interfaces homme/machine, et 7) le choix d’une mise en oeuvre simplifiée du logiciel, ne nécessitant pas de compétences techniques ou informatiques et pouvant être réalisées par un consultant.<br /><br />Sur la base de tous ces éléments, le tribunal a pu reconnaître l’originalité du logiciel alors même que celui-ci avait été développé grâce à un programme générateur de codes sources. La société Generix était donc bien fondée pour défendre ses droits sur le logiciel.<br /><br /><br /><b>3. Les faits de contrefaçon et l’évaluation du préjudice<br /></b><br /> <b> 3.1 L’établissement des faits de contrefaçon</b></span></p><p style="text-align: justify;"><span style="font-family: verdana;">Dans cette affaire, la contrefaçon a été démontrée sur la base de deux éléments : a) la production d’emails échangés entre les salariés de la société ACSEP, relatifs à la demande et à la communication des codes sources de programmes constitutifs du logiciel GCS WMS. On notera sur ce point que le tribunal n’a pas remis en cause l’intégrité de ces emails, obtenus par voie d’huissier ; et b) un rapport d’analyse technique démontrant que les logiciels détenus par la société ACSEP étaient identiques, à 2% près, aux programmes déposés par Generix à l’APP.<br /><br />Or, il n’existait aucun accord entre les sociétés Generix et ACSEP, autorisant cette dernière à reproduire ou à utiliser tout ou partie du logiciel.<br /><br />Le tribunal en conclut que ces simples faits de reproduction non autorisée des codes sources de programmes constitutifs du logiciel GCS WMS constituent des actes de contrefaçon de la part de la société ACSEP, son dirigeant et les salariés poursuivis.<br /><br /> <b> 3.2 L’évaluation du préjudice et les mesures de réparation</b></span></p><p style="text-align: justify;"><span style="font-family: verdana;">Les règles permettant de déterminer le montant des dommages et intérêts sont définies aux articles L.331-1-3 et s. du CPI. Pour ce faire, les juges prennent en compte :<br />“<i>1° Les conséquences économiques négatives de l’atteinte aux droits, dont le manque à gagner et la perte subis par la partie lésée ;<br />2° Le préjudice moral causé à cette dernière ;<br />3° Et les bénéfices réalisés par l’auteur de l’atteinte aux droits, y compris les économies d’investissements intellectuels, matériels et promotionnels que celui-ci a retirées de l’atteinte aux droits.</i>”<br /><br />En l’espèce, le tribunal a évalué le préjudice subi par la société Generix en retenant i) une perte de chiffre d’affaires à la suite de la résiliation de plusieurs contrats commerciaux, évaluée à 2 millions d’euros, ii) le remboursement du montant représentant la valorisation de la recherche et développement du logiciel pour 814.000€, la contrefaçon ayant permis d’économiser les coûts de création et de développement d’un logiciel équivalent, et iii) le préjudice moral, constitué par la dévalorisation du savoir-faire de Generix, pour un montant de 50.000€.<br /><br />La société ACSEP, son dirigeant et les anciens salariés d’Infolog Solutions ont été condamnés en sus à cesser l’utilisation et à la désinstallation du logiciel, et à indemniser Generix pour concurrence déloyale à hauteur de 30.000€ pour débauchage de plusieurs salariés de Generix.<br /><br /><br /> Cette affaire démontre que la contrefaçon de logiciel, notamment par d’anciens salariés, accompagnée d’actions de concurrence déloyale par détournement de clientèle et débauchage de salariés peut coûter cher à leurs auteurs. Le titulaire des droits doit cependant être en mesure de démontrer le caractère original de l’oeuvre contrefaite et de rapporter la preuve du détournement, ainsi que du préjudice subi (perte de clientèle, vol de savoir-faire, débauchage massif, etc.). Toutefois, la réparation du préjudice est un processus long et coûteux, le dossier contentieux ayant débuté en 2015…</span><br /><br /></p><p style="text-align: center;">* * * * * * * * * * *<br /></p><p><br /><span style="font-family: verdana;"><span style="font-size: x-small;">(1) Art. L.112-2 CPI</span></span></p><p><span style="font-family: verdana;"><span style="font-size: x-small;">(2) TJ Marseille, 23 septembre 2021, Generix c. Acsep et autres<br /></span></span></p><p><span style="font-family: verdana;"><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Novembre 2021 </span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-53606319826711497522021-11-03T19:42:00.003+01:002021-11-03T19:42:49.750+01:00 La fusion entre le CSA et la Hadopi donne naissance à l’Arcom<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTkbu6kH-dVZV1HIVUQMNQhqd-zsFA_Xn3OeCDX2ULxjd7Mo5wM9t1CcYqSxZo93iq1MPEQKfkVpDI3znIrWPZ02axJgHEtgRoVWyjQ0XqOSD1rpzaCgH_hEWoelJWsnnSetwYC2clYs_9/s800/flux_binaire+-+logiciel.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="600" data-original-width="800" height="240" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjTkbu6kH-dVZV1HIVUQMNQhqd-zsFA_Xn3OeCDX2ULxjd7Mo5wM9t1CcYqSxZo93iq1MPEQKfkVpDI3znIrWPZ02axJgHEtgRoVWyjQ0XqOSD1rpzaCgH_hEWoelJWsnnSetwYC2clYs_9/w320-h240/flux_binaire+-+logiciel.jpg" width="320" /></a></div><br /><span style="font-family: verdana;">Selon la Hadopi, la hausse de la consommation de biens culturels dématérialisés s’est accélérée en 2020. Cette accélération a été favorisée par la crise sanitaire et la période de confinement qui ont entraîné la fermeture des lieux culturels (cinémas, théâtres, salles de spectacles). Constat positif mais également négatif puisqu’un quart des internautes français visiterait chaque mois des sites illicites de biens culturels. (1) Face à ce constat, le bilan de la Hadopi relatif à la lutte contre le piratage en ligne des oeuvres audiovisuelles est plus que mitigé, mais reflète cependant les limites de son champ d’action.<br /><br />Une réforme était donc nécessaire pour tenter de lutter plus efficacement, et plus rapidement, contre les usages illicites sur internet. Celle-ci passe par la réforme, plus large, de l’audiovisuel qui se met enfin en place avec l’adoption, le 25 octobre 2021, de la loi relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique. (2) Cette réforme, annoncée depuis deux ans, consacre la création de l’Autorité de régulation de la communication audiovisuelle et numérique - Arcom, une nouvelle autorité administrative, née de la fusion du Conseil supérieur de l’audiovisuel (CSA) et de la Haute autorité pour la diffusion des oeuvres et la protection des droits sur internet (Hadopi). L’Arcom entrera en activité au 1er janvier 2022.<br /><br />Cette nouvelle autorité interviendra sur un champ de compétences élargi, avec des agents disposant de pouvoirs d’investigation pour des actions de lutte, on l’espère, plus efficaces contre les sites illicites. <br /><br /><br /><b>1. Un champ des compétences élargi</b><br /><br />L’Arcom disposera d’un champ de compétences élargi par rapport aux missions combinées du CSA et de la Hadopi, consacrant enfin la convergence des technologies de communication avec l’interaction grandissante entre l’audiovisuel traditionnel et internet.<br /><br />En effet, les compétences attribuées à l’Arcom couvrent les domaines allant de la création des oeuvres jusqu’à la protection du droit d’auteur. Les activités de l’Arcom s’articuleront ainsi autour de plusieurs axes, avec notamment un premier axe sur la lutte contre le piratage des oeuvres protégées, un deuxième axe sur une mission pédagogique et de régulation, et un troisième axe de régulation du secteur audiovisuel.<br /><br /><b> 1.1 La focalisation sur la lutte contre le piratage des oeuvres protégées</b><br /></span><p></p><p style="text-align: justify;"><span style="font-family: verdana;">Le premier axe, concernant principalement la communication en ligne portera sur les actions suivantes (3) :<br /><br /> - La lutte contre le piratage des oeuvres protégées par le droit d’auteur, un droit voisin ou un droit d’exploitation audiovisuelle. L’Arcom pourra ainsi créer une “liste noire” des sites exploitant, de façon massive, des contenus contrefaisant ; <br /><br /> - La lutte contre les sites sportifs illicites. Considérant que l’accès aux chaînes de sports est généralement trop cher, nombre d’internautes choisissent de visionner les événements sportifs en ligne, sur des sites de streaming sportif illicites. Cette pratique a des conséquences économiques et financières très lourdes pour les diffuseurs et les clubs sportifs. Or, jusqu’ici il était très difficile pour les titulaires des droits de diffusion de lutter contre ces sites, notamment du fait des délais de procédure pour obtenir une décision de blocage. La loi d’octobre 2021 tente de remédier à ce problème en créant une procédure spécifique de référé pouvant être intentée par les titulaires de droits de diffusion d’événements sportifs contre les sites illicites et les sites miroirs ;<br /><br /> - La lutte contre la désinformation sur internet (lutte contre les “fake news” en application de la loi du 22 décembre 2018) (4) et contre les contenus haineux ;<br /><br /> - La régulation des plateformes de vidéo par abonnement (SVoD).<br /><br /><b> 1.2 Une mission pédagogique</b><br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;">A l’instar des actions menées par la CNIL depuis plusieurs années, la loi du 25 octobre 2021 inscrit, parmi les missions de l’Arcom, des actions pédagogiques et de régulation par la création de “soft law”, comprenant :<br /><br /> - Des actions de sensibilisation et de prévention, notamment auprès des jeunes. Concernant la protection des mineurs, ces actions de prévention concernent non seulement les contenus piratés, mais également les contenus illicites, violents, haineux, ou pornographiques ;<br /><br /> - Une mission d’encouragement au développement de l’offre légale ;<br /><br /> - Une mission de régulation et de veille relative aux mesures techniques de protection et d’identification des oeuvres et objets protégés par le droit d’auteur, avec la publication de recommandations, guides de bonne pratiques, modèles de clauses types et codes de conduite. Ces outils auront pour objet d’informer et de former le public. <br /><br /> - L’Arcom pourra en outre favoriser la signature d’accords volontaires avec les professionnels pour les inciter à mettre en oeuvre des politiques de lutte contre le contrefaçon et le piratage plus efficaces.<br /><br /><b> 1.3 La régulation du secteur audiovisuel</b><br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;">Enfin, l’Arcom sera en charge de la régulation du secteur audiovisuel. Cette mission de régulation, héritée du CSA, comprend notamment la gestion des fréquences, les conditions de création de nouvelles chaînes de radio et de télévision et le suivi de leurs engagements, la garantie du respect de la liberté d’expression et des droits et libertés fondamentaux sur les chaînes de radio et de télévision, etc.<br /><br />L’Arcom sera également en charge de garantir le pluralisme de l’offre dans le secteur audiovisuel et des sources d’information. Ce domaine est d’autant plus d’actualité avec, par exemple, le projet de fusion annoncé en mai 2021 entre les groupes TF1 et M6.<br /><br /><br /><b>2. Des agents publics disposant de réels pouvoirs d’investigation<br /></b><br />La direction de l’Arcom sera constituée de 9 membres, dont huit membres choisis en raison de leurs compétences économiques, juridiques ou techniques, nommés par décret, et le président de l’Autorité nommé par le Président de la République. Les membres sont nommés pour un mandat de 6 ans, non renouvelable. L’équilibre hommes/femmes doit être respecté au moment de leur nomination.<br /><br />L’Arcom disposera par ailleurs d’un “bataillon” d’agents publics assermentés, habilités par décret. Dans le cadre de leurs investigations, les agents de l’Arcom pourront notamment : <br /><br /> - recevoir des opérateurs de communications électroniques les coordonnées (identité, adresse postale, email, numéro de téléphone) des personnes dont l’accès aux services a été utilisé pour diffuser des oeuvres non autorisées ;<br /><br /> - mais également constater les faits susceptibles de constituer les infractions lorsqu’ils sont commis en ligne, et “<i>sans en être tenus pénalement responsables : <br />1° Participer sous un pseudonyme à des échanges électroniques susceptibles de se rapporter à ces infractions ; <br />2° Reproduire des œuvres ou des objets protégés sur les services de communication au public en ligne ; <br />3° Extraire, acquérir ou conserver par ce moyen des éléments de preuve sur ces services aux fins de la caractérisation des faits susceptibles de constituer des infractions ; <br />4° Acquérir et étudier les matériels et les logiciels propres à faciliter la commission d'actes de contrefaçon.</i>” (5) <br />Toutefois, ces actes ne pourront inciter autrui à commettre une infraction. Les informations recueillies font l’objet d’un procès-verbal pouvant ensuite être utilisé en cas de poursuites judiciaires.<br /><br /><br /><b>3. Des pouvoirs plus efficaces ?</b><br /><br />Regroupant les domaines de la communication audiovisuelle et par internet, l’Arcom devrait pouvoir intervenir sur un champ de compétences élargi. En effet, la convergence des technologies de l’audiovisuel et de l’internet entraîne la disparition de la frontière entre ces deux domaines. <br /><br />La division des compétences sur des agences séparées n’avait plus de sens. D’une part, le champ d’action de la Hadopi se limitait au téléchargement illicite d’oeuvres en peer-to-peer. Or, cette pratique ne concernerait plus que 25% de la consommation illicite de biens audiovisuels. Depuis plusieurs années la technologie et les pratiques des internautes ont en effet évolué pour accéder aux oeuvres en streaming ou via des sites ou serveurs temporaires ou miroirs. D’autre part, grâce à la technologie de diffusion des oeuvres audiovisuelles en ligne, le rôle du CSA s’est naturellement élargi au domaine de l’internet, avec la multiplication des web radio et web TV, la télévision connectée, les services audiovisuels à la demande (SMAD / SVoD), …<br /><br />La création de l’Arcom consacre donc la fin d’une frontière devenue artificielle entre les différents modes de diffusion des oeuvres audiovisuelles. L’Arcom a ainsi pour objectif d’améliorer l’efficacité de la lutte contre les différentes formes de piratage audiovisuel : téléchargement en P-to-P, streaming, IPTV, lutte contre les sites sportifs illicites.<br /><br /><br /> L’Arcom a pour ambition de se positionner comme le moteur d’un nouveau modèle de régulation audiovisuelle, “<i>à l’écoute des publics et de leurs préoccupations, (…) résolument engagée dans la défense des libertés d’expression, d’information et de création</i>.” (6) Cette nouvelle autorité devra toutefois surmonter plusieurs défis : intégrer des personnels venant de deux mondes jusqu’ici distincts, le monde de l’audiovisuel, et le monde d’internet, et démontrer l’efficacité de ses actions, particulièrement dans la lutte contre le piratage.<br /><br /></span></p><p style="text-align: center;"><span style="font-family: verdana;">* * * * * * * * * * *<br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;"><br /><span style="font-size: x-small;">(1) Etude Hadopi du 6 mai 2021 “12,7 millions d’internautes ont visité en moyenne chaque mois des sites illicites de biens culturels dématérialisés en 2020, soit 24 % des internautes français”<br /><br />(2) Loi n°2021-1382 du 25 octobre 2021 relative à la régulation et à la protection de l’accès aux oeuvres culturelles à l’ère numérique, modifiant le code de la propriété intellectuelle et la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication.<br /><br />(3) Art. L.331-12 et s. du Code de la propriété intellectuelle<br /><br />(4) Loi n°2018-1202 du 22 décembre 2018 relative à la lutte contre la manipulation de l’information<br /><br />(5) Art. L.331-14 du Code de la propriété intellectuelle<br /><br />(6) Communiqué de presse conjoint du CSA et de la Hadopi sur la création de l’Arcom, 26 octobre 2021</span><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /></span></p><p><span style="font-family: verdana;"><br />Novembre 2021</span></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-63784213447482925212021-10-19T19:30:00.000+02:002021-10-19T19:30:23.979+02:00 Sites pornographiques : le renforcement de la protection des mineurs<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBFjM86lN20svrrQ68HLHzsRwiUBJ9dQ2tNToOtpQPn-tw4YuigyZY2ZnZVghD3xdtQSPjeUWA2HAYUuW7gCTwB1Huzvf66I10xY67Q1GosiBpXE_JPc7JcXuMGVSEn_8osmXiEljY4wpI/s1950/Online+services.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="550" data-original-width="1950" height="90" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiBFjM86lN20svrrQ68HLHzsRwiUBJ9dQ2tNToOtpQPn-tw4YuigyZY2ZnZVghD3xdtQSPjeUWA2HAYUuW7gCTwB1Huzvf66I10xY67Q1GosiBpXE_JPc7JcXuMGVSEn_8osmXiEljY4wpI/s320/Online+services.jpg" width="320" /></a></div><span style="font-family: verdana;"><br />La problématique de l’accès des mineurs aux contenus pornographiques s’est accentuée ces dernières années avec notamment un accès à internet et l’utilisation des smartphones de plus en plus jeune. Une étude menée par l’Ifop en 2017 révèle ainsi que 82% des jeunes de moins de 18 ans déclarent avoir été exposés à du contenu pornographique, dont 30% des moins de 12 ans ! (1)<br /><br />Face aux risques psychologiques et comportementaux que pose l’accès des enfants à des contenus pour adultes, le législateur tente de renforcer la réglementation sur les conditions d’accès aux sites pornographique, avec des obligations plus strictes de contrôle de l’âge des internautes. <br /><br />Nous examinons ci-après les principales dispositions concernant les services en ligne et les mesures actuellement disponibles pour bloquer l’accès des mineurs aux sites pornographiques ainsi que les défis en matière de protection des données à caractère personnel et les solutions techniques disponibles.<br /><br /><br /><b>1. La loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales et le décret d’application du 7 octobre 2021</b><br /><br /> a) <i>La protection des mineurs contre les contenus pornographiques en ligne et le pouvoir de régulation du CSA</i><br /><br />L’une des missions du CSA (Conseil supérieur de l’audiovisuel) est la protection de la jeunesse et des mineurs. Le rôle du Conseil, en tant que régulateur dans ce domaine est affirmé avec l’article 23 de la loi du 30 juillet 2020, qui dispose que :<br /><br />“<i>Lorsqu'il constate qu'une personne dont l'activité est d'éditer un service de communication au public en ligne permet à des mineurs d'avoir accès à un contenu pornographique en violation de l'article 227-24 du code pénal, le président du Conseil supérieur de l'audiovisuel adresse à cette personne (…) une mise en demeure lui enjoignant de prendre toute mesure de nature à empêcher l'accès des mineurs au contenu incriminé. La personne destinataire de l'injonction dispose d'un délai de quinze jours pour présenter ses observations. (…)</i>” (2)<br /><br />Si le contenu incriminé reste accessible aux mineurs à l’expiration de ce délai, le président du CSA peut saisir le président du tribunal judiciaire de Paris aux fins d’ordonner aux fournisseurs d’accès le blocage de l’accès au site en cause. Le président du CSA peut agir d’office ou sur saisine du ministère public ou de toute personne ayant intérêt à agir, telles que les associations de protection de l’enfance.<br /><br />Pour être pleinement applicables, ces dispositions devaient être complétées par un décret. C’est chose faite avec la publication, le 7 octobre 2021, du décret relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès aux sites pornographiques. (3)<br /><br />Ce décret dispose notamment que pour apprécier si l’éditeur du site en cause permet à des mineurs d’avoir accès à un contenu pornographique en violation de l’article 227-24 du code pénal, le président du CSA tient compte du niveau de fiabilité du procédé technique mis en place pour s’assurer que les utilisateurs souhaitant accéder au service sont majeurs (article 3).<br /><br />A cette fin, le CSA peut adopter des lignes directrices concernant la fiabilité de ces procédés techniques de blocage ou de filtration des utilisateurs.<br /><br />Le décret précise que la suspension du site en cause pourra être réalisée par tout moyen approprié, notamment par le blocage par nom de domaine (DNS).