Transferts de données personnelles vers les Etats-Unis : un bouclier de protection des données pour remplacer la sphère de sécurité

Dans un arrêt rendu le 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) décidait d’invalider les règles du Safe Harbor, en vigueur depuis juillet 2000, permettant aux entreprises européennes travaillant avec des entreprises américaines ayant adhéré aux principes du Safe Harbor de transférer légalement des données personnelles vers les Etats-Unis. (1) Ces transferts de données peuvent concerner par exemple les transferts de fichiers entre les sociétés d’un même groupe situées de part et d’autre de l’Atlantique, ou les transferts entre une société européenne et un prestataire situé aux Etats-Unis (hébergeur ou service cloud par exemple).

Pour rappel, les transferts de données personnelles en dehors de l’Union européenne restent par principe interdits, sauf quelques exceptions, alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières. (2)

Depuis cet arrêt du 6 octobre 2015, la Commission européenne et les Etats-Unis ont négocié en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission était de conclure ces discussions avant fin janvier 2016. (3) Un accord de principe a été conclu début février 2016 et le 29 février, le texte de l’accord, dénommé “Privacy Shield” (ou “Bouclier de protection des données”) a été publié.

Nous faisons un point ci-dessous sur les principes applicables au nouvel accord Privacy Shield puis revoyons les autres “outils” juridiques à la disposition des entreprises européennes qui doivent transférer des données personnelles vers les Etats-Unis.


1. Les principes régissant l’accord Privacy Shield

Le texte du nouvel accord Privacy Shield (“Bouclier de protection des données UE-US” ou “EU-US Privacy Shield arrangement”), relatif aux transferts de données personnelles entre les Etats-membres de l’Union et les Etats-Unis a été publié le 29 février dernier. (4)

L’objectif des principes constitutifs du Privacy Shield est de fournir des normes de protection pour les données de citoyens européens transférées aux Etats-Unis, équivalentes aux normes en vigueur au sein de l’Union européenne. Notamment, avec le nouvel accord Privacy Shield, les autorités ont voulu pallier les carences relevées dans les principes de Safe Harbor et mettre un terme à la pratique de surveillance de masse par les services de sécurité américains, révélée au cours de l’affaire Snowden.

Les principales dispositions de l’accord Privacy Shield, qui diffèrent des principes de Safe Harbor,  peuvent être résumées ainsi :

- Les entreprises qui adhéreront au Privacy Shield seront soumises à des obligations strictes accompagnées de mécanismes de surveillance, afin de garantir le respect de leurs engagements ;

- L’accès aux données personnelles par les autorités américaines sera encadré et transparent. L’accès généralisé aux données est expressément interdit ;

- Plusieurs mécanismes de recours sont mis en place. En effet, l’un des problèmes soulevés avec les principes de Safe Harbor était l’absence de possibilité pour les citoyens européens de s’adresser à une instance aux Etats-Unis en cas de non-respect de ses engagements de protection des données par l’entreprise concernée. Désormais, les citoyens européens disposeront des moyens de recours suivants :
    (i) un mécanisme de médiation au sein du Département d’Etat (State Department). Ce service de médiation sera notamment indépendant des services de sécurité américains ;
    (ii) la possibilité de s’adresser aux entreprises américaines concernées adhérentes au Privacy Shield, en cas de contestation ou de problème sur leurs données personnelles. Celles-ci devront apporter une réponse dans un délai de 45 jours ;
    (iii) un mécanisme de règlement extrajudiciaire des litiges sera disponible, sans frais ;
    (iv) la possibilité de s'adresser à leur autorité de protection des données (telle que la CNIL). Chaque autorité de protection communiquera avec la Federal Trade Commission (FTC ou Commission fédérale du commerce) pour que les plaintes déposées soient examinées et réglées.     (v) Enfin, un mécanisme d’arbitrage sera disponible en dernier ressort.
Par ailleurs, les entreprises américaines pourront volontairement s’engager à se conformer aux conseils émis par les autorités de protection des données. En revanche, il s’agira d’une obligation pour les entreprises traitant des données de ressources humaines.

- Enfin, l’accord de Privacy Shield comprend un mécanisme de réexamen annuel conjoint entre la Commission européenne et le ministère américain du commerce, ainsi que des experts nationaux du renseignement travaillant au sein des autorités américaines et européennes de protection des données. Ce réexamen annuel aura pour objet de contrôler le fonctionnement du Privacy Shield, et notamment le respect des engagements concernant l'accès aux données à des fins d'ordre public et de sécurité nationale.

Pour autant, ce nouvel accord n’est pas encore applicable. La Commission européenne doit donner son avis sur la décision d’adéquation de cet accord, conformément à l’article 31 de la directive de 1995 sur la protection des données personnelles. (5) En effet, sans cette décision d’adéquation - qui signifie que la Commission estime que les données transférées en vertu du Privacy Shield sont considérées comme bénéficiant d’un niveau de protection adéquat au regard du droit européen, les entreprises européennes ne peuvent pas encore transférer de données personnelles à des entreprises américaines qui prétendraient se conformer à ces principes.

L’évaluation de l’accord de Privacy Shield sera réalisé par les membres du G29, au regard non seulement de la directive de 1995 sur la protection des données personnelles, mais également de la décision Schrems de la CJUE du 6 octobre 2015 (ayant invalidé le Safe Harbor), de la lettre du G29 à la Commission européenne sur le Safe Harbor du 10 Avril 2014, et plus généralement de la jurisprudence européenne sur les droits fondamentaux et du document de travail du G29 sur les transferts de données à caractère personnel vers des états tiers.

En attendant, les entreprises devant mettre en place des procédures de transfert de données vers les Etats-Unis peuvent utiliser d’autres moyens à leur disposition.


2. Les autres “outils” juridiques permettant le transfert de données personnelles vers les Etats-Unis

En attendant la publication de la décision d’adéquation du Privacy Shield de la Commission européenne, les entreprises européennes qui doivent transférer des données vers les Etats-Unis peuvent mettre en place des solutions juridiques alternatives. Pour rappel, trois solutions peuvent être mises en oeuvre : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types sont relativement simples à mettre en oeuvre, sous réserve d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. Toutefois, en cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de protection des données pour validation.

La solution du contrat, rédigé par les parties et adapté aux transferts de données envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, et le fait que ces contrats sont soumis à une demande d’autorisation à l’autorité de protection. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR (ou “règles d’entreprise contraignantes”) ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. Les BCR sont assez lourdes à mettre en place : plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de protection des données, avant de pouvoir être déployées dans le groupe. Cependant, une fois la procédure autorisée et déployée, ce système a le mérite de la stabilité.

Il convient de rappeler qu’en cas de transferts non autorisés de données vers un pays tiers, les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.


                                                               * * * * * * * * * * * *

(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) voir notre article “Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?” publié en novembre 2015

(3) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.

(4) Communiqué de la Commission européenne du 29 février 2016 “La Commission européenne présente le paquet «bouclier de protection des données UE-États-Unis»: des garanties solides pour restaurer la confiance dans les transferts transatlantiques de données”

(5) Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2016

Quelles mesures pour le transfert de données personnelles vers les Etats-Unis après l’invalidation des règles du Safe Harbor par la CJUE ?

Après le coup de tonnerre lancé par la décision de la Cour de justice de l’Union européenne (CJUE) du 6 octobre 2015 d’invalider les règles du Safe Harbor, les entreprises européennes qui travaillent avec des partenaires commerciaux aux Etats-Unis ayant adhéré aux principes du Safe Harbor (maisons-mères, filiales, sous-traitants, prestataires de services Cloud) doivent revoir les conditions de transfert de données personnelles vers ces entités. (1)

Dans cet article, nous faisons un point sur les règles de transfert de données personnelles à l’international et apportons quelques réponses aux mesures à prendre suite à la décision de la CJUE.