<br /><br /> b) <i>L’avis de l’Arcep sur le projet de décret : attention à ne pas imposer de nouvelles obligations aux FAI</i><br /><br />L’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse) avait été saisie par le gouvernement pour avis sur le projet de décret. <br /><br />Dans son avis, rendu le 11 mai 2021, l’Arcep notait que la technique de blocage DNS est déjà utilisée par les fournisseurs d’accès à internet pour bloquer des sites suite à une injonction des tribunaux (sites illicites, contrefaisants, etc.). (4)<br /><br />Pour l’Arcep, les mesures de blocage doivent rester proportionnées. Or, le fait d’imposer aux FAI d’empêcher l’accès aux sites en cause “<i>par tout moyen approprié</i>” risque de faire peser sur les FAI une obligation allant au-delà des moyens de blocage habituels et la garantie que les internautes ne puissent recourir à des méthodes de contournement pour accéder aux sites concernés (VPN par exemple). Une telle obligation serait en contradiction avec l’article 6 7° de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN) qui dispose que les FAI “<i>ne sont pas soumis à une obligation générale de surveiller les informations qu’ils transmettent ou stockent (…)</i>.”<br /><br />Par ailleurs, selon l’Arcep, le projet de décret ne précisait pas la nature des informations transmises par le CSA aux FAI (noms de domaine, adresses emails?), ni des modalités de mise en oeuvre des mesures de blocage (délai de mise en oeuvre, processus et délai de déblocage éventuel, etc.). Ces informations ne figurent toujours pas dans le décret du 7 octobre.<br /><br /><br /><b>2. La loi du 21 avril 2021 visant à protéger les mineurs des crimes et délits sexuels et de l’inceste</b><br /><br />L’article 23 de la loi du 30 juillet 2020 a été complétée par la loi du 21 avril 2021 visant à protéger les mineurs des crimes et délits sexuels et de l’inceste. Les articles de cette loi ont modifié le code pénal (articles 227-21-1 à 227-28-3). <br /><br />Ces articles concernent les actes d’adultes envers des mineurs (favoriser ou tenter de favoriser la corruption d’un mineur ; faire des propositions sexuelles à un mineur ; inciter un mineur à commettre un acte de nature sexuelle), en utilisant un moyen de communication électronique. Les peines s’échelonnent entre deux ans et sept ans d’emprisonnement et de 30.000€ à 100.000€ d’amende, suivant le type d’infraction commise (art. 227-22 à 227-22-2).<br /><br />L’article 227-23 du code pénal dispose que le fait de fixer, d’enregistrer ou de transmettre l’image ou la représentation d’un mineur lorsque l’image ou la représentation présentent un caractère pornographique est puni de cinq ans d’emprisonnement et de 75.000€ d’amende. Les peines sont portées à sept ans d’emprisonnement et 100.000€ d’amende lorsqu’un réseau de communication électronique a été utilisé pour la diffusion de ces images.<br /><br />Les peines sont généralement majorées lorsqu’il s’agit d’un jeune de moins de 15 ans.<br /><br />Enfin, l’article 227-24, auquel il est fait référence à l’article 23 de la loi du 30 juillet 2020 et dans le décret du 7 octobre 2021, prévoit que le fait de diffuser (notamment) par quelque moyen que ce soit et quel qu’en soit le support un message à caractère (notamment) violent, pornographique ou de nature à porter gravement atteinte à la dignité humaine, ou encore de faire commerce d‘un tel message est puni de trois ans d’emprisonnement et de 75.000€ d’amende lorsque ce message est susceptible d’être vu par un mineur. <br /><br />Les infractions sont constituées même si l’accès du mineur aux messages en cause résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans. Or de nombreux sites pornographiques sont d’accès libre ou n’affichent qu’un message demandant au visiteur de confirmer s’il est majeur.<br /><br /><br /><b>3. Le défi de la mise en oeuvre de solutions efficaces de blocage de l’accès des mineurs aux sites pornographiques</b><br /><br />L’objectif de la réglementation n’est évidemment pas la moralisation ou la censure d’internet, mais la mise en place de mesures effectives de protection des mineurs contre des contenus non adaptés à leur âge.<br /><br />Ces dispositions renforcent désormais l’obligation, pour les sites pornographiques, de contrôler de façon effective l’âge des utilisateurs dès leur connexion, pour bloquer les mineurs. Or, le texte de loi ne donne pas d’indication technique aux sites pour se mettre en conformité. Comme mentionné plus haut, le CSA pourra adopter des lignes directrices relatives à la fiabilité des procédés techniques de blocage ou de filtration des utilisateurs.<br /><br />La réglementation et les tribunaux prennent généralement en compte l’état de l’art, à savoir les solutions disponibles, à un moment donné, sachant que celles-ci devraient évoluer et être de plus en plus largement utilisées dans les années à venir.<br /><br />L’obligation de filtrage des visiteurs s’impose aux éditeurs de sites pornographiques. Ceux-ci peuvent toutefois dans un premier temps rappeler l’utilité pour les parents d’installer une solution de contrôle parental sur les appareils utilisés par leurs enfants. Cette solution est cependant imparfaite puisque ce système n’empêche pas les enfants de consulter des sites pour adultes sur les appareils de tiers (famille, amis) qui n’auraient pas installé ce type de logiciel. <br /><br />Concernant le blocage des mineurs, nous pouvons identifier les solutions suivantes, chacune ayant ses contraintes et ses limites :<br /><br /> a) <i>La demande de la date de naissance de l’utilisateur</i><br />Ce système, un peu plus bloquant que la simple déclaration de majorité, notamment chez les très jeunes, ne paraît pas assez efficace pour bloquer effectivement les mineurs, si elle n’est accompagnée d’aucun contrôle pour confirmer que la date de naissance de l’utilisateur est correcte. <br /><br />L’article 227-24 al.3 prévoit que les infractions sont constituées même si le mineur a déclaré qu’il était âgé d’au moins 18 ans. Cette disposition pourrait être interprétée comme applicable tant à la simple confirmation du statut de majeur qu’à la saisie d’une fausse date de naissance par un mineur.<br /><br /> b) <i>La demande des coordonnées de carte bancaire</i><br />Une solution envisagée pour bloquer l’accès aux mineurs de manière plus efficace est de demander de saisir un numéro de carte bancaire lors de l’accès au site (sans débit, avec débit nominal afin de valider la carte, ou pour un accès payant au site). Même si certains jeunes de moins de 18 ans disposent d’une carte bancaire, et que d’autres pourraient utiliser la carte d’un adulte (sous réserve de connaître le code PIN de la carte …), ce système permet en principe de bloquer une plus grande partie des mineurs qui tentent d’accéder à un site pornographique.<br /><br /> c) <i>La demande de la copie d’une pièce d’identité</i><br />Enfin, il est possible de demander à chaque nouveau visiteur d’envoyer une copie de sa pièce d’identité à l’éditeur du site (ou à un service tiers), pour contrôler sa date de naissance. <br /><br />Pour le moment, ce système semble le plus fiable mais est particulièrement contraignant : l’utilisateur doit scanner une pièce d’identité ; le contrôle doit être traité manuellement (il existe toutefois des services de contrôle numérique de pièces d’identité françaises) ; ce système aurait vraisemblablement un impact sur le nombre de visiteurs d’âge adulte. En cas d’utilisation d’un service tiers par l’éditeur du site, celui-ci n’aurait pas directement accès aux données personnelles du visiteur (hormis en cas d’inscription de l’utilisateur au site). Dans le cas contraire, il est recommandé de détruire la copie de la pièce d’identité dès le contrôle de la date de naissance réalisé.<br /><br /> d) <i>L’utilisation d’un service d’identité numérique</i><br />Les principales critiques relatives à la mise en place de solutions de blocage des mineurs concernent l’atteinte potentielle à la vie privée des utilisateurs, l’objectif étant de trouver l’équilibre entre un contrôle efficace de l’âge des visiteurs souhaitant accéder aux sites pornographiques et un système le moins invasif possible en matière de collecte de données personnelles, a priori sensibles (données relatives à l’orientation ou aux pratiques sexuelles).<br /><br />Des services d’identité numérique proposés par des sociétés privées se développent, principalement pour sécuriser l’accès aux services en ligne, et garantir l’identité des individus en bout de chaîne (accès, signature, etc.). <br /><br />On peut citer par exemple, Identité Numérique, service proposé par la société Docapost, filiale de La Poste. Ce service est utilisé notamment pour vérifier l’identité de l’utilisateur. Identité Numérique est principalement utilisé dans la banque (ouverture de compte, souscription de prêt, …) et dans le cadre d’achats immobiliers. Un autre exemple est My18Pass. Ce service se présente comme une solution de vérification simple et sécurisée de l’âge des utilisateurs.<br /><br /><b><br />4. La décision de rejet du blocage de sites pornographiques par le TJ de Paris</b><br /><br />Dans un jugement du 8 octobre 2021, le tribunal judiciaire (TJ) de Paris a rejeté la demande de blocage de 9 sites pornographiques, intentée par les associations E-Enfance et La Voix de l’Enfant à l’encontre de 6 fournisseurs d’accès (dont Orange, SFR, Bouygues Telecom, et Free). (5)<br /><br />En effet, ces sites n’avaient pas mis en place de solution de filtrage des utilisateurs, sachant que les mineurs pouvaient accéder aux contenus pornographiques soit directement, soit en confirmant simplement, sur la fenêtre s’affichant sur la page d’accueil des sites, qu’ils avaient plus de 18 ans.<br /><br />La décision du tribunal de rejeter la demande des associations est fondée sur un problème procédural et non sur une question de fond.<br /><br />En l’espèce, le tribunal a reconnu que l’accès des mineurs aux contenus de nature pornographique de ces sites constituait bien un trouble manifestement illicite, conformément à l’article 835 du code de procédure civile. Toutefois, en application des dispositions de l’article 6 de la LCEN, les demandeurs auraient dû contacter les éditeurs des sites hébergeant les contenus en cause avant de poursuivre les fournisseurs d’accès, d’autant que les coordonnées des éditeurs des sites étaient identifiées.<br /><br />Il est vraisemblable que ces associations vont introduire une nouvelle action, soit par l’intermédiaire du CSA, soit en direct, à l’encontre de ces sites web, si ces derniers n’ont toujours pas mis en place de système de filtration des utilisateurs lors de l’accès à leurs sites.<br /><br /><br /> Ce phénomène, et les mesures de protection des mineurs, n’est évidemment pas limité à la France. Ainsi, en 2017, le Royaume-Uni a tenté d’imposer la vérification de l’âge des visiteurs de sites pornographiques accessibles sur son territoire. (6) Toutefois, face à l’impossibilité de trouver une mesure efficace et satisfaisante, cette mesure qui devait entrer en application en avril 2018, a finalement été abandonnée en octobre 2019. (7)<br /></span><br /><p></p><p style="text-align: center;"><span style="font-family: verdana;">* * * * * * * * * * *<br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;"><span style="font-size: x-small;">(1) Etude Ifop et Observatoire de la Parentalité et de l’Education Numérique, “Les adolescents et le porno : vers une “génération YouPorn” ?”, 15 mars 2017<br /><br />(2) Loi n°2020-936 du 30 juillet 2020 visant à protéger les victimes de violences conjugales<br /><br />(3) Décret n°2021-1306 du 7 octobre 2021 relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique<br /><br />(4) Avis n°2021-0898 de l’Arcep du 11 mai 2021 concernant le projet de décret relatif aux modalités de mise en oeuvre des mesures visant à protéger les mineurs contre l’accès à un site diffusant un contenu pornographique<br /><br />(5) Tribunal juridiciaire de Paris, 8 oct. 2021, associations E-Enfance et La Voix de l’Enfant c. Orange, SFR, et autres, n°RG 21/56149<br /><br />(6) Digital Economy Act 2017 - Part 3<br /><br />(7) BBC News, “UK’s controversial ‘Porn Blocker’ plan dropped”, 16/10/2019</span><br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;"><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Octobre 2021</span><br /></p><p><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-83792862786583614912021-09-30T19:02:00.000+02:002021-09-30T19:02:38.865+02:00 La Chine adopte sa loi sur la protection des données personnelles<p style="text-align: justify;"></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjU_HkhOkBRupEIlod4s7WUuVbKGkkP20q4fTvyFXzU9Pwcul85ZIim-13ez-PpLknNhliN6H0jMl1RqfpPkk4Xxyq2iORF8njrXlckG67F_oAJxX1L8trGOb39txus0UfhHWgcyw0Mj3Si/s225/langfr-225px-Flag_of_the_People%2527s_Republic_of_China.svg.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="150" data-original-width="225" height="133" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjU_HkhOkBRupEIlod4s7WUuVbKGkkP20q4fTvyFXzU9Pwcul85ZIim-13ez-PpLknNhliN6H0jMl1RqfpPkk4Xxyq2iORF8njrXlckG67F_oAJxX1L8trGOb39txus0UfhHWgcyw0Mj3Si/w200-h133/langfr-225px-Flag_of_the_People%2527s_Republic_of_China.svg.png" width="200" /></a></div><br /><span style="font-family: verdana;">Avec l’essor des services numériques, la protection des données personnelles est devenue un sujet phare du droit des personnes. Outre l’Union européenne, de plus en plus de pays à travers le monde ont adopté leur propre réglementation sur la protection des données personnelles, souvent inspirées des lignes directrices de l’OCDE sur la protection de la vie privée, voire de la réglementation européenne. Certains pays, tels que les Etats-Unis, ont opté pour une approche sectorielle de la protection des données avec par exemple des lois spécifiques aux services financiers, aux consommateurs, aux enfants, etc., alors que d’autres tels que le Canada, le Japon ou Singapour, ont opté pour une approche globale. <br /><br />Après avoir adopté une loi sur la cybersécurité en juin 2017, suivie d’une loi sur la sécurité des données en juin dernier, la République Populaire de Chine vient de renforcer sa réglementation sur la protection des données avec l’adoption d’une nouvelle loi, de portée globale, sur la protection des données personnelles (Personal Information Protection Law - PIPL) le 20 août 2021. Bien que comportant de nombreuses ressemblances avec le RGPD, la PIPL n’est pas exactement une loi-miroir du règlement européen.<br /><br />Nous étudions ci-après les principales règles de la PIPL du point de vue des droits des personnes, puis des obligations des responsables de traitements, l’application territoriale de la loi et enfin, les sanctions applicables.<br /><br /><br /><b>1. Les principales dispositions de la PIPL relatives aux droits des personnes concernées</b><br /><br />Les droits des personnes concernées, tels que définis dans la PIPL, sont généralement très similaires au RGPD, ainsi que les définitions de “données personnelles” et de “traitement de données personnelles” notamment.<br /><br /> a) <i>“Données personnelles” et “traitement de données personnelles” dans la PIPL</i><br />Les données personnelles sont définies comme tout type de données concernant des personnes identifiées ou identifiables, enregistrées de manière électronique ou autre. Les données anonymisées ne sont pas considérées comme des données personnelles. <br /><br />Les traitements de données personnelles comprennent notamment les opérations de collecte, stockage, utilisation, transmission, suppression de données personnelles. Comme le RGPD, la PIPL impose que les traitements de données personnelles reposent sur les principes de licéité, loyauté, et transparence de la collecte (droit à l’information).<br /><br /> b) <i>Le consentement</i><br />Le consentement de la personne concernée constitue la base de la licéité d’un traitement de données personnelles. Il doit être informé, libre, et résulter d’un acte clair de la personne. Le consentement doit être révocable, sans remettre en cause le traitement réalisé jusqu’à la date de sa révocation.<br /><br />Un consentement spécifique est requis dans les cas suivants : transfert de données par le responsable de traitement à un tiers, publication de données personnelles, collecte de données personnelles par des équipements de sécurité dans des espaces publics, traitement de données sensibles et transferts de données à l’international.<br /><br />Les cas dans lesquels le consentement n’est pas requis sont limités : pour l’exécution d’un contrat avec la personne concernée, pour la gestion des ressources humaines conformément à la réglementation et aux conventions collectives, aux fins de conformité à la loi, pour répondre à des problèmes de santé publique et pour protéger la santé ou la vie de la personne, pour des reportages journalistiques “dans des limites raisonnables”, etc. On notera par ailleurs que la PIPL n’intègre pas la notion d’intérêt légitime.<br /><br /> c) <i>Les droits de la personne sur ses données</i><br />La personne concernée dispose de droits sur ses données similaires à ceux applicables en Europe, tels que les droits d’accès, de rectification et de suppression des données, ainsi que le droit de recevoir une copie des données collectées. Le droit à la portabilité est également prévu, sous réserve de précisions sur les modalités d’exercice de ce droit, devant être apportées par la CAC (Cyberspace Administration of China - l’autorité de contrôle équivalente de la CNIL). <br /><br /> d) <i>Les données sensibles</i><br />Une protection renforcée est prévue pour les données sensibles. La notion de “donnée sensible” couvre les données personnelles qui, en cas de divulgation non autorisée, porteraient atteinte à la dignité ou à la sécurité de la personne concernée ou de ses biens. Par exemple, les données biométriques, la religion, la santé, la situation financière, la géolocalisation ainsi que les données personnelles des enfants de moins de 14 ans sont considérées comme des données sensibles. Contrairement au RGPD, il ne s’agit pas d’une liste exhaustive.<br /><br />Les données sensibles peuvent faire l’objet d’un traitement sous certaines conditions, telles que : la réalisation d’une analyse d’impact par le responsable du traitement préalablement à sa mise en oeuvre, une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées, l’information de la personne concernée sur la nécessité du traitement de données et ses conséquences, le consentement spécifique de la personne concernée.<br /><br /> e) <i>Les données des défunts</i><br />Enfin, contrairement au RGPD, la PIPL prend en compte la possibilité pour les proches d’une personne décédée de gérer ses données personnelles (accès aux données, mise à jour, suppression). La France prévoit cette possibilité avec la Loi pour une république numérique de 2016. (<a href="https://dwavocat.blogspot.com/2020/11/donnees-numeriques-post-mortem-comment.html" target="_blank">voir notre article sur ce sujet</a>)<br /><br /><b>2. Les obligations des responsables du traitement</b><br /><br /> a) <i>La mise en oeuvre de la PIPL</i><br />Le responsable du traitement est responsable de la mise en oeuvre de la PIPL (identification des traitements de données, mise en place de procédures adaptées, assurer la sécurité des données, former les salariés, mener régulièrement des audits de conformité, etc.), et du respect des droits des personnes concernées. Les entreprises traitant de larges volumes de données personnelles devront désigner un délégué à la protection des données (DPO). Le seuil entraînant cette obligation doit encore être fixé.<br /><br /> b) <i>Les analyses d’impact</i><br />Le responsable du traitement doit réaliser une analyse d’impact avant la mise en oeuvre de certains types de traitements :<br /><span> </span>- nouveau traitement de données sensibles,<br /><span> </span>- traitement de données faisant l’objet d’une décision automatisée,<br /><span> </span>- partage de données personnelles avec d’autres organismes ou divulgation publique de données,<br /><span> </span>- transfert de données à l’international,<br /><span> </span>- traitement ayant un impact significatif sur les droits des personnes.<br />Ces types de traitements doivent par ailleurs être réalisés pour une finalité spécifique et nécessaire, et sous réserve de mesures de sécurité adaptées et du consentement spécifique de la personne concernée après avoir été informée sur la nécessité du traitement de données et ses conséquences. <br /><br /> c) <i>Les violations de donnée</i>s<br />Enfin, en cas de violation de données (fuites de données, intrusion frauduleuse dans le système informatique de l’opérateur, etc.), le responsable du traitement doit immédiatement prendre des mesures correctives et notifier la violation aux autorités et aux personnes concernées.<br /><br /><br /><b>3. L’application territoriale de la PIPL</b><br /><br /> a) <i>La localisation des données personnelles de citoyens chinois</i><br />La loi sur la cybersécurité de 2017 imposait le stockage des données personnelles et des données “importantes” (à savoir les données sensibles, de sécurité nationale ou stratégiques) collectées par les opérateurs d’infrastructures d’information critiques, sur le territoire chinois. Toutefois, cette disposition était considérée comme trop imprécise. Une incertitude demeurait notamment pour les données des opérateurs de réseaux et des grandes entreprises du numérique.<br /><br />La PIPL apporte des précisions sur l’obligation de localisation des données personnelles. <br /><br />Les opérateurs d’infrastructures d’information critiques restent tenus de stocker les données personnelles sur le territoire chinois, sauf lorsqu’un transfert international est nécessaire, et sous réserve notamment du consentement spécifique de la personne concernée, d’avoir passé un test de sécurité des données organisé par la CAC, et de la signature de clauses contractuelles types entre l’organisme chinois et l’entreprise étrangère. Les conditions du test et les clauses contractuelles types doivent être publiées par la CAC.<br /><br /> b) <i>Les dispositions d’application extra territoriale</i><br />Comme le RGPD, la PIPL comporte des dispositions d’application extra territoriale.<br /><br />La PIPL est en effet applicable notamment :<br /><span> </span>- aux traitements réalisés en dehors de la Chine mais dont la finalité est de proposer des produits ou des services aux résidents situés en Chine, et <br /><span> </span>- aux traitements dont la finalité est d’analyser et évaluer les activités des Chinois.<br /><br />Les organismes réalisant ces types de traitements de données depuis l’étranger devront soit créer un bureau dédié en Chine, soit désigner un représentant en Chine pour s’assurer de l’application de la loi - obligation similaire au RGPD, qui prévoit la nomination d’un représentant dans l’UE.<br /><br /><br /><b>4. Les sanctions prévues en cas de non-conformité à la PIPL</b><br /><br /> a) <i>Les sanctions</i><br />Deux types de sanctions sont prévus par la PIPL :<br /><span> </span>- une amende maximum de 50 millions de RMB (environ 6,6 millions €) ou 5% des revenus de l’année précédente, applicable à l’organisme fautif ;<br /><span> </span>- une amende fixée entre 100.000 RMB (environ 13.000€) et 1 million de RMB (environ 130.000€), applicable aux personnes physiques responsables d’un manquement à la PIPL et l’interdiction de poursuivre leurs activités de directeur, superviseur, responsable ou DPO de l’organisme en cause.<br /><br /> b) <i>Le contrôle de la conformité</i><br />La conformité à la PIPL est assurée par la Cyberspace Administration of China (CAC), l’autorité de contrôle au niveau global, mais également par les ministères et services concernés du Conseil d’Etat et les services concernés des gouvernements locaux.<br /><br />Il convient de noter que la PIPL n’est pas applicable aux services du gouvernement.<br /><br /><br /> La PIPL doit entrer en application le 1er novembre 2021 - laissant très peu de temps aux organismes concernés (les entreprises présentes sur le territoire chinois et les entreprises à l’international traitant des données personnelles de résidents chinois) pour se mettre en conformité. Après la phase de mise en conformité au RGPD en 2018-2019, les entreprises européennes présentes en Chine et celles traitant de données personnelles de résidents chinois doivent engager un projet similaire de mise en conformité à la PIPL, couvrant notamment des audits internes pour identifier les traitements éventuellement concernés par la loi, l’adaptation des politiques de protection des données personnelles et des procédures internes, le cas échéant, la nomination d’un représentant local.<br /><br />Dans la mesure où certaines dispositions manquent encore de précision ou doivent être complétées, il sera nécessaire de suivre les conditions d’application et d’interprétation de la PIPL par les autorités chinoises concernées, dont la CAC.<br /><br /></span><p></p><p style="text-align: center;"><span style="font-family: verdana;">* * * * * * * * * * *<br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;">Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Septembre 2021 </span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-60066454608806569192021-07-16T14:56:00.001+02:002021-07-16T15:00:27.017+02:00 Transferts de données personnelles : le Royaume-Uni reconnu comme offrant un niveau de protection adéquat par la Commission européenne <p style="text-align: justify;"><span style="font-family: verdana;"><br /></span></p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4Ardox0quzbbCA_9HxUOmCTNW8GQZ54kxtIYkN3AHpIvH3uA4Y5xFffTGi9iMzzsLhHPQGy1P1wqh3gxv2PKDP4HmTtPC_ftj4BX7FAGzffTcXAC2F-XRmAxUaThjfmWEhAl0GXnvDHhQ/s852/1.webp" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="480" data-original-width="852" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi4Ardox0quzbbCA_9HxUOmCTNW8GQZ54kxtIYkN3AHpIvH3uA4Y5xFffTGi9iMzzsLhHPQGy1P1wqh3gxv2PKDP4HmTtPC_ftj4BX7FAGzffTcXAC2F-XRmAxUaThjfmWEhAl0GXnvDHhQ/w200-h113/1.webp" width="200" /></a></div><span style="font-family: verdana;"> </span><p></p><p style="text-align: justify;"><span style="font-family: verdana;">Parmi les multiples conséquences du Brexit figure le problème des transferts de données personnelles entre le continent européen et le Royaume-Uni. En effet, bien que le Royaume-Uni ait été soumis au RGPD jusqu’au 1er janvier 2021, la sortie de l’UE signifie que le Royaume-Uni est désormais considéré comme un pays tiers. Afin de laisser le temps aux parties de mettre en oeuvre une reconnaissance d’adéquation, et ne pas suspendre brusquement les transferts de données avec le Royaume-Uni, la Commission avait accordé une période “tampon” de 6 mois, arrivant à échéance le 30 juin 2021. Le 28 juin 2021, la Commission a annoncé l’adoption de deux décisions d’adéquation, permettant ainsi de poursuivre les flux de données entre les pays-membres et le Royaume-Uni. (1)<br /><br /><br /><b>1. Les conséquences du Brexit sur les transferts de données entre l’UE et le Royaume-Uni</b><br /><br />La décision du Royaume-Uni de sortir de l’Union européenne, entrée en application le 1er janvier 2021, a eu pour conséquence de considérer désormais le Royaume-Uni comme un pays tiers à l’Union. D’une manière générale, le Royaume-Uni n’est donc plus tenu de respecter les règlements européens - dont le RGPD, ni de transposer les futures directives européennes dans son droit interne.<br /><br />En tant que pays tiers à l’UE (et à l’Espace économique européen), il devient donc en principe interdit de transférer des données à caractère personnel entre des organismes situés au sein de l’UE vers des organismes britanniques.<br /><br />Toutefois, en application des articles 44 et s. du RGPD, les transferts de données vers des pays tiers à l’Union restent autorisés, sous réserve, soit :<br /><br />- de la mise en place de clauses contractuelles types entre les organismes, responsable de traitement et sous-traitant,<br />- de la conclusion de clauses contractuelles “ad hoc” entre le responsable de traitement et le sous-traitant ; ces clauses devant comporter des “garanties appropriées” et assurer que les personnes concernées disposent de droits opposables et de voies de recours effectives,<br />- pour les sociétés multinationales, de l’adoption de règles d’entreprise contraignantes (“BCR”), <br />ou encore, <br />- que le pays tiers soit reconnu par la Commission européenne comme offrant un niveau de protection adéquat en matière de données personnelles.<br /><br />Après plusieurs mois d’évaluation des règles relatives à la protection des données personnelles et institutions en place au Royaume-Uni, la Commission européenne a publié deux décisions d’adéquation le 28 juin 2021. Bien que l’on ait pu penser que cette décision serait intervenue plus rapidement, la réglementation en vigueur au Royaume-Uni étant conforme au RGPD au moins jusqu’à la date effective du Brexit, les institutions européennes (notamment le Parlement et le CEPD) craignaient que des divergences apparaissent dans l’application de la réglementation entre les Etats-membres et le Royaume-Uni.<br /><br /><b><br />2. Les conséquences des décisions d’adéquation sur les transferts de données entre l’UE et le Royaume-Uni</b><br /><br />La Commission a reconnu que le Royaume-Uni avait entièrement intégré les principes, à savoir les droits et obligations, issus du RGPD après le Brexit et conclu que la réglementation britannique sur la protection des données continuait à être appliquée selon les mêmes principes applicables préalablement au Brexit.<br /><br />La décision d’adéquation est capitale pour les relations économiques en assurant la liberté de circulation des données personnelles entre le continent et le Royaume-Uni. Elle permet notamment aux organismes qui étaient déjà en relation de poursuivre leurs activités sans interruption, et aux nouveaux contrats, d’être mis en place sans formalités supplémentaires pour gérer les transferts de données personnelles.<br /><br />Une deuxième décision d’adéquation a été adoptée le même jour, dans le domaine des enquêtes et infractions pénales, aux fins de garantir la fluidité des échanges dans le cadre de la lutte contre la criminalité. Cette décision, prise en application de la directive du 27 avril 2016 reconnaît l’existence de mesures de sauvegarde fortes en matière d’accès aux données personnelles par les forces de l’ordre et le système judiciaire britanniques.<br /><br />On notera que, pour la première fois, ces décisions d’adéquation ont été accordées pour une durée limitée de quatre ans. Selon une clause de “suppression automatique”, ces décisions doivent expirer au bout de cette période. Le renouvellement des décisions d’adéquation ne sera pas automatique. Le niveau de protection adéquat par le Royaume-Uni ne sera reconnu par la Commission que si le Royaume-Uni continue d’appliquer un niveau élevé de protection des données.<br /><br />Enfin, ces décisions d’adéquation permettent au Royaume-Uni d’être en conformité avec l’Accord de commerce et de coopération (ACC) entre l’Union européenne et le Royaume-Uni, qui prévoir notamment le respect de normes élevées en matière de protection des données personnelles.<br /><br /><br /> A ce jour, seuls une dizaine de pays et territoires tiers ont été reconnus par la Commission européenne comme disposant d’une réglementation relative à la protection des données personnelles offrant un niveau de protection adéquat. Et seul le Japon avait obtenu ce “passeport” après l’entrée en application du RGPD, en janvier 2019. La République de Corée sera le prochain pays devant bénéficier d’une décision d’adéquation. Le projet de décision d’adéquation a en effet été transmis par la Commission au Comité européen de la protection des données (CEPD) courant juin dernier.<br /></span></p><p><span style="font-family: verdana;"><br /> * * * * * * * * * * *<br /><br /></span></p><p style="text-align: left;"><span style="font-family: verdana;"><span style="font-size: x-small;">(1) Commission Implementing Decision of 28.06.2021 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom ; Commission Implementing Decision of 28.06.2021 pursuant to Directive (EU) 2016/680 of the European Parliament and of the Council on the adequate protection of personal data by the United Kingdom</span></span><br /><span style="font-family: verdana;"></span><span style="font-family: verdana;"><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Juillet 2021 </span><br /></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-5468462278739220852021-03-04T09:36:00.001+01:002023-03-27T17:51:16.295+02:00 Formaliser son projet informatique pour limiter les contentieux<p style="text-align: justify;"><span style="font-size: small;"></span></p><div class="separator" style="clear: both; text-align: center;"><span style="font-size: small;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPuJxyj1JpDRmgoqDBw7e3dzdckfl2Z6yNFolJf-CLRf9HJjBznDoSniAQTL4gDhl42txfsz2lSrmt0GAwoV8_xhW-hkeJREFjTDTDch3fwJ9RAFNOOirPU-Sxaz_6sfADrI4vZOHQD4Nf/s800/flux_binaire+-+logiciel.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="600" data-original-width="800" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjPuJxyj1JpDRmgoqDBw7e3dzdckfl2Z6yNFolJf-CLRf9HJjBznDoSniAQTL4gDhl42txfsz2lSrmt0GAwoV8_xhW-hkeJREFjTDTDch3fwJ9RAFNOOirPU-Sxaz_6sfADrI4vZOHQD4Nf/w200-h150/flux_binaire+-+logiciel.jpg" width="200" /></a></span></div><span style="font-size: small;"><br /></span><p></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;">Trop de projets informatiques ignorent encore le formalisme de la contractualisation et de la documentation des différentes étapes du projet, qu’il s’agisse d’un projet de développement “classique” ou d’un projet de développement “agile”.<br /></span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;"><br />Deux récents jugements viennent ainsi rappeler que l’absence d’expression des besoins et l’absence de contestation des dysfonctionnements avant la réception du projet lèsent le client, malgré l’obligation de conseil incombant au prestataire. <br /><br /><br /><b>1. L’absence d’expression des besoins par le client dans le cadre d’un projet agile<br /></b><br />Dans une première affaire, jugée le 7 octobre 2020, la société Oopet, une startup dans le domaine des animaux de compagnie, avait commandé le développement de deux applications mobiles et d’un site web à la société Dual Media Communication, prestataire informatique. Le client a par la suite reproché au prestataire d’avoir notamment manqué à son obligation de conseil pour ne pas lui avoir recommandé de réaliser un cahier des charges, et d’avoir livré des prestations défectueuses. (1)<br /><br />Le projet était mené selon la méthode agile. Plus pragmatique et évolutif qu’un développement selon les méthodes classiques en cascade ou en V, un projet agile suit une construction au fur et à mesure sur la base d’itérations, d’intégrations ou de tests en continu (suivant les méthodes agiles “scrum”, “extreme programming” ou “lean software development”). <br /><br />Quelle que soit la méthode de développement utilisée, un projet agile repose sur une très forte implication des parties - prestataire et client, dans le suivi du projet, nécessitant de nombreux échanges entre les parties et la prise en compte des besoins du client par le prestataire tout au long de la phase de développement informatique. <br /><br />En l’espèce, le client n’avait pas produit de cahier des charges. Les juges n’ont pourtant pas considéré que le prestataire avait manqué à son obligation de conseil et de mise en garde. Les juges ont en effet pris en compte les particularités d’un projet agile, en soulignant que les difficultés rencontrées pendant la phase de développement, notamment “<i>les erreurs relevées, les réponses quelque fois tardives, la difficulté de s’accorder sur des prestations qui apparaissent entre les cocontractants, ne dérogent pas à la norme de ce type de construction en l’absence de cahier des charges et ne présentent pas de caractère anormal</i>.” <br /><br />Même s’il n’existe pas de cahier des charges exhaustif au commencement d’un projet agile, ce qui est l’essence même de la flexibilité requise, il est important que le client détaille a minima la finalité du projet et ses attentes (exigences formelles par exemple) afin que le prestataire comprenne ses besoins. Les juges rappellent ainsi que si l’obligation de conseil à la charge du prestataire dépend des besoins et objectifs du client, celui-ci doit les exprimer précisément. Cette obligation ne pourra être exécutée si le client ne fournit pas les informations nécessaires au prestataire afin de lui permettre de répondre au plus près aux besoins du client. <br /><br />Bien qu’il existe peu de décisions judiciaires relatives à l’exécution de projets agiles - les litiges étant souvent résolus à l’amiable, l’un des problèmes récurrents de ces projets est une défaillance de formalisme : contrats mal rédigés ou inadaptés à ce type de prestation, absence de définition des besoins, coût du projet mal anticipé… Or, même si agilité rime avec souplesse et adaptabilité, les parties se doivent de prendre soin d’encadrer le projet en amont et de respecter les procédures prévues pour chaque phase afin d’éviter les contentieux en bout de course.<br /><br /><br /><b>2. Les conséquences juridiques de la signature du procès-verbal de recette<br /></b><br />L’absence de formalisme dans la relation contractuelle se constate également après la livraison de la prestation, qu’il s’agisse d’un projet développé selon une méthode classique ou agile. <br /><br />Contrepartie de l’obligation de délivrance par le prestataire, l’obligation de réception incombe au client. Or, la mise en production d’un logiciel ou d’un site web par le client, sans avoir signé de procès-verbal de recette et sans avoir relevé de dysfonctionnements, équivaut à l’acceptation de la prestation. <br /><br />La phase de réception doit permettre d’identifier par le biais de tests, les dysfonctionnements pouvant subsister dans le logiciel livré. La recette définitive actée emporte l’obligation pour le client de payer le solde de la prestation et, le cas échéant, le départ de la période de garantie contractuelle.<br /><br />La mise en production ou la signature du procès-verbal de recette sans réserves met un terme au projet informatique. Sauf exception, le client ne peut alors plus contester la délivrance conforme du projet informatique. <br /><br />Deux décisions récentes rappellent l’importance des phases de livraison et de recette d’un projet informatique.<br /><br />Dans une affaire opposant la société My Taylor is Free, qui réalise et vend des costumes sur mesure et prêt à porter, à ses prestataires, le client avait conclu un contrat de développement de site e-commerce avec la société Antadis. Par ailleurs, en avril 2017, My Taylor is Free a accepté le devis proposé par la société Exalt3D pour une prestation de “scan, modélisation et texturage”. Plusieurs factures étant restées impayées à Exalt3D, celle-ci a assigné My Taylor is Free en paiement devant le tribunal de commerce d’Aix-en-Provence. (2)<br /><br />Le tribunal a retenu que les devis ainsi que l’échéancier de paiement avaient été acceptés par My Taylor is Free. Selon les emails échangés entre les trois sociétés, il apparaît notamment que la société Antadis a bien livré le site internet et que celui-ci a été recetté. L’absence de courrier de réclamation à Antadis sur la livraison du site web indique que My Taylor is Free l’a accepté en l’état. De même, My Taylor is Free n’a émis aucune réclamation écrite à la société Exalt3D sur sa prestation. Le tribunal en conclut que les prestations ont été exécutées et livrées par les deux sociétés prestataires et que les factures doivent être réglées par My Taylor is Free.<br /><br />Dans l’affaire, opposant Oopet à Dual Media Communication, la société Oopet avait signé le procès-verbal de recette sans réserves. Or, la signature du procès-verbal de recette n’est pas une simple formalité. Comme l’a rappelé le tribunal, “<i>il était de la responsabilité de SAS Oopet de vérifier par test les concordances des fonctions des applications à ses attentes, donc que la signature de ces procès-verbaux de recette montre son acceptation en toute connaissance quand il écrit “le client Oopet reconnaît avoir conduit les vérifications nécessaires et estime le produit livré conforme au devis initial</i>”.<br /><br /><br /> Il existe une abondante jurisprudence sur l’obligation de conseil et de mise en garde incombant au prestataire professionnel. Or cette obligation doit être examinée en parallèle avec l’obligation de collaboration du client. Ces deux affaires illustrent bien cette obligation qui incombe au client pour tout projet de développement informatique. En effet, le client ne peut rester passif. Il doit communiquer ses besoins au prestataire, se manifester et interagir pendant la durée du projet, l’interroger si nécessaire et remonter les dysfonctionnements éventuels. Un certain formalisme doit donc être respecté, depuis un contrat reflétant les prestations à réaliser et précisant, le cas échéant, la méthode de développement, en passant par un suivi de projet rigoureux, une phase de livraison, une ou plusieurs phases de tests, et enfin la recette définitive du projet, cela pour limiter les risques de litiges pouvant survenir. <br /><br /></span></span></p><p style="text-align: center;"><span style="font-size: small;"><span style="font-family: verdana;">* * * * * * * * * * *<br /></span></span></p><p style="text-align: justify;"><span style="font-size: small;"><span style="font-family: verdana;"><br /><span style="font-size: x-small;">(1) T com. Paris, 8é ch., 7 oct. 2020, Oopet c/ Dual Media Communication<br /><br />(2) T com. Aix-en-Provence, 16 nov. 2020, Exalt3D c/ My Taylor is Free et Antadis<br /></span><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Mars 2021</span></span></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-83433170365304159612020-11-24T11:28:00.001+01:002020-11-24T11:28:39.309+01:00Données numériques post-mortem : comment gérer les données d’un proche décédé ?