1. Le contexte : les règles relatives aux transferts de données personnelles hors de l’UE et l’invalidation des principes du Safe Harbor

Les règles européennes de protection de la vie privée sont d’application stricte. Alors que depuis la directive du 24 octobre 1995 sur la protection des données personnelles, les entreprises peuvent librement transférer les données personnelles d’un Etat membre à un autre sans formalités particulières, les transferts en dehors de l’Union européenne restent par principe interdits, sauf dans le cadre des exceptions que nous rappelons ci-après.

    1.1 L’encadrement des transferts de données personnelles hors Union européenne

Avec la globalisation des échanges commerciaux, la plupart des entreprises sont amenées à transférer des données personnelles dans des pays tiers, que ce soit vers d’autres sociétés de leur groupe, vers des partenaires commerciaux ou vers des prestataires de services. Or, les transferts de données personnelles en dehors de l’Union européenne sont en principe interdits. Il existe néanmoins plusieurs exceptions à ce principe. Sont ainsi autorisés :

    - les transferts de données réalisés vers un pays reconnu par la Commission européenne comme assurant un niveau de protection suffisant ou “adéquat”. Seuls quelques pays sont reconnus comme ayant une législation assurant un niveau de protection des données personnelles équivalent à celui en vigueur en Europe ; (2)
    - les transferts de données réalisés entre deux entités (exportatrice et importatrices de données) ayant signé les Clauses contractuelles types (“CCT”) adoptées par la Commission européenne. Les CCT sont des modèles de contrats de transferts de données. Cette solution contractuelle est applicable, soit entre deux responsables de traitement, soit entre un responsable de traitement et un sous-traitant ;
    - les transferts de données réalisés à l’intérieur d’un groupe multinational, entre deux ou plusieurs filiales du groupe, et sous réserve que l’entreprise multinationale ait mis en oeuvre des Règles internes d’entreprise (“Binding Corporate Rules” ou “BCR”) adoptées par l’ensemble des filiales et validées par l’une des autorités nationales de protection des données (ou “autorités de contrôle”, telle que la CNIL) ;
    - les transferts réalisés dans des situations exceptionnelles, sous réserve du consentement de la personne concernée par le traitement de données ;
    - enfin, les transferts de données réalisés vers les Etats-Unis, sous réserve que la société importatrice adhère aux principes du Safe Harbor.

Le système du Safe Harbor (ou “sphère de sécurité”) est un ensemble de règles de protection des données personnelles, négocié entre les autorités américaines (Department of Commerce) et la Commission européenne en 2000 et validé par une décision de la Commission du 26 juillet 2000. Le fonctionnement du Safe Harbor repose sur l’engagement des entreprises américaines qui décident d'y adhérer et l’auto-certification de celles-ci. L'adhésion au Safe Harbor est volontaire, mais ses règles sont alors contraignantes pour les entreprises adhérentes. La commission fédérale du commerce américaine (FTC) est chargée du contrôle de l'application des principes du Safe Harbor par les entreprises adhérentes.

Toutefois, les principes du Safe Harbor viennent d’être invalidés par la Cour de justice de l’Union européenne.

    1.2 La décision Schrems de la CJUE du 6 octobre 2015

Dans sa décision du 6 octobre 2015, la Cour de justice de l’Union européenne (CJUE) a remis en cause le système du Safe Harbor, en jugeant qu’une autorité de contrôle pouvait suspendre les transferts de données personnelles depuis l’Union européenne vers les Etats-Unis.

L’affaire en cause concernait un citoyen autrichien, Maximillian Schrems, utilisateur de Facebook depuis 2008. Les données fournies par les utilisateurs de Facebook transitent par sa filiale située en Irlande, avant d’être transférées vers le territoire américain. Monsieur Schrems a déposé plainte auprès de l’autorité irlandaise de protection des données (Data Protection Commissioner), considérant que suite aux révélations de 2013 concernant les activités de renseignement des Etats-Unis (affaire “Snowden”), ce pays n’offrait pas de réelle protection contre la surveillance des données de citoyens européens. L’autorité irlandaise a rejeté la plainte déposée en arguant que, dans sa décision du 26 juillet 2000, la Commission européenne avait considéré que les Etats-Unis assuraient un niveau adéquat de protection des données à caractère personnel transférées dans le cadre de règles de Safe Harbor. (3)

La High Court of Ireland (Haute cour de justice irlandaise), saisie de l’affaire, a alors posé deux questions préjudicielles à la CJUE, afin de savoir si la décision rendue par la Commission européenne en 2000 empêchait une autorité nationale de contrôle d’enquêter lorsqu’un plaignant soutient qu’un pays tiers à l’Union n’offre pas les protections adéquates concernant les données personnelles transférées. Le plaignant est-il ainsi lié, de manière absolue, par la décision rendue par la Commission, sans autre possibilité de recours ?