<p style="text-align: justify;"> </p><div class="separator" style="clear: both; text-align: center;"><span style="font-size: x-small;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjM425elalAzXR5s6fs0Bhamy2SCZYHCbjaeD6nVNWtwow4-WT6CWoSafhnQQn8ehjUn8DtLKYsfnbi7Oi60Y4Ggjfqo9qzJo-6Unv_Fd96NvhAdschkP_QQkF54k7dbd7BB6AHoCLTkrap/s1000/Data.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="565" data-original-width="1000" height="113" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjM425elalAzXR5s6fs0Bhamy2SCZYHCbjaeD6nVNWtwow4-WT6CWoSafhnQQn8ehjUn8DtLKYsfnbi7Oi60Y4Ggjfqo9qzJo-6Unv_Fd96NvhAdschkP_QQkF54k7dbd7BB6AHoCLTkrap/w200-h113/Data.jpg" width="200" /></a></span></div><span style="font-family: verdana;"><br />La plupart d’entre nous avons créé et utilisons plusieurs comptes en ligne, que ce soit à des fins personnelles ou professionnelles, sans oublier la messagerie électronique… Toutefois, lors du décès du titulaire de comptes en ligne se pose la question de la gestion de ses données. En effet, la mort physique n’entraîne pas automatiquement la mort numérique et les comptes personnels, même inactifs, peuvent rester en ligne pendant des période plus ou moins longues. La question de la gestion des données numériques d’une personne décédée est essentielle lorsque l’on sait que chaque jour, 8.000 personnes en moyenne, inscrites sur Facebook, décèdent dans le monde. (1)<br /><br /><br /><b>1. Les données personnelles numériques sont, par définition, personnelles </b><br /><br />Les données à caractère personnel sont définies comme toute information se rapportant à une personne physique identifiée ou identifiable, c’est-à-dire la personne concernée. Toute autre personne, y compris ses héritiers, est dès lors considérée comme un tiers. (2) <br /><br />Les droits de la personne concernée (notamment les droits d’accès, de rectification et de suppression des données) sont attachés à cette personne et ne peuvent être exercés que par elle. Ce principe a ainsi été rappelé par les juges du Conseil d’Etat par deux arrêts en 2011 et 2017. (3) Les comptes de messagerie électronique sont, eux, couverts par le secret des correspondances.<br /><br />Les droits de la personne concernée s’éteignent à son décès. Les tiers, héritiers et proches du défunt, n’ont donc pas automatiquement accès à ses comptes ouverts sur les plateformes et réseaux sociaux.<br /><br />Que deviennent alors ses données numériques, ses comptes ouverts sur Facebook, Instagram, Twitter, LinkedIn, YouTube, ses comptes de messagerie ? <br /><br />Jusqu’à l’entrée en vigueur de la Loi pour une république numérique, (4) les ayants droit d’une personne décédée ne pouvaient avoir accès à ses données numériques que dans des cas limités, aux fins d’exercer leurs droits en qualité d’héritiers (accès aux données de comptes bancaires par exemple).<br /><br />De nombreux sites web, plateformes et réseaux sociaux clôturent automatiquement les comptes inactifs au bout d’une certaine période (1 an, 2 ans, voire plus). Cependant, les exploitants des sites n’ont pas connaissance du décès de leurs utilisateurs et ne peuvent intervenir pour supprimer leurs comptes à leur décès. D’autres plateformes n’ont pas de procédure particulière pour les comptes inactifs. Il existe donc de nombreux comptes inactifs pour cause de décès de leurs titulaires qui restent en ligne, la mort physique n’entraînant pas automatiquement la mort numérique.<br /><br /><br /><b>2. Les conditions de la mise à jour des données numériques après la mort d’un proche</b><br /><br />La Loi pour une république numérique a prévu une procédure assez complète aux fins de gérer la mort numérique d’un proche, en respectant le “testament numérique” du défunt. Ces dispositions figurent désormais à l’article 85 de la loi Informatique et Libertés, modifiée.<br /><br />Deux options peuvent se présenter : soit la personne a défini des directives relatives à ses données personnelles après son décès, soit elle n’a pas prévu de directives.<br /><br /> <i>a) La personne a défini des directives relatives à ses données personnelles après son décès</i><br /><br />Les directives définissent les conditions d’accès et de traitement de ses données personnelles après son décès. La personne concernée peut modifier ou révoquer ses directives à tout moment, au même titre qu’un testament.<br /><br />Au cas où la personne concernée a défini des directives relatives à ses données personnelles après son décès, celles-ci peuvent être générales ou particulières.<br /><br />Les directives générales portent sur l’ensemble des données personnelles de la personne concernée. Elles peuvent désigner la personne qui sera chargée de leur exécution. A défaut de désignation d’une personne spécifique, et sauf directive contraire, ses héritiers seront habilités à en prendre connaissance au décès de leur proche et à demander leur mise en oeuvre. Ces directives peuvent être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL. L’existence de directives générales et le tiers de confiance sont inscrits dans un registre unique.<br /><br />Les directives particulières portent sur les traitements de données identifiés dans ces directives, qui sont ensuite enregistrées auprès des responsables de traitement concernés, à savoir les plateformes et réseaux sociaux. A cette fin, les conditions d’utilisation des plateformes et/ou politiques de protection de la vie privée doivent mentionner cette possibilité. Toutefois, ce traitement doit faire l’objet d’un consentement spécifique, distinct de l’acceptation des conditions d’utilisation.<br /><br /> <i>b) La personne n’a pas prévu de directives relatives à ses données personnelles après son décès</i><br /><br />Dans ce cas, ses héritiers ne peuvent exercer leurs droits qu’aux fins d’une part, d’organiser et de régler la succession du défunt en accédant aux informations utiles à la liquidation et au partage de la succession et d’autre part, de faire prendre en compte le décès par le responsable du traitement (clôture du compte utilisateur, mise à jour du compte, etc.).<br /><br />Les principaux réseaux sociaux ont prévu des fonctionnalités de suppression de comptes inactifs suite au décès de leur titulaire (sauf mention contraire du défunt dans ses directives) ou de passage en mode “mémorial” (cf. Facebook) pour que les proches et amis puissent échanger et laisser des messages à sa mémoire. La CNIL publie sur son site une liste de réseaux sociaux ayant mis en place ce type de fonctionnalité, avec les liens vers les pages permettant de signaler le décès d’un proche.<br /><br />En cas de désaccord entre les héritiers, ou si l’un d’eux estime notamment que l’utilisation des données personnelles d’une personne décédée porte atteinte à sa mémoire, sa réputation ou son honneur, ceux-ci peuvent saisir le tribunal judiciaire compétent.<br /><br /><br /></span><p></p><p style="text-align: center;"><span style="font-family: verdana;">* * * * * * * * * * *<br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;"><span style="font-size: x-small;">(1) Source : CNIL <a href="https://www.cnil.fr/fr/mort-numerique-effacement-informations-personne-decedee" target="_blank">“Mort numérique : peut-on demander l’effacement des informations d’une personne décédée ?”</a><br /><br />(2) Voir définitions à l’article 4 du Règlement général pour la protection des données (RGPD)<br /><br />(3) Arrêt CE du 29 juin 2011, req. n°339147 ; Arrêt CE du 7 juin 2017, req. n°399446<br /><br />(4) Loi n°2016-1321 pour une république numérique du 7 octobre 2016</span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Novembre 2020</span></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-78796190248461148722020-11-18T09:31:00.001+01:002020-11-26T11:17:28.919+01:00Protection des données personnelles : analyse comparative entre le RGPD (UE) et les CBPR (APEC)<div><p style="text-align: justify;"> </p><div class="separator" style="clear: both; text-align: center;"><a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcmq9hRyeL7muwkRW4jZHMppfyEu7twRYd-OxoLITBGDQoFLH10ORpT9aci21F6932VupF6flLcnMs7nGA7nnsdh3F1898hHzfpTRY0E5T9YmdqLJrHbY95Jsv8YVXL3gqJKZEjkxrzSbt/s1600/DataPrivacy.jpg" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1200" data-original-width="1600" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjcmq9hRyeL7muwkRW4jZHMppfyEu7twRYd-OxoLITBGDQoFLH10ORpT9aci21F6932VupF6flLcnMs7nGA7nnsdh3F1898hHzfpTRY0E5T9YmdqLJrHbY95Jsv8YVXL3gqJKZEjkxrzSbt/w200-h150/DataPrivacy.jpg" width="200" /></a></div><span style="font-family: trebuchet;"><br /></span></div><div style="text-align: justify;"><span style="font-family: trebuchet;"><span style="font-family: verdana;"><span style="font-size: small;">Suite à notre <a href="https://dwavocat.blogspot.com/2020/06/flux-transfrontieres-de-donnees.html" target="_blank">précédent article présentant le système des CBPR</a> (Cross-Border Privacy Rules) permettant les transferts de données personnelles entre sociétés situées dans la région Asie-Pacifique (APEC) (1), nous faisons ici une brève analyse comparative entre le RGPD (2) et le système des CBPR afin d’aider à comprendre les objectifs de ces deux systèmes de protection des données personnelles, ce qui les rapproche, mais aussi ce qui les différencie. </span></span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"><b>1. Principes fondamentaux et fonctionnement : RGPD vs CBPR</b></span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Même si les objectifs du RGPD et des CBPR sont similaires, c’est-à-dire permettre le transfert de données personnelles à l’international dans des conditions juridiques sécurisée, les fondamentaux et leur fonctionnement diffèrent.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"><b> 1.1 Le RGPD : une application homogène dans l’Union européenne</b></span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD est entré en application le 25 mai 2018. Ce texte a vocation à s’appliquer de manière homogène dans les Etats-membres de l’Union européenne. (3) Le règlement est venu abroger la directive sur la protection des données personnelles datant d’octobre 1995, qui était devenue obsolète puisqu’elle avait été adoptée avant l’essor des services sur internet (Big data, Cloud computing, …) et l’expansion des GAFAM. </span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">L’objectif principal du RGPD est la protection des consommateurs, et par le biais de règles de consentement renforcées, de leur redonner du pouvoir sur leur données personnelles.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD s’applique à tout organisme, privé et public, responsable de traitement ou sous-traitant, situé dans l’Union européenne, qui traite des données personnelles. Le règlement s’applique également aux organismes situés en dehors de l’UE qui ciblent tout ou partie du marché européen et à ce titre, traitent des données personnelles de résidents européens. (4)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Tout organisme situé au sein de l’UE doit donc être en conformité avec le RGPD. Les transferts de données personnelles au sein de l’UE sont réalisés librement, de même que les transferts de données personnelles entre une organisme situé dans l’UE et un organisme situé dans un pays offrant un niveau de protection adéquat. (5) Les transferts vers les pays tiers sont interdits, sauf adoption par les deux parties de clauses contractuelles types (CCT) validées par la commission européenne, un contrat ad hoc validé par une autorité de contrôle (CNIL par exemple), ou en vertu de règles d’entreprise contraignantes (Binding corporate rules ou BCR) pour les transferts de données personnelles intra-groupe.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> <b> 1.2 Les CBPR : un système flexible applicable sur la base du volontariat</b></span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le système des CBPR est établi sur la base du Privacy Framework de l’APEC (Asia-Pacific Economic Cooperation). Ce système date de 2005 et a été mis à jour en 2015. Contrairement au RGPD, les CBPR ne s’appliquent pas automatiquement dans les pays membres de l’APEC. A ce jour, seuls 9 pays, sur les 21 pays membres de l’APEC, on adhéré au système des CBPR. (6) </span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">L’objectif des CBPR est avant tout économique, c’est-à-dire, de fluidifier les transferts de données personnelles entre les organismes situés dans des pays membres, de manière juridiquement sécurisée, aux fins de développer les flux économiques, et notamment le commerce électronique. (7)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Les CBPR fonctionnent sur les principes de flexibilité et de volontariat. “Flexibilité” : les CBPR ne remplacent pas la réglementation sur la protection des données des pays participant au système CBPR et leur application est soumise à un certain degré de flexibilité. Les pays dont la réglementation sur la protection des données personnelles est plus stricte conservent le “bénéfice” de leur réglementation. Certaines dispositions du cadre de protection des données peuvent également être adaptées compte tenu des différences aux niveaux social, culturel, économique et juridique des pays participants. “Volontariat” : seuls les organismes situés dans les pays adhérant aux CBPR peuvent décider de se faire certifier conformes aux CBPR.adhérent, </span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Par ailleurs, les CBPR ne s’appliquent qu’aux responsables de traitement (“controllers”). Les sous-traitants (“data processors”) peuvent, quant à eux, se faire certifier conformes aux PRP (Privacy Recognition for Processors), qui viennent compléter les CBPR. Il est donc nécessaire, pour une société responsable de traitement, de s’assurer que son co-contractant, situé dans un pays est effectivement certifié CBPR et/ou PRP avant de lui transférer des données personnelles.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Les sociétés certifiées CBPR / PRP des pays de l’APEC participants peuvent ainsi librement transférer des données personnelles entre elles. Les transferts vers des sociétés non certifiées, des pays de l’APEC non participants, et vers les pays tiers sont en principe interdits, sauf dispositions figurant dans les lois nationales de protection des données personnelles.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Enfin, on notera que l’UE compte environ 400 millions d’habitants, et est composée de pays relativement homogènes en terme de développement économique. Les pays de l’APEC participant au système CBPR en comptent le double, soit environ 817 millions d’habitants. Toutefois ces pays sont plus disparates économiquement.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"><b>2. Les principes et dispositions caractéristiques aux deux systèmes</b></span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Dans la mesure où le RGPD et le Privacy Framework de l’APEC, sur lequel repose le système des CBPR, s’inspirent des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve plusieurs principes fondamentaux communs aux deux systèmes. (8) Toutefois, leur mise en oeuvre est différente. (9) Nous abordons ci-après les principales similarités et différences entre les deux systèmes.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> <b> 2.1 Principales similarités entre les deux systèmes</b></span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Comme mentionné plus haut, dans la mesure où les deux systèmes, RGPD et CBPR sont issus des lignes directrices de l’OCDE sur la protection de la vie privée, on retrouve des similarités entre eux, même si les termes utilisés ne sont pas nécessairement identiques. Nous reprenons les principaux concepts par équivalence. Les références aux CBPR se rapportent au Privacy Framework (PF) de l’APEC. </span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Champ d’application matériel</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD s'applique aux traitements de données à caractère personnel, automatisés en tout ou en partie, ainsi qu'aux traitements non automatisés de données à caractère personnel contenues ou appelées à figurer dans un fichier. (RGPD art. 2) Comme mentionné plus haut, contrairement aux CBPR, le règlement s’applique aux responsables de traitement et aux sous-traitants.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le système CBPR s’applique aux personnes physiques ou morales, privées ou publiques qui contrôlent la collecte, détiennent, traitent, utilisent ou transfèrent des données personnelles. Les CBPR ne s’appliquent qu’aux responsables de traitement et sont complétés par les PRP, applicables aux sous-traitants. Il s’agit toutefois d’un système flexible, adaptable aux différences sociales, culturelles, économiques et juridiques des pays participants. (par. 17 PF)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Définitions </i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">“Donnée personnelle” : selon le RGPD, une donnée à caractère personnel signifie “toute information se rapportant à une personne physique identifiée ou identifiable” (la personne concernée). (Art 4.1 RGPD) La définition des CBPR est sensiblement la même. (par. 9 PF)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">“Responsable du traitement” (data controller ou personal information controller) : selon le RGPD, le responsable du traitement est la personne physique ou morale, qui détermine les finalités et les moyens du traitement. Il peut y avoir des responsables du traitement conjoints. (art. 4.7 RGPD) Les CBPR définissent le responsable du traitement comme la personne physique ou morale qui contrôle la collecte, le traitement, l’utilisation et le fait de détenir des données personnelles. (par.10 PF)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Principes relatifs au traitement des données à caractère personnel</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD reprend et enrichit les principes applicables aux traitements de données par rapport à la directive d’octobre 1995, à savoir, les notions de licéité, loyauté, transparence du traitement, de finalités déterminées, explicites et légitimes, de minimisation (traitement limité aux données nécessaires au regard des finalités), données exactes et à jour, conservées pendant une durée limitée, de manière sécurisée et confidentielle. (art. 5.1 RGPD)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">On retrouve ces principes dans le système CBPR, à savoir, les principes d’information et de consentement de la personne concernée (“notice, consent and choice”) (par. 21 à 23 et 26 PF), de limitation des données collectées (par. 24) et de finalité (par. 25), ainsi que les notions d’intégrité et de données à jour. (par. 27)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Principe de responsabilité (“accountability”)</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le principe de responsabilité a été renforcé avec le RGPD, le responsable du traitement devant être en mesure de démontrer être en conformité avec le règlement. (Considérant 85 et art. 5 2 RGPD)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le système des CBPR reconnaît ce principe de responsabilité en matière de conformité du responsable du traitement. (par. 32 PF)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Principe de sécurité des données</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Les responsables du traitement et leurs sous-traitants sont responsables de la sécurité (physique et logique) des données qu’ils traitent, compte tenu notamment de l’état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques et du coût des mesures de sécurité par rapport au niveau de sensibilité des données traitées. (art. 32-1 RGPD)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le principe de sécurité des données contre la perte, les accès non autorisés aux données ou la destruction, l’utilisation, la modification ou la divulgation non autorisées des données, est également reconnu par les CBPR. (par. 28 PF)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> <b> 2.2 Principales différences entre les deux systèmes</b></span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Il existe toutefois de nombreuses différences entre les deux systèmes, en commençant par les objectifs poursuivis par le RGPD et par les CBPR respectivement.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Objectifs</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD a pour objectif de permettre la libre circulation des données personnelles au sein de l’Union européenne, ainsi que d’assurer la protection des personnes concernant leurs données personnelles. Le RGPD définit la protection des personnes physiques concernant le traitement des données personnelles comme un droit fondamental. (1er considérant et art. 1er RGPD)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Les CBPR fournissent un système de protection des données personnelles permettant de lever les barrières aux transferts de données, en assurant le développement du commerce et des relations économiques dans la région APEC. Le Privacy Framework reconnaît le droit des personnes concernées à une attente légitime en matière de protection des données, et contre une utilisation abusive de ces données. (par. 20 PF)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Champ d’application territoriale</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD s'applique aux traitements de données personnelles effectués sur le territoire de l’Union européenne, que les traitements aient effectivement lieu ou non dans l’UE. Le règlement produit également des effets extra-territoriaux, puisqu’il s’applique aussi aux traitements de données concernant des personnes résidant dans l’UE par des organismes situés hors de l’UE. (art. 3 RGPD)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Les CBPR ne définissent pas de champ d’application territoriale puisque le système ne s’applique qu’aux pays de l’APEC ayant adhéré aux CBPR et uniquement aux organismes certifiés CBPR (et/ou PRP pour les sous-traitants). Toutefois, les autorités de contrôle des pays participants sont encouragées à coopérer entre elles pour assurer l’application effective des CBPR (par. 62 s. PF).</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Sous-traitant (data processor)</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD définit le sous-traitant comme la personne physique ou morale qui traite des données à caractère personnel pour le compte du responsable du traitement. (art. 4.8 RGPD)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le Privacy Framework de l’APEC et les CBPR ne s’appliquent pas aux sous-traitants.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Données accessibles au public</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">D’une manière générale, le RGPD s’applique aux données personnelles, qu’elles soient accessibles publiquement (données accessibles sur les réseaux sociaux par exemple : nom, prénom, photos, etc.), ou non.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le Privacy Framework de l’APEC et les CBPR s’appliquent de manière très limitée aux données personnelles accessibles publiquement. Dans la mesure où la personne concernée a en principe rendu ses données publiques, et que ses données ne sont pas collectées directement auprès d’elle, on considère que les principes d’information et de choix ne sont pas applicables. (par. 11 PF)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Adaptations par les Etats-membres / pays participants</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Même s’il s’agit d’un règlement européen, applicable directement par les Etats-membres, le RGPD prévoit quelques domaines résiduels sur lesquels les Etats-membres peuvent légiférer. Ainsi, en France, la loi Informatique et Libertés a été modifiée par ordonnance le 12 décembre 2018 pour intégrer ces dispositions aménagées. (10)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Les pays qui adhèrent au système des CBPR peuvent appliquer des exceptions au champ d’application du système correspondant à leur situation spécifique.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Violations de données personnelles, notification et correction</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD définit la violation de données à caractère personnel comme une violation de la sécurité entraînant, de manière accidentelle ou illicite, la destruction, la perte, l'altération, la divulgation non autorisée de données à caractère personnel transmises, conservées ou traitées d'une autre manière, ou l'accès non autorisé à de telles données. (Art. 4.12 RGPD) Alors que précédemment l’obligation de notifier les violations de données aux autorités de contrôle ne s’appliquait en France qu’aux seuls opérateurs télécom, le RGPD a étendu cette obligation à tous les organismes. En cas de violation de données personnelles, la procédure de notification et de correction est décrite à l’article 33 du RGPD.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Les CBPR ne comprennent pas de définition de violation de données personnelles. Toutefois, les pays participants doivent prévoir des procédures de notification aux autorités de contrôle ou aux personnes concernées en cas de violation de données. </span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Durée de conservation des données personnelles</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le RGPD limite la durée de conservation des données à caractère personnel. Les données personnel sont conservées sous une forme permettant l'identification des personnes concernées pendant la durée nécessaire aux finalités pour lesquelles elles sont traitées. Elles sont ensuite supprimées. Elles peuvent cependant être conservées pour des durées plus longues, sous une forme anonymisée, en cas de traitement à des fins archivistiques, de recherche scientifique ou historique ou à des fins statistiques. (art. 5.1 RGPD)</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">En revanche, le Privacy Framework ne prévoit pas d’obligation de limitation de durée de conservation des données.</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> - <i>Données des enfants</i></span></span><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Enfin, l’article 8 du RGPD prévoit des règles spécifiques pour la protection des données personnelles des mineurs, avec la possibilité pour chaque Etat-membre de fixer le seuil de l’âge de cette protection spécifique entre 13 et 16 ans (fixé à 15 ans en France).</span></span><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;">Le Privacy Framework ne prévoit pas de protection spécifique pour les données des mineurs.</span></span><br /><br /><br /><span style="font-family: trebuchet;"><span style="font-family: verdana;"> Le système des CBPR, complété par les PRP, n’est pas reconnu par la Commission européenne comme offrant un niveau de protection adéquate. Parmi les pays membres de l’APEC, seuls le Canada et le Japon sont actuellement reconnus par la Commission européenne comme des pays offrant un niveau de protection adéquate. En conséquence, pour les autres pays de l’APEC, participant ou non au système des CBPR, les transferts de données entre un organisme situé dans l’Union européenne et une société certifiée située dans un pays de l’APEC doivent respecter les règles européennes de transfert à l’international (adoption de CCT, signature d’un contrat approuvé par une autorité de contrôle ou transfert couvert par des BCR).</span></span><br /></div><span style="font-family: trebuchet;"><span style="font-family: verdana;"><br /></span></span><p></p><p style="text-align: center;"><span style="font-family: verdana;">* * * * * * * * * * *<br /></span></p><p style="text-align: justify;"><span style="font-family: verdana;"><span style="font-size: x-small;">(1) <a href="www.apec.org" target="_blank">Site de l’APEC</a> L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.<br /><br />(2) Règlement général pour la protection des données n° 2016-679, ou RGPD<br /><br />(3) Le RGPD ne s’applique pas de manière identique dans toute l’Union. Le règlement permet aux Etats-membres d’adopter des dispositions spécifiques dans quelques domaines identifiés.<br /><br />(4) Article 3 - RGPD<br /><br />(5) Les pays membres de l’APEC offrant un niveau de protection adéquate sont le Canada, le Japon, et la Nouvelle-Zélande (hors système CBPR). Des pourparlers sont en cours entre la Commission européenne et la République de Corée pour ajouter ce pays à la liste des pays offrant un niveau de protection adéquate. Le Privacy Shield (Bouclier de protection), en place entre l’Union européenne et les Etats-Unis (membre de l’APEC), a été invalidé par un arrêt de la Cour de justice de l’Union européenne (CJUE) le 16 juillet 2020.<br /><br />(6) Les 9 pays de l’APEC participant au système des CBPR à la date du présent article sont : l’Australie, le Canada, la Corée du Sud, les Etats-Unis, le Japon, le Mexique, les Philippines, Singapour, et Taiwan. <br /><br />(7) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018<br /><br />(8) <a href="https://www.oecd.org/fr/internet/ieconomie/lignesdirectricesregissantlaprotectiondelaviepriveeetlesfluxtransfrontieresdedonneesdecaracterepersonnel.htm" target="_blank">Lignes directrices de l’OCDE</a> <br /><br />(9) Les CBPR reposent sur 9 principes fondamentaux, définis dans le Privacy Framework de l’APEC. Il s’agit des principes de : responsabilité (accountability), information des personnes (notice), choix (choice), limitation des données collectées (collection limitation), intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données. <br /><br />(10) Ordonnance n°2018-1125 du 12 décembre 2018 prise en application de l'article 32 de la loi n°2018-493 du 20 juin 2018 relative à la protection des données personnelles et portant modification de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés et diverses dispositions concernant la protection des données à caractère personnel.</span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Novembre 2020</span></p>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-72509502352685818332020-07-11T12:23:00.000+02:002020-07-12T08:58:17.514+02:00CBPR et PRP : Singapour modifie la loi sur le transfert des données personnelles <div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJBtp3f5n2hb0avkEeuh4cwCfGiFp0zuoMT5xF_JLxWdMezUtgWf6RokU1UC1DqUlhVqwc0xE2oEWRjSyP0E8NQsHxyDx3Q0YzG7i8QYiPouPVpyKv_ZkuqOtShrTvA5fpXVtvJkiuFadP/s1600/Donne%25CC%2581es+perso.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="707" data-original-width="1000" height="141" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEgJBtp3f5n2hb0avkEeuh4cwCfGiFp0zuoMT5xF_JLxWdMezUtgWf6RokU1UC1DqUlhVqwc0xE2oEWRjSyP0E8NQsHxyDx3Q0YzG7i8QYiPouPVpyKv_ZkuqOtShrTvA5fpXVtvJkiuFadP/s200/Donne%25CC%2581es+perso.jpg" width="200" /></a></div>
<br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><span style="font-family: "trebuchet ms" , sans-serif;">Singapour a rejoint le système des CBPR (Cross-Border Privacy Rules - règles transfrontières de protection des données) de l’APEC en avril 2018. Il aura fallu un peu plus de deux ans pour que la loi singapourienne sur la protection des données personnelles soit modifiée pour admettre les transferts de données personnelles dans le cadre des CBPR. (1)</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">La Loi sur la protection des données personnelles de 2012 (PDPA) est entrée en application en trois phases entre le 2 janvier 2013 et le 2 juillet 2014. (2) Cette loi est complétée par les Règlements sur la protection des données personnelles de 2014, dont le titre III concerne les transferts de données vers l’étranger (ci-après, les “Règlements”). (3)</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">En règle générale, les données personnelles ne peuvent être librement transférées depuis Singapour vers un pays étranger, sauf dans les cas prévus par les Règlements. </span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">Avant de transférer les données vers un organisme situé à l’étranger, l’organisme singapourien doit notamment s’assurer que l’organisme destinataire est soumis à des engagements opposables accordant aux données transférées un niveau de protection au moins équivalent à la protection accordée par la loi singapourienne sur la protection des données personnelles. Ce niveau d’engagement peut figurer dans la loi du pays du destinataire, dans un contrat conclu entre l’organisme singapourien et l’organisme destinataire, ou dans des règles d’entreprise contraignantes (Binding corporate rules - BCR) pour les transferts intra-groupe.</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">Les Règlements ont été modifiés le 4 juin dernier pour ajouter les transferts de données à l’étranger vers des organismes certifiés dans le cadre du système des CBPR pour les responsables de traitements, ou des PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants). Pour rappel, seuls les organismes situés dans des pays de l’APEC ayant adhéré au système des CBPR et PRP peuvent bénéficier de ces mesures de transfert. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie. (4)</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">La Commission pour la protection des données personnelles (PDPC) a publié des clauses types pouvant être intégrées aux contrats comprenant des transferts de données vers des organismes certifiés CBPR ou PRP. (5) </span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"> * * * * * * * * * * *</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><span style="font-size: x-small;"><br /><span style="font-family: "trebuchet ms" , sans-serif;">(1) <a href="http://cbprs.org/" target="_blank">Site des CBPR</a> </span><br /><span style="font-family: "trebuchet ms" , sans-serif;"></span><br /><span style="font-family: "trebuchet ms" , sans-serif;">(2) Personal Data Protection Act 2012 (“PDPA”)</span><br /><span style="font-family: "trebuchet ms" , sans-serif;"></span><br /><span style="font-family: "trebuchet ms" , sans-serif;">(3) Personal Data Protection Regulations 2014</span><br /><span style="font-family: "trebuchet ms" , sans-serif;"></span><br /><span style="font-family: "trebuchet ms" , sans-serif;">(4) Pour plus de détails sur le fonctionnement du système, voir notre article “<a href="https://dwavocat.blogspot.com/2020/06/flux-transfrontieres-de-donnees.html" target="_blank">Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR</a>”</span><br /><span style="font-family: "trebuchet ms" , sans-serif;"></span><br /><span style="font-family: "trebuchet ms" , sans-serif;">(5) <a href="https://www.pdpc.gov.sg/help-and-resources/2020/06/sample-clause-for-data-transfers-to-apec-cbpr-and-prp-certified-organisations">https://www.pdpc.gov.sg/help-and-resources/2020/06/sample-clause-for-data-transfers-to-apec-cbpr-and-prp-certified-organisations</a></span><br /><span style="font-family: "trebuchet ms" , sans-serif;"></span></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">Bénédicte DELEPORTE</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">Avocat</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">Deleporte Wentz Avocat</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">www.dwavocat.com</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">Juillet 2020</span>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-50834327121025164952020-06-24T12:23:00.000+02:002020-07-12T09:25:11.997+02:00Flux transfrontières de données personnelles en Asie-Pacifique : le système CBPR<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1CW5SCs0XPqzreIC-5XlbsZa24QuNndjzPHL_8Kb5eut5UtJgG9Q0zsjRQoq4xi8qBKXqXyolrvA8V58io0cQa4cRh_00Bp0WbMqdlgA3NzP9O6GuI95gXppF1oEiM51cqpI1nwC50c3N/s1600/DataPrivacy.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1200" data-original-width="1600" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEi1CW5SCs0XPqzreIC-5XlbsZa24QuNndjzPHL_8Kb5eut5UtJgG9Q0zsjRQoq4xi8qBKXqXyolrvA8V58io0cQa4cRh_00Bp0WbMqdlgA3NzP9O6GuI95gXppF1oEiM51cqpI1nwC50c3N/s200/DataPrivacy.jpg" width="200" /></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;">Les règles transfrontières de protection des données (Cross-Border Privacy Rules ou CBPR) ont été développées par l’APEC en 2011, pour permettre aux entreprises de ses pays membres de transférer des données personnelles selon des règles sûres et reconnues.<br /><br />Fondé en 1989, l’APEC (Asia-Pacific Economic Cooperation ou Coopération Economique pour l’Asie-Pacifique) est un forum économique régional intergouvernemental regroupant 21 pays bordant le Pacifique. L’APEC a pour mission de faciliter la croissance économique et la coopération entre ses 21 membres. Outre les Etats-Unis, le Canada, le Mexique, le Chili et la Russie, l’APEC compte également parmi ses membres la Chine, l’Australie, le Japon, la Corée, Singapour, l’Indonésie et la Malaisie notamment. (1)<br /><br /><b>1. Qu’est-ce que le système CBPR ?</b><br /><br /> <b> 1.1 Un système de transfert de données personnelles, basé sur le volontariat</b><br /><br />A l’instar du RGPD européen, le système CBPR a pour objet de fluidifier les transferts de données personnelles entre les pays adhérents dans la région Asie-Pacifique. Mais alors que le RGPD s’impose à tous les organismes situés dans l’Union européenne et aux entreprises non-européennes qui ciblent le marché européen, les CBPR s’appliquent aux seules entreprises, responsables de traitement, qui choisissent, de manière volontaire, de se faire certifier conformes aux CBPR, et qui sont situées dans les pays membres de l’APEC appliquant les CBPR. (2)<br /><br />Contrairement à l’Union européenne, dont les Etats membres partagent un certain nombre de valeurs sociétales, économiques, juridiques et politiques en application des traités d’adhésion européens, la région Asie-Pacifique ne dispose pas de traité d’union similaire, même s’il existe une volonté d’aller vers une plus grande intégration économique à l’échelle régionale. <br /><br />Alors que les Etats membres de l’UE ont une même vision des principes relatifs à la protection de la vie privée et des consommateurs, il n’en est pas de même dans la région Asie-Pacifique, qui englobe des sociétés diverses, culturellement et économiquement notamment. Ne disposant pas de l’équivalent des règlements ou directives au niveau régional, les législations des différents pays membres de l’APEC sont diverses. Par exemple, certains pays ont adopté une loi sur la protection des données personnelles, plus ou moins protectrice, d’autres pas encore. <br /><br />Forts de ce constat, les membres de l’APEC ont reconnu l’importance de la mise en oeuvre de principes de protection des données personnelles efficaces aux fins de fluidifier les flux de données entre leurs entreprises.<br /><br />La philosophie des CBPR est donc différente de celle du RGPD. <br /><br /><b> 1.2 Sur quels principes fonctionnent les CBPR ?</b><br /><br />Le système des CBPR est établi sur la base du Privacy Framework de l’APEC datant de 2005, et mis à jour en 2015. (3) Ce “cadre de la vie privée” constitue un modèle pour les lois nationales de protection de la vie privée des membres de l’APEC, et un socle de règles minimum pour les pays n’ayant pas encore légiféré dans ce domaine et souhaitant adhérer au système. On y retrouve notamment les principes fondamentaux de la protection des données personnelles, issus des lignes directrices de l’OCDE sur la protection de la vie privée. (4)<br /><br />Ainsi, les CBPR reposent sur 9 principes fondamentaux, à savoir : les principes de responsabilité (accountability), d’information des personnes (notice), de choix (choice), de limitation des données collectées (collection limitation), d’intégrité des données personnelles (integrity of personal information), règles d’utilisation des données personnelles (uses of personal information), règles de sécurité des données (security safeguards), règles relatives aux droits d’accès et de rectification (access and correction), et règles relatives à la prévention des dommages comprenant l’obligation de notification en cas de violation de données (preventing harm). En revanche, les CBPR ne prévoient pas le principe de la limitation de la durée de conservation des données. (5) <br /><br /> <b>1.3 CBPR et Privacy Framework - un système de certification qui ne concerne que les responsables de traitement</b><br /><br />Le système CBPR fonctionne sur le volontariat des Etats qui souhaitent, ou non, y adhérer, et parmi les Etats adhérents, des sociétés qui souhaitent se faire certifier. Grâce à ce système, les gouvernements et les entreprises certifiées s’assurent que, lors des mouvements de données personnelles transfrontières, celles-ci sont protégées selon les règles du système CBPR applicable dans les pays adhérents.