Dans sa décision du 6 octobre 2015, la CJUE a jugé que la Commission européenne devait apprécier si les Etats-Unis assuraient effectivement, par leur législation ou leurs engagements internationaux, “un niveau de protection des droits fondamentaux substantiellement équivalent à celui garanti au sein de l’Union en vertu de la directive lue à la lumière de la Charte des droits fondamentaux de l’Union européenne”.

En l’espèce, la CJUE a relevé que les autorités américaines pouvaient accéder, de manière massive et indifférenciée, aux données ainsi transférées, sans assurer de protection juridique efficace aux personnes concernées, notamment aux citoyens européens.

Au regard de la hiérarchie des normes, les entreprises américaines sont en effet tenues de se soumettre aux lois américaines d’ordre public et doivent ainsi écarter “sans limitation” l’application des clauses du Safe Harbor qui leur seraient contraires. Constatant que la Commission européenne n’a pas recherché si les Etats-Unis assuraient effectivement une protection adéquate des données personnelles, la Cour a prononcé l’invalidation de la décision d’adéquation.

La CJUE a par ailleurs jugé que, même en présence d’une décision de la Commission européenne reconnaissant le caractère adéquat de la protection des données à caractère personnel, les autorités nationales de contrôle doivent pouvoir examiner en toute indépendance si le transfert des données d’une personne vers un pays tiers respecte les exigences posées par la directive de 1995.

La Cour en a déduit qu’une autorité nationale devait pouvoir, en cas de doute sur la validité d’une décision d’adéquation de la Commission, saisir les juridictions nationales pour que celles-ci puissent, le cas échéant, renvoyer l’affaire devant la Cour de justice. A cet égard, la décision invalidée de la Commission européenne ne pouvait priver les autorités de contrôle d’une telle possibilité.


2. Les conséquences de l’arrêt Schrems : une insécurité juridique nécessitant une mise à jour des conditions de transfert des données

Les transferts de données personnelles opérés vers les Etats-Unis dans le cadre des principes du Safe Harbor n’ont donc désormais plus de base légale. Ceci implique non seulement, que les transferts de données précédemment validés ne sont plus conformes à la loi, mais également qu’il n’est plus possible de réaliser de nouveaux transferts de données sur la base du dispositif Safe Harbor.

    2.1 Les suites de la décision Schrems

- Le Groupe de travail “article 29” (ou G29) : la CNIL examine actuellement, avec ses homologues du G29 (représentants des autorités de protection des données des Etats membres), les conséquences juridiques et opérationnelles de l’arrêt du 6 octobre 2015.

Entretemps, le G29 a demandé aux institutions européennes de mettre en place une solution visant à palier l’insécurité juridique du système Safe Harbor actuel. Dans un communiqué du 15 octobre dernier, le G29 a invité les institutions européennes à engager des discussions avec les autorités américaines, afin de trouver un dispositif permettant le transfert des données personnelles dans le respect des droits fondamentaux, et ce avant le 31 janvier 2016. (4)

En cas d’échec des négociations à l’échéance de ce délai de rigueur, les autorités européennes de contrôle pourraient “mettre en oeuvre toutes les actions nécessaires, y compris des actions répressives coordonnées”.

- Les autorités de contrôle : en réaction à la décision de la CJUE, plusieurs autorités de protection des données ont d’ores et déjà pris des mesures “préventives”.

Les autorités de régulation des différents Länder allemands et l’organe de supervision nationale ont annoncé qu’ils n’autoriseraient plus aucun transfert de données vers les États-Unis, y compris par le biais de Clauses contractuelles types ou des BCR.