<br /><br />Les pays membres de l’APEC souhaitant rejoindre le système CBPR doivent suivre une procédure de demande d’adhésion, identifier un organe gouvernemental en charge de l’application des règles de protection des données personnelles (équivalent des autorités de contrôle telles que la CNIL), et au moins un organisme tiers certificateur. Pour les Etats-Unis, l’organe gouvernemental est la Federal Trade Commission et l’organisme tiers certificateur est la société TRUSTe.<br /><br />Les entreprises souhaitant être certifiées CBPR doivent soumettre un dossier à un agent certificateur accrédité dans leur pays d’origine. Ce dossier comprend notamment leur politique sur la protection des données personnelles, dont les droits d’accès et de correction de leurs données par les consommateurs, la nomination d’un délégué à la protection des données (DPO) et les règles de sécurité appliquées par l’entreprise. Celui-ci doit ensuite certifier que la politique de protection de la vie privée de la société est conforme au Privacy Framework. La certification est valable un an, renouvelable. <br /><br />La certification CBPR est en principe un engagement de respect de leurs données personnelles par l’entreprise envers les consommateurs, conformément au Privacy Framework. La conformité au Privacy Framework est cependant un minima. Si la loi locale sur la protection des données personnelles est plus exigeante, l’entreprise devra évidemment se conformer à sa loi locale. <br /><br />L’agent certificateur est également l’organisme en charge de la résolution des litiges entre les entreprises certifiées CBPR et les consommateurs.<br /><br />En résumé, seules les entreprises certifiées CBPR, situées dans l’un des pays membres de l’APEC ayant adhéré au système CBPR peuvent bénéficier de ce système. A ce jour, 9 pays, sur les 21 membres de l’APEC, ont rejoint le système CBPR : les Etats-Unis, le Canada, le Mexique, le Japon, la Corée du Sud, Taiwan, les Philippines, Singapour et l’Australie.<br /><br /><br /><b>2. Le système de PRP, le nécessaire complément aux CBPR, applicable aux sous-traitants</b><br /><br />Contrairement au RGPD qui est applicable aux responsables de traitement (“controllers”) et aux sous-traitants (“data processors”), le système des CBPR ne s’applique qu’aux responsables de traitement. <br /><br />Afin de permettre aux responsables de traitement d’identifier plus facilement des sous-traitants (hébergeurs, développeurs, etc.) dans la région Asie-Pacifique, respectueux des règles de protection des données personnelles, le système des CBPR a été complété par le système de PRP (Privacy Recognition for Processors - ou système de reconnaissance de la vie privée pour les sous-traitants). <br /><br />Le système de PRP constitue le socle d’engagements en matière de respect des données personnelles qu’un sous-traitant doit respecter pour être certifié. Toutefois, même si les PRP n’intègrent pas le Privacy Framework, qui ne concerne que les responsables de traitement, ce système de règles doit permettre aux sous-traitant certifiés de démontrer leur capacité à traiter les données personnelles qui leur sont confiées, conformément aux règles édictées par les CBPR.<br /><br />Comme pour les entreprises certifiées CBPR, l’adhésion aux PRP par les sous-traitants passe par une procédure de certification par un organisme tiers certificateur. La conformité des sous-traitants certifiés PRP est également assurée par les organismes certificateurs.<br /><br />Toutefois, les responsables de traitement certifiés CBPR n’ont pas l’obligation de contracter avec des sous-traitant certifiés PRP.<br /><br /><br /> De grands groupes tels que Apple, Cisco Systems, General Electric, IBM et leurs filiales ont adopté les CBPR et/ou les PRP. Cependant, bien que les systèmes des CBPR et PRP couvrent une population et un PIB cumulés plus larges que toute l’Union européenne, peu de sociétés les ont encore adoptés. Ceci peut être la conséquence de plusieurs facteurs. La liste des membres de l’APEC participant au système CBPR (9 pays à ce jour) reste limitée. Certains pays n’ont rejoint le système CBPR que récemment : Singapour a rejoint le CBPR en avril 2018 et l’Australie et Taiwan en novembre 2018. De nombreuses entreprises locales ne connaissent pas encore l’existence du système des CBPR et des PRP dans la région. Il n’existe à ce jour que 3 agents certificateurs (Etats-Unis, Japon et Singapour). Enfin, certains pays, tels la Chine, ont mis en oeuvre une politique de non-transfert de données à l’international, ralentissant le mouvement d’adhésion aux CBPR.</span><br />
<br />
<span style="font-family: "trebuchet ms" , sans-serif;">Enfin, </span><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;">on précisera que l'adhésion des pays membres de l'APEC au système des CBPR ne modifie pas les règles de transfert de données entre l'Union européenne et ces pays. Hormis </span></span><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;">le Canada, </span></span></span><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;">le Japon, et </span></span></span></span></span></span><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-family: "trebuchet ms" , sans-serif;">les Etats-Unis (Privacy Shield) considérés par l'UE comme offrant un niveau de protextion adéquate, les transferts de données personnelles vers les autres pays ayant adhéré au système CBPR </span></span></span></span></span></span>(Mexique, Corée du Sud, Taiwan, Philippines, Singapour et Australie) restent soumis aux règles de transfert à l'international, à savoir, soumis aux clauses contractuelles types, à un contrat ad hoc validé par une autorité de contrôle, ou pour les groupes de sociétés, à des BCR.</span></span><br /><br /> * * * * * * * * * * *<br /><br /><span style="font-size: x-small;">(1) <a href="http://www.apec.org/" target="_blank">Site de l’APEC</a> : L'APEC compte parmi ses membres une grande partie des pays de l’Asie du sud et de l’est. A noter que l’Inde n’est pas membre de l’APEC.<br /><br />(2) <a href="http://cbprs.org/" target="_blank">Site des CBPR</a> <br /><br />(3) <a href="https://www.apec.org/Publications/2017/08/APEC-Privacy-Framework-(2015)" target="_blank">Privacy Framework de l’APEC</a> <br /><br />(4) <a href="https://www.oecd.org/fr/internet/ieconomie/lignesdirectricesregissantlaprotectiondelaviepriveeetlesfluxtransfrontieresdedonneesdecaracterepersonnel.htm" target="_blank">Lignes directrices de l’OCDE</a> </span></span><br />
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: x-small;"><br />(5) “GDPR and CBPR: Reconciling Personal Data Protection and Trade”, APEC policy support unit, Policy Brief No.23, October 2018</span><br /><br /> </span></div>
<div style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;">Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Juin 2020</span></div>
Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-6703675554276026132020-06-08T06:56:00.000+02:002020-06-22T06:56:50.053+02:00Covid-19 – La CNIL rappelle les conditions de collecte de données de santé par les employeurs
<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKrNz2CovkSMp8WtNNyiynGr5XGO4hfbyGFB3G-s3rfS4DzzHy4W9A4jq2Yp855b1DSiTmcrPVzCig-hkJkGgiKLDXce-j7IllM2b_KySm1sOEklfMPccqjfWEUhR4WaeD0eig85gMGE9c/s1600/Sante+II.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="300" data-original-width="400" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEjKrNz2CovkSMp8WtNNyiynGr5XGO4hfbyGFB3G-s3rfS4DzzHy4W9A4jq2Yp855b1DSiTmcrPVzCig-hkJkGgiKLDXce-j7IllM2b_KySm1sOEklfMPccqjfWEUhR4WaeD0eig85gMGE9c/s200/Sante+II.jpg" width="200" /></a></div>
<div class="MsoNormal" style="text-align: justify; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><b><span lang="FR" style="color: black;"></span></b></span></span><span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"></span><span style="font-family: "Trebuchet MS", sans-serif;">La CNIL a rappelé aux employeurs les règles applicables à la collecte de données de santé dans le contexte du déconfinement et du retour des salariés sur leurs lieux de travail, dans une communication du 7 mai dernier. (1)</span></span></div>
<div style="text-align: justify;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Les données concernant la santé sont définies à l’article 4 du Règlement général sur la protection des données (RGPD) comme “<i>les données à caractère personnel relatives à la santé physique ou mentale d'une personne physique, y compris la prestation de services de soins de santé, qui révèlent des informations sur l'état de santé de cette personne.</i>”</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Les données de santé sont en principe interdites de traitement (art 9 RGPD), sauf dans le cadre des exceptions prévues au RGPD, et notamment lorsque le traitement est nécessaire aux fins de la médecine préventive ou de la médecine du travail, de l'appréciation de la capacité de travail du travailleur, de diagnostics médicaux, et sous réserve que ces données soient traitées par un professionnel de la santé soumis à l’obligation de secret professionnel. (2)</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">La collecte de données de santé des employés par les employeurs est donc interdite, car susceptible de porter une atteinte disproportionnée à la vie privée des personnes concernées. Les employeurs souhaitant mettre en place des procédures visant à s’assurer de l’état de santé de leurs employés à leur retour sur leur lieux de travail doivent se conformer au RGPD et au droit du travail. Il leur est conseillé de suivre les conseils des services de santé au travail (SST), particulièrement pendant la durée de la crise sanitaire. (3) </span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span></span></div>
<div style="text-align: justify;">
<span style="font-size: small;"><br /></span><ul>
<li><b><span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">L’obligation de sécurité des employeurs</span></span></b></li>
</ul>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Les employeurs sont soumis à une obligation de sécurité de leurs employés (art. L.4121-1 et R.4422-1 code du travail). Ils doivent notamment mettre en œuvre des actions de prévention des risques professionnels, mais également informer et former les salariés. Enfin l’organisation et les conditions de travail doivent être adaptés. Ainsi, il leur est demandé de mettre à leur disposition du gel hydroalcoolique et des masques pour permettre de limiter les risques de contamination, mas également réaménager les postes de travail dans le respect des règles de distanciation sociale.</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">L’employeur peut rappeler à ses employés travaillant au contact d’autres personnes, de remonter toute information en cas de contamination éventuelle ou avérée, auprès de lui ou des autorités sanitaires compétentes pour adapter les conditions de travail, faciliter la transmission de ces informations par la mise en place de canaux dédiés et sécurisés, favoriser les modes de travail à distance et encourager le recours à la médecine du travail. En tout état de cause, il est recommandé aux employeurs d’informer les employés sur la mise en oeuvre de dispositifs ou de traitements liés à la santé pendant la période de crise sanitaire. </span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span></span></div>
<div style="text-align: justify;">
<span style="font-size: small;"><br /></span><ul>
<li><b><span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">L’obligation de sécurité des employés</span></span></b></li>
</ul>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Les employés sont également soumis à une obligation de sécurité en matière de santé. En application de l’article L.4122-1 du code du travail, chaque employé doit veiller à préserver sa propre santé et sécurité, ainsi que celles des personnes avec qui il peut être en contact à l’occasion de son activité professionnelle. </span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Pendant la pandémie, tout employé en contact avec des tiers (collègues ou public) doit informer l’employeur en cas de contamination avérée ou éventuelle. Par contre, les employés en télétravail qui seraient contaminés ne sont pas tenus d’informer leur employeur. L’arrêt de travail n’aura pas à mentionner la cause.</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Seules les données de date, d’identité de la personne, de contamination suspecte ou avérée, et de mesures organisationnelles prises peuvent être traitées par l’employeur. Par contre, l’identité de la/des personne(s) infectée(s) ne doit pas être communiquée aux autres employés.</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span></span></div>
<div style="text-align: justify;">
<span style="font-size: small;"><br /></span><ul>
<li><b><span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">Les différentes pratiques pendant la crise sanitaire</span></span></b></li>
</ul>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">- <i>Relevés de température des employés et clients à l’entrée des locaux</i> : les employeurs ne peuvent constituer des fichiers conservant les données de température des salariés et clients. De même, il est interdit de déployer des outils de captation automatique de température. En revanche, l’utilisation d’un thermomètre manuel (type infrarouge sans contact), sans conservation des résultats, ni autre traitement, est autorisée. </span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">- <i>Tests sérologiques et questionnaires de santé</i> : selon la Direction générale du travail, les campagnes de dépistage organisées par les entreprises pour leurs salariés ne sont pas autorisées. Seuls les personnels de santé compétents, soumis au secret médical, peuvent collecter ces données.</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Les autorités sanitaires peuvent collecter des données de santé, dans les limites de leurs compétences, y compris “l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes.”</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;"> * * * * * * * * * * *</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-size: x-small;"><span style="font-family: "Trebuchet MS", sans-serif;">(1) CNIL, « Coronavirus(Covid-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs »</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">(2) Règlement 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD, et plus particulièrement les considérants 35, 52 à 54 et l’article 9 </span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">(3) Ordonnance n°2020-386 du 1er avril 2020 adaptant les conditions d'exercice des missions des services de santé au travail à l'urgence sanitaire et modifiant le régime des demandes préalables d'autorisation d'activité partielle </span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span></span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Bénédicte DELEPORTE</span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Avocat</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Deleporte Wentz Avocat</span><br /><span style="font-family: "Trebuchet MS", sans-serif;">www.dwavocat.com</span><br /><span style="font-family: "Trebuchet MS", sans-serif;"></span><br /><span style="font-family: "Trebuchet MS", sans-serif;">Juin 2020</span></span></div>
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;
mso-font-charset:2;
mso-generic-font-family:decorative;
mso-font-pitch:variable;
mso-font-signature:3 268435456 0 0 -2147483647 0;}
@font-face
{font-family:"MS Mincho";
panose-1:2 2 6 9 4 2 5 8 3 4;
mso-font-alt:"MS 明朝";
mso-font-charset:128;
mso-generic-font-family:modern;
mso-font-pitch:fixed;
mso-font-signature:-536870145 1791491579 134217746 0 131231 0;}
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;
mso-font-charset:0;
mso-generic-font-family:roman;
mso-font-pitch:variable;
mso-font-signature:-536870145 1107305727 0 0 415 0;}
@font-face
{font-family:"\@MS Mincho";
panose-1:2 2 6 9 4 2 5 8 3 4;
mso-font-charset:128;
mso-generic-font-family:modern;
mso-font-pitch:fixed;
mso-font-signature:-536870145 1791491579 134217746 0 131231 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"Times New Roman";
mso-ansi-language:FR;}
p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph
{mso-style-priority:34;
mso-style-unhide:no;
mso-style-qformat:yes;
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
margin-bottom:.0001pt;
mso-add-space:auto;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"MS Mincho";
mso-fareast-theme-font:minor-fareast;
mso-ansi-language:EN-GB;}
p.MsoListParagraphCxSpFirst, li.MsoListParagraphCxSpFirst, div.MsoListParagraphCxSpFirst
{mso-style-priority:34;
mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-type:export-only;
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
margin-bottom:.0001pt;
mso-add-space:auto;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"MS Mincho";
mso-fareast-theme-font:minor-fareast;
mso-ansi-language:EN-GB;}
p.MsoListParagraphCxSpMiddle, li.MsoListParagraphCxSpMiddle, div.MsoListParagraphCxSpMiddle
{mso-style-priority:34;
mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-type:export-only;
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
margin-bottom:.0001pt;
mso-add-space:auto;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"MS Mincho";
mso-fareast-theme-font:minor-fareast;
mso-ansi-language:EN-GB;}
p.MsoListParagraphCxSpLast, li.MsoListParagraphCxSpLast, div.MsoListParagraphCxSpLast
{mso-style-priority:34;
mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-type:export-only;
margin-top:0cm;
margin-right:0cm;
margin-bottom:0cm;
margin-left:36.0pt;
margin-bottom:.0001pt;
mso-add-space:auto;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"MS Mincho";
mso-fareast-theme-font:minor-fareast;
mso-ansi-language:EN-GB;}
.MsoChpDefault
{mso-style-type:export-only;
mso-default-props:yes;
font-family:"Cambria",serif;
mso-ascii-font-family:Cambria;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"MS Mincho";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Cambria;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;
mso-ansi-language:FR;
mso-fareast-language:FR;}size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;
mso-header-margin:36.0pt;
mso-footer-margin:36.0pt;
mso-paper-source:0;}
div.WordSection1
{page:WordSection1;}mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;
font-family:Wingdings;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}</style>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-77004588051858114532020-03-18T11:32:00.000+01:002020-03-18T11:32:45.732+01:00Renforcement des mesures de lutte contre la fraude à la TVA sur les plateformes en ligne
<br />
<div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<b><span lang="FR" style="font-family: "Arial",sans-serif; font-size: 10.0pt;"><br /></span></b></div>
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh52LTmzqAbK7QTuc2i0-Rta8b3wYLP8H0VF-o_GtYdkjAVsCcmqyAjXgrpz9U3qypOI26OHiCzqcU_WScdR3xsofMKxGHaLhHFkt1zotEaggGdZBtU8xlmF3NqDCW_kS8VoOKENKHe-adj/s1600/e-commerce.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="900" data-original-width="1600" height="112" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEh52LTmzqAbK7QTuc2i0-Rta8b3wYLP8H0VF-o_GtYdkjAVsCcmqyAjXgrpz9U3qypOI26OHiCzqcU_WScdR3xsofMKxGHaLhHFkt1zotEaggGdZBtU8xlmF3NqDCW_kS8VoOKENKHe-adj/s200/e-commerce.jpg" width="200" /></a></div>
<div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<br /></div>
<div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><span lang="FR">Suite aux
contrôles réalisés par la Direction nationale des enquêtes fiscales (DNEF)
courant 2019, 98% des vendeurs étrangers sur internet ne sont pas
immatriculés à la TVA en France. Cette situation crée une distorsion de
concurrence importante avec les vendeurs français. Pour y remédier, la loi
de finance pour 2020 prévoit une série de mesures issues notamment de la transposition
de la directive du 5 décembre 2017 relative au régime de TVA en matière de
vente à distance. (1)</span></span></span></div>
<div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<br /></div>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">
</span></span><div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><b><span lang="FR">Les mesures
entrant en application à compter du 1<sup>er</sup> janvier 2021</span></b><span lang="FR"> :</span></span></span></div>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">
</span></span><div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><span lang="FR"><span>-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><span lang="FR">Assujettissement à la TVA des opérateurs de
plateformes en ligne (places de marché ou autre) ayant facilité la vente à
distance de biens importés de moins de 150€ entre un vendeur et un acheteur.
Cette obligation s’appliquera également aux opérateurs qui facilitent la
livraison de biens dans l’Union européenne par un vendeur établi en dehors de
l’UE, sans seuil de valeur minimum.</span></span></span></div>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">
</span></span><div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><span lang="FR"><span>-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><span lang="FR">Obligation pour les plateformes de tenir un
registre permettant aux Etats-membres de contrôler l’acquittement de la TVA. Ce
registre devra être conservé par l’opérateur pendant 10 ans et mis à
disposition de l’Administration fiscale par voie électronique en cas de
demande.</span></span></span></div>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">
</span></span><div class="MsoNoSpacing" style="margin-left: 36.0pt; text-align: justify; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><span lang="FR">De
même, les exploitants des entrepôts et plateformes logistiques de stockage
doivent conserver les informations permettant la traçabilité des biens vendus
(propriétaires, provenance, destination, volumes, etc.).</span></span></span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; text-align: justify; text-justify: inter-ideograph;">
<br /></div>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">
</span></span><div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><b><span lang="FR">Les mesures
entrées en application à compter du 1<sup>er</sup> janvier 2020 </span></b><span lang="FR">:</span></span></span></div>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">
</span></span><div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><span lang="FR"><span>-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><span lang="FR">Assujettissement à la TVA du fournisseur
intervenant indirectement dans le transport ou l’expédition des biens. De
nouvelles obligations s’imposent aux opérateurs de plateformes en ligne dont
l’activité est supérieure à 5 millions de visiteurs uniques par mois :
lorsqu’il apparaît qu’un vendeur assujetti à la TVA se soustrait à ses
obligations fiscales et que l’Administration le signale à l’opérateur, celui-ci
est tenu de prendre les mesures permettant au vendeur de régulariser la
situation. Ces mesures doivent être notifiées à l’Administration. Si les
présomptions persistent au bout d’un mois, l’Administration peut mettre
l’opérateur en demeure de prendre des mesures supplémentaires ou d’exclure le
vendeur de la plateforme et de lui notifier les mesures prises. Enfin, en cas
de non-respect de ces mesures par l’opérateur, celui-ci sera tenu solidairement
redevable de la TVA due par le vendeur.</span></span></span></div>
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">
</span></span><div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><span lang="FR"><span>-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><span lang="FR">Création d’une liste noire des opérateurs de
plateforme « non coopératifs ».</span></span></span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt; text-justify: inter-ideograph;">
<br /></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;"><span lang="FR"> * * * * * * * * * * </span></span></span></div>
<div class="MsoNoSpacing" style="margin-left: 36.0pt; mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt; text-justify: inter-ideograph;">
<br /></div>
<div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<span style="font-family: "Trebuchet MS", sans-serif;"><span style="font-size: x-small;">(1) Loi n°2019-1479 du 28 décembre
2019 de finance pour 2020, articles 149 et s. ; articles 256, 283 bis 293
A ter du code général des impôts ; et Directive (UE) 2017/2455 du 5
décembre 2017 (…) en ce qui concerne certaines obligations en matière de taxe
sur la valeur ajoutée applicables aux prestations de services et aux ventes à
distance de biens </span></span></div>
<div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<br /></div>
<div class="MsoNoSpacing" style="text-align: justify; text-justify: inter-ideograph;">
<span style="font-size: small;"><span style="font-family: "Trebuchet MS", sans-serif;">Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Mars 2020</span></span></div>
<div class="separator" style="clear: both; text-align: center;">
<span style="font-size: small;"><br /></span></div>
<span style="font-size: small;"><br /> </span><br />
<style>
<!--
/* Font Definitions */
@font-face
{font-family:Wingdings;
panose-1:5 0 0 0 0 0 0 0 0 0;
mso-font-charset:2;
mso-generic-font-family:decorative;
mso-font-pitch:variable;
mso-font-signature:3 268435456 0 0 -2147483647 0;}
@font-face
{font-family:"MS Mincho";
panose-1:2 2 6 9 4 2 5 8 3 4;
mso-font-alt:"MS 明朝";
mso-font-charset:128;
mso-generic-font-family:modern;
mso-font-pitch:fixed;
mso-font-signature:-536870145 1791491579 134217746 0 131231 0;}
@font-face
{font-family:PMingLiU;
panose-1:2 2 5 0 0 0 0 0 0 0;
mso-font-alt:新細明體;
mso-font-charset:136;
mso-generic-font-family:roman;
mso-font-pitch:variable;
mso-font-signature:-1610611969 684719354 22 0 1048577 0;}
@font-face
{font-family:"Cambria Math";
panose-1:2 4 5 3 5 4 6 3 2 4;
mso-font-charset:0;
mso-generic-font-family:roman;
mso-font-pitch:variable;
mso-font-signature:-536870145 1107305727 0 0 415 0;}
@font-face
{font-family:"\@MS Mincho";
panose-1:2 2 6 9 4 2 5 8 3 4;
mso-font-charset:128;
mso-generic-font-family:modern;
mso-font-pitch:fixed;
mso-font-signature:-536870145 1791491579 134217746 0 131231 0;}
@font-face
{font-family:"\@PMingLiU";
panose-1:2 1 6 1 0 1 1 1 1 1;
mso-font-charset:136;
mso-generic-font-family:roman;
mso-font-pitch:variable;
mso-font-signature:-1610611969 684719354 22 0 1048577 0;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
{mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:12.0pt;
font-family:"Times New Roman",serif;
mso-fareast-font-family:"Times New Roman";}
p.MsoNoSpacing, li.MsoNoSpacing, div.MsoNoSpacing
{mso-style-unhide:no;
mso-style-qformat:yes;
mso-style-parent:"";
mso-style-link:"No Spacing Char";
margin:0cm;
margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:11.0pt;
font-family:"PMingLiU",serif;
mso-fareast-font-family:"MS Mincho";
mso-fareast-theme-font:minor-fareast;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;
mso-ansi-language:FR;
mso-fareast-language:FR;}
span.NoSpacingChar
{mso-style-name:"No Spacing Char";
mso-style-unhide:no;
mso-style-locked:yes;
mso-style-link:"No Spacing";
mso-ansi-font-size:11.0pt;
mso-bidi-font-size:11.0pt;
font-family:"PMingLiU",serif;
mso-ascii-font-family:PMingLiU;
mso-hansi-font-family:PMingLiU;}
.MsoChpDefault
{mso-style-type:export-only;
mso-default-props:yes;
font-family:"Cambria",serif;
mso-ascii-font-family:Cambria;
mso-ascii-theme-font:minor-latin;
mso-fareast-font-family:"MS Mincho";
mso-fareast-theme-font:minor-fareast;
mso-hansi-font-family:Cambria;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:"Times New Roman";
mso-bidi-theme-font:minor-bidi;
mso-ansi-language:FR;
mso-fareast-language:FR;}size:612.0pt 792.0pt;
margin:72.0pt 72.0pt 72.0pt 72.0pt;
mso-header-margin:36.0pt;
mso-footer-margin:36.0pt;
mso-paper-source:0;}
div.WordSection1
{page:WordSection1;}mso-level-number-format:bullet;
mso-level-text:;
mso-level-tab-stop:none;
mso-level-number-position:left;
text-indent:-18.0pt;
font-family:Wingdings;}
ol
{margin-bottom:0cm;}
ul
{margin-bottom:0cm;}</style>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com1tag:blogger.com,1999:blog-8593614187090166855.post-40101760989652076692019-11-22T12:36:00.000+01:002020-07-12T09:27:25.650+02:00Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur<br />
<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLlaWj0A6zyGSrl5fL5dqYlzDUHVUaui6-pqOhSE5XEDkMJLPjQlOxVV1Tq6a1Y8FAqP6VAqoNG975i24V_ItDyuNlhhlMvPwJkDyYenjO8cSzJYprEDEslz9Vs-EspjB-_RIQKTT6H6S7/s1600/DataPrivacy.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="1200" data-original-width="1600" height="150" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEiLlaWj0A6zyGSrl5fL5dqYlzDUHVUaui6-pqOhSE5XEDkMJLPjQlOxVV1Tq6a1Y8FAqP6VAqoNG975i24V_ItDyuNlhhlMvPwJkDyYenjO8cSzJYprEDEslz9Vs-EspjB-_RIQKTT6H6S7/s200/DataPrivacy.jpg" width="200" /></a></div>
<span style="font-family: "trebuchet ms" , sans-serif;"></span><span style="font-family: "trebuchet ms" , sans-serif;"></span><br />
<div class="MsoNormal">
<span style="font-family: "trebuchet ms" , sans-serif;"></span></div>
<div class="MsoNormal">
<span style="font-family: "trebuchet ms" , sans-serif;"></span></div>
<div class="MsoNormal">
<span style="font-family: "trebuchet ms" , sans-serif;"></span></div>
<div class="MsoNormal">
<span style="font-family: "trebuchet ms" , sans-serif;"></span></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Le 4 juillet dernier, la CNIL a adopté de
nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) <a href="https://www.blogger.com/blogger.g?blogID=8593614187090166855#_ftn1" name="_ftnref1" style="mso-footnote-id: ftn1;" title=""></a>L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre
2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme
au Règlement général sur la protection des données (RGPD), entré en application
le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et
à la directive Vie privée et communications électroniques de 2002 (directive
e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau
règlement e-privacy. Annoncé pour entrer en application à la même date que le
RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et
n’entrera pas en application à court terme. </span></span><span style="font-family: "trebuchet ms" , sans-serif;">
</span></div>
<div style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;">
</span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;">
</span></div>
<div class="MsoNormal">
<span style="font-family: "trebuchet ms" , sans-serif;"><b><span style="font-size: 11pt;">1. Un
périmètre d’application très large</span></b><span style="font-size: 11pt;"> </span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Pour rappel, un cookie est un petit fichier texte,
enregistré par le navigateur de l’utilisateur (Google Chrome, Firefox, Safari)
sur un ordinateur ou autre dispositif connecté à internet, lorsque l’utilisateur
visite un site web.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Les cookies sont utilisés pour des finalités
très diverses, telles que l’enregistrement des identifiants de l’utilisateur
pour le reconnaître et le connecter automatiquement lors d’une prochaine visite
sur le site, l’affichage de publicités ciblées, l’enregistrement du nombre
d’affichage d’une publicité ou l’enregistrement </span><span style="font-size: 11pt;">des informations pour un service de web analytique
par exemple.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">La durée de vie d’un cookie est différente suivant
sa finalité. Certains cookies disparaissent dès la fin de la session ou de la
fermeture du navigateur, d’autres cookies peuvent être conservés pendant
plusieurs mois, s’ils n’ont pas été supprimés par l’utilisateur.</span><span style="font-size: 11pt;"></span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Les « lignes directrices cookies » de
la CNIL sont d’application très large puisqu’elles s’appliquent à tous types
d’opérations impliquant l’utilisation de cookies et autres traceurs (cookies sur
tous dispositifs tels que smartphones, tablettes, ordinateurs, et autres objets
connectés à internet (consoles de jeux, télévision, véhicule, assistant vocal).</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><b><span style="font-size: 11pt;">2. La notion renforcée de consentement,
conséquence de la mise en conformité au RGPD</span></b></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Le RGPD, en renforçant les droits des
utilisateurs, a renforcé la notion de consentement. La simple poursuite de la
navigation sur un site ne peut plus être considérée comme l’expression valide
du consentement de l’utilisateur au dépôt de cookies.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Le consentement de l’utilisateur doit être
recueilli conformément aux dispositions du RGPD.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Celui-ci doit être manifesté de manière </span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoListParagraphCxSpFirst" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;"><span style="mso-list: Ignore;">-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><i><span style="font-size: 11pt;">libre</span></i><span style="font-size: 11pt;"> : possibilité de donner ou retirer son consentement à
tout moment, et de visiter un site web même en cas de refus des cookies. Le
blocage au site en cas de refus des cookies<span style="mso-spacerun: yes;">
</span>(« cookie walls ») n’est pas conforme au RGPD ;</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;"><span style="mso-list: Ignore;">-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><i><span style="font-size: 11pt;">spécifique</span></i><span style="font-size: 11pt;"> : le consentement doit être donné de
façon indépendante et spécifique pour chaque finalité distincte. L’acceptation
des CGU ne vaut pas recueil du consentement pour les cookies ; </span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoListParagraphCxSpMiddle" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;"><span style="mso-list: Ignore;">-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><i><span style="font-size: 11pt;">éclairée</span></i><span style="font-size: 11pt;"> :l’utilisateur doit être informé dans des
termes simples et compréhensibles pour tous. Le renvoi vers les CGU n’est pas
suffisant ; et </span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoListParagraphCxSpLast" style="mso-list: l0 level1 lfo1; text-align: justify; text-indent: -18.0pt;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;"><span style="mso-list: Ignore;">-<span style="font-feature-settings: normal; font-kerning: auto; font-language-override: normal; font-optical-sizing: auto; font-size-adjust: none; font-size: 7pt; font-stretch: normal; font-style: normal; font-variant: normal; font-variation-settings: normal; font-weight: normal; line-height: normal;">
</span></span></span><i><span style="font-size: 11pt;">univoque</span></i><span style="font-size: 11pt;"> : le consentement doit se manifester par
une action positive de l’utilisateur, préalablement informé.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">En pratique, on s’éloigne donc de la pratique
du consentement passif par la simple poursuite de la navigation sur un site
web, et de la pratique binaire de l’<i>opt-in </i>(case à cocher)/<i>opt-out</i>
(case pré-cochée). Désormais, le consentement doit être donné de manière
informée et positive, en cochant une case.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">On notera que certains types de cookies
bénéficient d’une exemption au recueil du consentement, à savoir notamment, les
opérations ayant pour finalité exclusive de permettre ou faciliter la
communication par voie électronique, ou qui sont strictement nécessaires à la
fourniture d’un service de communication en ligne, à la demande expresse de
l’utilisateur.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><b><span style="font-size: 11pt;">3. La responsabilité des éditeurs de sites web et
autres opérateurs</span></b></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Les acteurs utilisant des cookies et traceurs
concernant des données à caractère personnel sont tenus de se mettre en
conformité avec le RGPD et les « lignes directrices cookies ». Il
peut s’agir d’un seul opérateur (éditeur d’un site web), de plusieurs opérateurs
(éditeur de site et régie publicitaire) ou d’opérateurs tiers. Il conviendra
donc d’analyser le rôle de ces différents opérateurs afin de déterminer s’ils
interviennent en qualité de responsable de traitement uniques, conjoints,
sous-traitants, ou encore responsables indépendamment de l’éditeur du site. </span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Par ailleurs, les opérateurs qui exploitent des
cookies et traceurs devront être en mesure de prouver le recueil du
consentement des utilisateurs, conformément à l’article 7 du RGPD.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Ces « lignes directrices cookies »
seront complétées par une nouvelle recommandation de la CNIL précisant les
modalités pratiques du recueil du consentement, devant être publiée au premier
trimestre 2020. Les opérateurs disposeront alors d’une période de six mois pour
se mettre en conformité avec ces lignes directrices.</span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify; text-indent: 36.0pt;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">Les règles édictées par
les « lignes directrices cookies » de la CNIL viennent d’être en
partie confirmées par un arrêt de la CJUE du 1<sup>er</sup> octobre 2019 dans
lequel les juges communautaires ont considéré d’une part qu’en matière de
consentement sur le stockage de cookies, une case pré-cochées ne constituait
pas un consentement valable, d’autre part, que l’opérateur est tenu de donner
des informations claires sur la durée des cookies et l’accès par des tiers. (2)<a href="https://www.blogger.com/blogger.g?blogID=8593614187090166855#_ftn2" name="_ftnref2" style="mso-footnote-id: ftn2;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-size: 11pt;"></span></span></span></span></a></span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: center;">
<span style="font-family: "trebuchet ms" , sans-serif;"><span style="font-size: 11pt;">* * * * * * * * * * </span></span></div>
<span style="font-family: "trebuchet ms" , sans-serif;">
</span><br />
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: x-small;"><span style="font-family: "trebuchet ms" , sans-serif;">(1) Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes
directrices relatives à l’application de l’article 82 de la loi du 6 janvier
1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un
utilisateur (notamment aux cookies et autres traceurs)</span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
<span style="font-size: x-small;"><span style="font-family: "trebuchet ms" , sans-serif;">(2) CJUE,
grande chambre, 1<sup>er</sup> octobre 2019, Bundesverband des
Verbraucherzentralen und Verbraucherverbände contre Planet49 GmbH, aff.