L’autorité espagnole (Agencia Española de Protección de Datos - AEPD) a annoncé qu’elle adresserait aux organismes ayant déclaré procéder à des transferts dans le cadre du Safe Harbor, un courrier afin de savoir quelles solutions alternatives ils souhaitent mettre en place.

La décision Schrems a également produit des répercussions au-delà des frontières de l’Union européenne, notamment pour les pays assurant une protection adéquate, dans leurs propres transferts vers les Etats-Unis.

Ainsi, l’autorité israélienne de protection des données (Israeli Law, Information and Technology Agency - ILITA) a décidé de suspendre les transferts de données personnelles vers les Etats-Unis.

Enfin, l’autorité suisse a affirmé que, tant qu’un nouvel accord avec le gouvernement américain ne serait pas renégocié, le “U.S.-Swiss Safe Harbor Framework” ne constituerait plus une base légale suffisante pour une transmission de données personnelles aux États-Unis compatible avec la loi suisse sur la protection des données (LPD). 


Enfin, d’autres pays tiers à l’Union européenne réfléchissent actuellement aux conditions de transfert de données vers les Etats-Unis et à l’international.

- La Commission européenne : le 6 novembre dernier, la Commission a publié des orientations sur les possibilités de transferts transatlantiques de données, applicables jusqu'à la mise en place d'un nouveau cadre réglementaire.

La communication de la Commission analyse les répercussions de l'arrêt Schrems et propose des alternatives possibles pour transférer légalement des données à caractère personnel vers les États-Unis (CCT ou BCR notamment). (5)

- Vers un Safe Harbor 2.0 ? : enfin, la Commission européenne a décidé de procéder à un réexamen des principes de Safe Harbor à la suite des révélations d’Edward Snowden courant 2013 sur les opérations de surveillance opérées notamment par la NSA depuis l’entrée en vigueur des lois d’exception américaines votées après les attentats du 11 septembre 2001. Dès novembre 2013, la Commission a publié 13 recommandations en vue d’améliorer le système.

Depuis l'arrêt Schrems du 6 octobre 2015, la Commission accélère les négociations avec les États-Unis en vue d'établir un nouveau cadre pour mieux protéger les transferts de données à caractère personnel de citoyens européens vers les Etats-Unis. L'objectif de la Commission est de conclure ces discussions avant fin janvier 2016.

    2.2 Comment gérer les transferts de données pendant cette période transitoire ?

L’invalidation du dispositif Safe Harbor ouvre une période d’incertitude et soulève de nombreuses questions pour les entreprises opérant en vertu des principes du Safe Harbor.

Ainsi, les entreprises qui transfèrent des données personnelles vers les Etats-Unis peuvent-elles continuer leurs activités sans changer de cadre, en attendant la prise de position des institutions ? Est-il opportun de mettre en place des Clauses contractuelles types ou des BCR, sachant que cette procédure prend un certain temps pour sa mise en oeuvre (approbation des BCR par une autorité de protection ou signature des CCT par les entreprises concernées) ? Doit-on suspendre les transferts de données vers les Etats-Unis et les relocaliser en Europe, voire les transférer vers un pays “adéquat” ? Enfin, pour les transferts de données dans le cadre de l’exécution d’un contrat de service en cloud computing, que faire si le prestataire du service cloud américain refuse de modifier les conditions de transfert et que l’entreprise européenne est alors contrainte de résilier le contrat à ses frais ?

Le délai de trois mois pour arriver à un nouveau système Safe Harbor peut paraître “agressif” et rien ne garantit qu’il sera tenu.

En attendant que les autorités et les institutions prennent position et qu'un Safe Harbor 2.0 voie le jour, les entreprises doivent mettre en place des solutions juridiques et techniques pour limiter les risques juridiques liés à ces transferts. A ce titre, il convient de rappeler que les sanctions encourues en cas de non respect de la réglementation sur la protection des données personnelles, en matière de transferts non autorisés de données, peuvent atteindre 300.000 euros d’amende et 5 ans d’emprisonnement.