C-673/17 </span></span></div>
<div class="MsoNormal" style="text-align: justify;">
<br /></div>
<div class="MsoNormal" style="text-align: justify;">
</div>
<span style="font-family: "trebuchet ms" , sans-serif;">Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Novembre 2019</span><br />
<div style="mso-element: footnote-list;">
</div>
<div style="mso-element: footnote-list;">
</div>
<div style="mso-element: footnote-list;">
</div>
<div style="mso-element: footnote-list;">
</div>
<div style="mso-element: footnote-list;">
</div>
<div style="mso-element: footnote-list;">
</div>
<div style="mso-element: footnote-list;">
<hr align="left" size="1" width="33%" />
<a href="https://www.blogger.com/blogger.g?blogID=8593614187090166855#_ftnref1" name="_ftn1" style="mso-footnote-id: ftn1;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "calibri" , sans-serif; font-size: 10.0pt;"></span></span></span></span></a> <a href="https://www.blogger.com/blogger.g?blogID=8593614187090166855#_ftnref2" name="_ftn2" style="mso-footnote-id: ftn2;" title=""><span class="MsoFootnoteReference"><span style="mso-special-character: footnote;"><span class="MsoFootnoteReference"><span style="font-family: "calibri" , sans-serif; font-size: 10.0pt;"></span></span></span></span></a>
</div>
<style>@font-face {
font-family: Wingdings;
}@font-face {
font-family: "Cambria Math";
}@font-face {
font-family: Calibri;
}p.MsoNormal, li.MsoNormal, div.MsoNormal { margin: 0cm 0cm 0.0001pt; font-size: 12pt; font-family: "Calibri", sans-serif; }p.MsoFootnoteText, li.MsoFootnoteText, div.MsoFootnoteText { margin: 0cm 0cm 0.0001pt; font-size: 10pt; font-family: "Calibri", sans-serif; }span.MsoFootnoteReference { vertical-align: super; }p.MsoListParagraph, li.MsoListParagraph, div.MsoListParagraph { margin: 0cm 0cm 0.0001pt 36pt; font-size: 12pt; font-family: "Calibri", sans-serif; }p.MsoListParagraphCxSpFirst, li.MsoListParagraphCxSpFirst, div.MsoListParagraphCxSpFirst { margin: 0cm 0cm 0.0001pt 36pt; font-size: 12pt; font-family: "Calibri", sans-serif; }p.MsoListParagraphCxSpMiddle, li.MsoListParagraphCxSpMiddle, div.MsoListParagraphCxSpMiddle { margin: 0cm 0cm 0.0001pt 36pt; font-size: 12pt; font-family: "Calibri", sans-serif; }p.MsoListParagraphCxSpLast, li.MsoListParagraphCxSpLast, div.MsoListParagraphCxSpLast { margin: 0cm 0cm 0.0001pt 36pt; font-size: 12pt; font-family: "Calibri", sans-serif; }span.FootnoteTextChar { }.MsoChpDefault { font-family: "Calibri", sans-serif; }div.WordSection1 { }ol { margin-bottom: 0cm; }ul { margin-bottom: 0cm; }</style>Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-52652981320703882652019-08-02T07:30:00.000+02:002019-08-02T09:18:14.988+02:00Non-conformité et infractions au RGPD - quelles sont les actions répressives de la CNIL<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4NPk2-UCjG6UsxVgUTr2aXGdhtNXfwqegmr_V2fi8vWc_LJy3vYEFcNgU7i_VbkNdxQ5K-NLKUSVeE_oJSqFD_Q280NmqU4ZvNZxh-RaclfVDEQMfJnfuZd5Nctr9QdQ9YoNKYY7JZx0L/s1600/RGPD.png" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="350" data-original-width="700" height="100" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEj4NPk2-UCjG6UsxVgUTr2aXGdhtNXfwqegmr_V2fi8vWc_LJy3vYEFcNgU7i_VbkNdxQ5K-NLKUSVeE_oJSqFD_Q280NmqU4ZvNZxh-RaclfVDEQMfJnfuZd5Nctr9QdQ9YoNKYY7JZx0L/s200/RGPD.png" width="200" /></a></div>
<div style="text-align: justify;">
<br /></div>
<div style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;">Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, le montant des sanctions pouvant être prononcées par les autorités de contrôle (dont la CNIL) a été décuplé. De 150.000 à 3 millions d’euros au maximum avec la loi Informatique et Libertés - version pré-RGPD, le montant des amendes administratives peut désormais atteindre 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise. Cependant, un an après l’entrée en application du RGPD, 30% des entreprises européennes ne seraient toujours pas en conformité avec le règlement. (1)<br /><br />La mise en conformité au RGPD est cependant une procédure souvent lourde et coûteuse pour les organismes. Elle implique la revue des process internes, depuis le développement des nouveaux produits ou services (application du principe de “privacy by design” et le cas échéant réalisation d’une analyse d’impact ou PIA), à la révision des produits et services existant et la création de documents de suivi de conformité (registre des traitements notamment).<br /><br />Les risques de non-conformité à la réglementation sur la protection des données sont nombreux et les sanctions alourdies. L’action répressive de la CNIL comprend toutefois plusieurs étapes avant la prononciation éventuelle d’une sanction pécuniaire.<br /><br /><br /><b>1. Non-conformité et infractions à la règlementation sur la protection des données personnelles</b><br /><br />La règlementation sur la protection des données personnelles s’est considérablement étoffée avec l’entrée en application du RGPD.<br /><br /> <b> 1.1 Les exemples de non-conformité</b><br /><br />Les organismes ont disposé de deux ans, entre la date de publication du RGPD le 27 avril 2016 et son entrée en application le 25 mai 2018, pour mettre leurs activités de traitement de données personnelles en conformité. Les autorités de contrôle ont par la suite décidé d’appliquer une approche pédagogique pendant la première année d’application du RGPD. Un an après, les organismes doivent désormais être en conformité. <br /><br />La liste des cas de non-conformité au RGPD est longue. On peut citer, entre autre :<br />- le défaut d’information des personnes concernées,<br />- la collecte frauduleuse, déloyale ou illicite de données personnelles,<br />- le détournement de finalité,<br />- la poursuite d’un traitement en dépit de l’opposition de la personne concernée,<br />- la conservation des données pour une durée non limitée,<br />- la conservation illicite de données sensibles,<br />- la poursuite d’un traitement interdit,<br />- le traitement illicite du NIR,<br />- le défaut de sécurité,<br />- le défaut de notification à l’autorité de contrôle en cas de violation de données,<br />- ou le transfert non autorisé de données en dehors de l’Union européenne.<br /><br /><b> 1.2 Le montant des sanctions alourdi</b><br /><br />Le montant des sanctions pouvant être prononcées a été significativement alourdi, passant de 150.000 euros à 3 millions d’euros en octobre 2016, avec l’entrée en vigueur de la loi pour une république numérique (2), puis à 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise ou 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise avec le RGPD. (3)<br /><br />Cette évolution du montant des sanctions pécuniaires est le reflet des risques croissants qui pèsent sur les personnes en cas de traitements illicites de leurs données, facilités par les développements des technologies (collecte à l’insu des personnes, détournement de finalité, etc.).<br /><br />Alors qu’avant le RGPD, les sanctions prononcées en France par la CNIL atteignaient rarement quelques dizaines de milliers d’euros, la première sanction pécuniaire prononcée par la formation restreinte de la CNIL en application du RGPD s’est élevée à 50 millions d’euros. Cette amende a été prononcée à l’encontre de la société Google en janvier 2019, pour manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité. (4) Plus récemment, la formation restreinte de la CNIL a condamné la société de gestion immobilière Sergic à 400.000€ d’amende pour atteinte à la sécurité des données et non respect des durées de conservation. (5) Enfin, la société Active Assurances vient d’être condamnée à une amende de 180.000€ pour atteinte à la sécurité des données de ses clients. (6)<br /><br /><br /><b>2. L’action répressive de la CNIL</b><br /><br />Les Etats-membres prennent toutes les mesures nécessaires pour la mise en oeuvre du respect du règlement. En cas de sanction, celle-ci doit être effective, proportionnée et dissuasive. (7)<br /><br />L’action répressive de la CNIL est définie aux articles 20 et suivants de la loi Informatique et Libertés, modifiée. Celle-ci comprend trois étapes, que l’on peut synthétiser comme suit : <br /><br /><b> 1ère étape - Le signalement</b><br /><br />La CNIL prend connaissance des potentiels manquements à la réglementation sur la protection des données par différents canaux d’information, à savoir : <br /><br /> - <i>Les plaintes reçues par la CNIL : </i>toute personne, en qualité de consommateur, client, salarié, citoyen, etc. dont les données personnelles ont été collectées et ont fait l’objet d’un traitement, peut déposer une plainte à la CNIL, via le site de la Commission, en cas de violation du RGPD par un responsable de traitement (site e-commerce, banque, administration, association, etc.).<br /><br /> - <i>Les informations publiées dans la presse ou sur internet :</i> les articles de presse ou posts sur les réseaux peuvent alerter la CNIL sur les pratiques de certaines sociétés ou sur des failles de sécurité par exemple.<br /><br /> - <i>L’auto-saisine par la CNIL :</i> chaque année, la CNIL définit un programme de contrôles pour l’année en cours, avec des thèmes identifiés comme prioritaires. Par exemple, la CNIL a identifié le contrôle des relations entre les responsables de traitements et les sous-traitants (répartition des responsabilités) et les traitements de données de mineurs comme thèmes prioritaires de ses contrôles pour 2019. A ce titre, la CNIL peut ainsi effectuer des contrôle par auto-saisine sur des organismes mettant en oeuvre des traitements identifiés dans ses thèmes prioritaires.<br /><br /> - <i>La coopération entre les autorités de contrôle européennes</i> : le RGPD prévoit une plus grande coordination entre les autorités de contrôle des Etats-membres. Par exemple, en cas de plainte de la part d’un ou plusieurs consommateurs ou salariés d’un pays à l’encontre d’une société présente dans plusieurs Etats membres, l’autorité de contrôle de ce pays peut désormais signaler ladite plainte à la CNIL si des consommateurs ou salariés sont concernés en France.<br /><br /> <b>2ème étape - Le contrôle</b><br /><br />La procédure de contrôle peut se dérouler comme suit : <br /> - <i>Le contrôle en ligne</i>, si les manquements signalés sont visibles à distance ;<br /> - <i>Le contrôle sur place</i>, dans les locaux de l’organisme. Dans ce cas, le contrôleur demandera au responsable du traitement de contrôler les traitements de données mis en oeuvre. par l’organisme ;<br /> - <i>La convocation</i>, avec audition des personnes responsables des organismes concernés.<br /><br />Ces trois procédures de contrôle font l’objet d’un procès-verbal identifiant les éléments contrôlés et les manquements éventuellement constatés.<br /><br /> - <i>Le contrôle sur pièces</i>. Ce type de contrôle est réalisé suite à l’envoi de questions écrites et la demande de documents au responsable du traitement.<br /><br /> <b> 3ème étape - Les suites du contrôle</b><br /><br />Suite au contrôle effectué par les agents de la CNIL, deux issues sont possibles :<br /> - <i>Le contrôle a donné lieu à pas ou peu d’observations</i>. Le dossier est alors clôturé et l’organisme contrôlé reçoit la notification de ladite clôture.<br /><br /> - <i>Si des manquements sérieux à la règlementation sont avérés</i>, deux cas de figure peuvent alors se présenter :<br />La présidente de la CNIL peut prononcer une mise en demeure. La mise en demeure peut être publique (par voie de communiqué), la publicité ayant un double effet - d’alerte et pédagogique, pour tout organisme qui serait dans une situation similaire. L’organisme en cause dispose alors d’un délai pour se mettre en conformité, auquel cas, le dossier est clôturé. (8)<br /><br />Par exemple, le 25 septembre 2018, la présidente de la CNIL a mis en demeure cinq société des groupes Humanis et Malakoff-Médéric pour détournement de la finalité des traitements des assurés. Les sociétés s’étant mises en conformité (modification du système informatique, suppression des données acquises illégalement, formation interne à la protection des données personnelles), les procédures de mises en demeure ont été clôturées le 21 février 2019. (9)<br /><br />Le 8 novembre 2018, la présidente de la CNIL a mis en demeure la société Vectaury pour absence de recueil du consentement des utilisateurs au traitement de leurs données de géolocalisation à des fins de ciblage publicitaire. Suite à cette mise en demeure, la société Vectaury s’étant mise en conformité (affichage d’une bannière informative lors de l’installation des applications mobiles pour recueillir le consentement des utilisateurs), la procédure de mise en demeure a été clôturée le 26 février 2019. (10)<br /> </span></div>
<div style="text-align: justify;">
<span style="font-family: "trebuchet ms" , sans-serif;">La formation restreinte de la CNIL, exerçant une fonction juridictionnelle, peut prononcer une sanction si l’organisme ne se met pas en conformité suite à la mise en demeure de la présidente de la CNIL. La formation restreinte peut également prononcer directement une sanction contre l’organisme en cause, sans mise en demeure préalable. (11)<br /><br />La sanction peut être de nature pécuniaire pour les manquements les plus graves (montants définis par le RGPD), ou non pécuniaire (rappel à l’ordre, injonction sous astreinte, etc.). Enfin, les sanctions peuvent être publiques (par voie de communiqué et par la publication de la résolution sur le site de la CNIL et sur Légifrance) ou non publiques.<br /><br />Les sanctions prononcées par la CNIL peuvent faire l’objet d’un recours par l’organisme sanctionné devant le Conseil d’Etat dans un délai de deux mois.<br /><br /><br /> * * * * * * * * * * * <br /><br /><span style="font-size: x-small;">(1) “RGPD : près d’un tiers des entreprises non conformes”, Le Monde Informatique, 26 juillet 2019<br /><br />(2) Loi n°2016-1321 du 7 octobre 2016 pour une république numérique, ancien article 47 al.2 de la loi Informatique et Libertés<br /><br />(3) Art. 83.5 et 6 du RGPD<br /><br />(4) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC<br /><br />(5) Délibération de la formation restreinte n°SAN-2019-005 du 28 mai 2019 prononçant une sanction pécuniaire à l’encontre de la société Sergic<br /><br />(6) Délibération de la formation restreinte n°SAN-2019-007 du 18 juillet 2019 prononçant une sanction pécuniaire à l’encontre de la société Active Assurances<br /><br />(7) RGPD, art. 84 (1)<br /><br />(8) Le délai pour se mettre en conformité est fixé par la présidente. Il varie généralement entre 6 et 12 mois - mais ce délai peut être beaucoup plus court en cas d’urgence par exemple<br /><br />(9) (Communication de la CNIL sur la clôture des mises en demeure à l’encontre des sociétés des groupes Humanis et Malakoff-Médéric, Site de la CNIL)<br /><br />(10) (Communication de la CNIL sur la clôture de la mise en demeure à l’encontre de la société Vectaury, Site de la CNIL)<br /><br />(11) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.</span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com<br /><br />Août 2019</span></div>
Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0tag:blogger.com,1999:blog-8593614187090166855.post-61334310020029998342019-07-24T12:07:00.000+02:002019-07-24T12:07:10.744+02:00ICO : des dispositions innovantes dans la loi PACTE pour développer la confiance<div class="separator" style="clear: both; text-align: center;">
<a href="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzopKac_MOrAmIJeKlqRfolKyZ_CFQiujXo50HL63jkoNORML2OmS1odkKcughq3p62tByLzdQVOzr3hkyNv9ellt7dxvfcC1M3kYEMwDB4g-WnWo0zHoLPlIjdCmNimjiHbMFe4Zqwh7d/s1600/Blockchain.jpg" imageanchor="1" style="margin-left: 1em; margin-right: 1em;"><img border="0" data-original-height="900" data-original-width="1500" height="120" src="https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhzopKac_MOrAmIJeKlqRfolKyZ_CFQiujXo50HL63jkoNORML2OmS1odkKcughq3p62tByLzdQVOzr3hkyNv9ellt7dxvfcC1M3kYEMwDB4g-WnWo0zHoLPlIjdCmNimjiHbMFe4Zqwh7d/s200/Blockchain.jpg" width="200" /></a></div>
<br />
<span style="font-family: "Trebuchet MS", sans-serif;">Les ICO (“Initial Coin Offering”) permettent aux start-ups et entreprises innovantes de collecter des fonds de manière dématérialisée à l’international.<br /><br />La loi PACTE, définitivement promulguée le 22 mai 2019, prévoit des dispositions visant notamment à encadrer et sécuriser la procédure de levée de fonds en crypto-actifs, ou ICO. (1)<br /><br /><b><br />1. L’ICO, un moyen alternatif de financer le développement des start-ups</b><br /><br />Une ICO consiste en une émission d’actifs numériques sous forme de jetons (ou “tokens”) au public, fonctionnant en principe sur la blockchain. Les investisseurs peuvent acheter des jetons en devise (euros, dollars, etc.) ou en crypto-monnaie (bitcoin, ether, etc.). <br /><br />Un “actif numérique” est la représentation numérique d’une valeur non émise ni garantie par une banque centrale ou une autorité, et non nécessairement attachée à une monnaie ayant cours légal - émis en bitcoin par exemple. (2)<br /><br />Les jetons sont définis à l’article L.552-2 du code monétaire et financier comme “<i>tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d'un dispositif d'enregistrement électronique partagé (blockchain) permettant d'identifier, directement ou indirectement, le propriétaire dudit bien</i>”. <br /><br />L’Autorité des marchés financiers (AMF) distingue trois grands types de jetons (tokens) : <br /> - les crypto-actifs comme monnaie d’échange et unité de valeur (par exemple, le bitcoin) ;<br /> - les crypto-actifs assimilés à des instruments financiers - “security tokens”, donnant des droits de participation à la gouvernance ou d’intéressement aux profits futurs de l’entreprise émettrice (droits de vote ou dividendes) ; et<br /> - les crypto-actifs utilitaires - “utility tokens”, donnant des droits d’utilisation de produits ou services futurs proposés par l’émetteur. Ces tokens constituent la plus grande partie des crypto-actifs émis à l’heure actuelle.<br />Certains tokens sont cependant hybrides ou issus de plusieurs catégories. (3)<br /><br />Les start-ups qui auraient des difficultés à lever des fonds par les méthodes classiques peuvent envisager de recourir à une ICO. L’ICO présente en effet plusieurs avantages : le coût d’une ICO est moindre qu’une levée de fonds classique, car cette opération peut être réalisée sans intermédiaire financier ; en cas d’attribution de utility tokens, le capital n’est pas dilué puisque les tokens attribués n’offrent qu’un droit d’usage à l’investisseur (droit d’utilisation du bien ou du service produit par la société émettrice, ce bien ou ce service étant généralement à l’état d’idée ou de projet à la date de l’ICO).<br /><br />Mais les risques (perte du capital investi, absence de marché pour la revente ou l’échange des tokens, etc.) ne doivent pas être sous-estimés : les opérations d’ICO restent peu, voire pas réglementées. Seuls quelques pays commencent à réglementer ces opérations, qui revêtent donc un niveau de risque supérieur à une opération de levée de fonds classique ; les ICO sont le plus souvent non documentées, contrairement à une levée de fonds classique, accompagnée d’un prospectus comprenant des informations détaillées sur la société et l’opération envisagée ; enfin, l’absence d’information sur les sociétés et sur les projets financés ne permet pas d’écarter les risques d’escroquerie (détournement des fonds à des fins personnelles ou autres) ou de blanchiment d’argent par exemple.<br /><br />Même si les levées de fonds par ICO restent encore marginales dans le monde, ce mode de financement continue de se développer. Plusieurs pays ont ainsi décidé de commencer à réglementer les ICO pour donner plus de transparence à ces opérations et sécuriser la procédure. (4)<br /><br /><br /><b>2. De nouvelles règles avec un objectif de transparence et de sécurisation de la procédure d’ICO</b><br /><br />En France, la loi PACTE du 22 mai 2019 a introduit deux séries de dispositions pour donner plus de transparence et de sécurité aux opérations d’ICO. (5)<br /><br />Les principales dispositions figurant dans la loi PACTE sont les suivantes :<br /><br /><i>- Création d’un visa optionnel pour les émetteurs d’ICO, délivré par l’AMF</i><br />Le visa pourra être demandé par les émetteurs d’ICO. L’objectif de ce visa est d’apporter une garantie de sérieux au projet. Le visa est principalement destiné aux start-ups innovantes ou développant une activité en France. Il concerne l’émission d’actifs numériques qui ne présentent pas les caractéristiques d’un titre financier ou bon de caisse, et sera délivré pour un projet et une durée déterminés.(6) <br /><br />Les projets disposant du visa de l’AMF seront inscrits sur une liste blanche. En revanche, les projets ayant perdu le visa seront inscrits sur une liste noire.<br /><br />La procédure de demande de visa a été publiée par l’AMF le 6 juin dernier (7). Elle repose sur trois conditions : <br /> 1) la fourniture d’un document d’information présentant la société émettrice et décrivant le projet, et précisant notamment le nombre de jetons émis, leur prix, les droits associés, et le protocole de blockchain utilisé pour inscrire les jetons ; <br /> 2) un dispositif garantissant la sécurité des fonds recueillis pendant la durée de l’offre ; et <br /> 3) le respect des obligations en matière de lutte contre le blanchiment d’argent et le financement du terrorisme avec la mise en place d’un système KYC ("Know your customer"). L’émetteur doit être établi ou immatriculé en France. <br /><br />Il est précisé que l’objet du visa est de valider la structuration du projet et non sa qualité ou son opportunité.<br /><br />Le délai d’instruction du dossier par l’AMF est fixé à 20 jours ouvrés à compter de la réception du dossier complet.<br /><br /><i> - Encadrement du marché secondaire</i><br /> Création d’un agrément pour les nouveaux prestataires de services sur actifs numériques (“PSAN”)<br />Une nouvelle procédure d’agrément volontaire est prévue pour les prestataires de services sur actifs numériques, tels que les plateformes d’échanges de crypto-actifs (bitcoins, ether, etc.) ou les services de conseils aux souscripteurs d’actifs numériques et de gestion de portefeuilles d’actifs numériques pour le compte de tiers. (art. L.54-10-5)<br /><br /> Enregistrement des plateformes d’achat-vente de crypto-actifs<br />Enfin, les plateformes d’achat-vente de crypto-actifs en monnaie fiduciaire et les services de conservation de jetons seront soumis à un enregistrement obligatoire auprès de l’AMF, au titre du contrôle de la lutte anti-blanchiment. (art. L.54-10-3) Le non-respect de cette obligation pourra entraîner des sanctions pénales (30.000€ d’amende et deux ans d’emprisonnement).<br /><br /><br /> * * * * * * * * * *<br /><span style="font-size: x-small;"><br />(1) Loi n°2019-486 du 22 mai 2019 relative à la croissance et la transformation des entreprises (Loi PACTE)<br /><br />(2) Article L.54-10-1 du Code monétaire et financier<br /><br />(3) “ICO françaises : un nouveau mode de financement ?”, Caroline Le Moign, AMF, novembre 2018<br /><br />(4) Les pays ayant commencé à réglementer les ICO comprennent notamment, outre la France, l’Australie, Singapour. Certains pays considèrent que les ICO avec émission de “security tokens” relèvent de la règlementation sur les valeurs mobilières.<br />Par ailleurs, certains pays, dont la Chine et la Corée du Sud, ont décidé pour l’instant d’interdire les ICO, considérant le risque de fraude trop élevé. <br /><br />(5) Art. 85 et 86 de la loi PACTE, codifiés aux articles L.551-1 et s. (“Intermédiaires en biens divers et émetteurs de jetons”), et L. 54-10-1 et s. du code monétaire et financier<br /><br />(6) Les bons de caisse et jetons correspondant à un instrument financier sont soumis à des règles spécifiques figurant aux articles L.223-1 et s. et L.232-1 du Code monétaire et financier<br /><br />(7) Instruction AMF n°DOC-2019-06</span><br /><br /><br />Bénédicte DELEPORTE<br />Avocat<br /><br />Deleporte Wentz Avocat<br />www.dwavocat.com</span><br /><br />Juillet 2019<br />Deleporte Wentz Avocathttp://www.blogger.com/profile/00946396283039984690noreply@blogger.com0