- Audits juridiques : dans un premier temps, il est recommandé de réaliser un audit juridique et technique des transferts de données en cours et des analyses de risques. Il convient d’identifier clairement les traitements et types de données concernés, le régime juridique sous lequel ces données sont transférées, puis d’étudier les impacts de l’invalidation du système Safe Harbor pour l’entreprise, à court et moyen terme.

- Solutions de mise en conformité : une fois l’audit réalisé et les transferts identifiés, il conviendra de réfléchir à l’adoption de solutions alternatives de mise en conformité plus protectrices. Trois solutions sont envisageables : les Clauses contractuelles types (CCT), le contrat privé et les Binding corporate rules (BCR) au sein d’un groupe multinational.

Les Clauses contractuelles types peuvent paraître comme la solution la plus simple à mettre en place à court terme. Il est cependant nécessaire d’identifier le modèle de contrat applicable et le faire signer, en l’état, par chacune des parties. En cas de modification des Clauses contractuelles, le document devra alors être envoyé à l’autorité de contrôle pour validation.

A défaut d’accord avec les prestataires américains tiers pour fonctionner sous le système des Clauses contractuelles types, et si les circonstances l’exigent et/ou le permettent, il conviendra d’envisager de rompre les relations commerciales existantes et d’opter pour des prestataires européens ou localisés dans un pays “adéquat”.

La solution du contrat, à savoir un contrat rédigé par les parties et adapté aux transferts envisagés, peut être favorisée. Solution plus flexible et adaptée que les Clauses contractuelles types, il est cependant nécessaire de prendre en compte leur coût, la procédure et les délais de demande d’autorisation à l’autorité de contrôle. Cette solution peut être utilisée entre deux partenaires commerciaux ou entre les sociétés d’un même groupe (alternative aux BCR).

Enfin, la solution des Binding corporate rules - BCR ne peut être déployée que dans le cadre d’un groupe multinational et n’est pas une alternative pour les relations avec des partenaires commerciaux ou prestataires de services tiers. En outre, les BCR nécessitent généralement plusieurs mois de travail pour leur élaboration, puis leur approbation par une autorité de régulation, avant de pouvoir être déployées dans le groupe.

Ces solutions de mise en conformité ont l'avantage de la stabilité. En effet, si les autorités se mettent d'accord sur un Safe Harbor 2.0, la décision Schrems rappelle que les autorités de contrôle de la protection des données pourront saisir les juridictions nationales, suite à la plainte d'une personne dont les droits auraient été violés par une société située aux Etats-Unis et adhérente aux principes du Safe Harbor. 
 
En toute hypothèse, il convient de s’adapter au cas par cas, en fonction de la taille de l’entreprise, du nombre de traitements concernés, et des risques identifiés. Le Cabinet peut vous accompagner dans cette démarche de mise en conformité.


                                                           * * * * * * * * * * * *


(1) CJUE, grande ch., 6 octobre 2015, Maximillian S. / Data Protection Commissioner

(2) Les pays assurant une protection adéquate, et donc, vers lesquels il est possible de transférer des données personnelles sans formalités supplémentaires sont : l’Argentine, le Canada, l’Islande, Israël, le Liechtenstein, la Norvège, la Nouvelle-Zélande, la Suisse, l’Uruguay

(3) Décision 2000/520/CE du 26 juillet 2000

(4) Communiqué du G29, Bruxelles le 15 octobre 2015 : “Statement of the Article 29 Working Party”.

(5) Communiqué de la Commission européenne du 6 novembre 2015, “La Commission publie des orientations sur les transferts transatlantiques de données et appelle à définir rapidement un nouveau cadre à la suite de l'arrêt rendu dans l'affaire Schrems”.


Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2015

Utilisation de bases de données par un métamoteur de recherche externe : les conditions de licéité rappelées par la CJUE

Dans une décision du 19 décembre 2013, la Cour de justice de l’Union européenne (CJUE) a rappelé les conditions d’utilisation d’un métamoteur de recherche dédié pour que celui-ci ne soit pas considéré comme enfreignant les droits des exploitants des bases de données. (1)

Le litige opposait deux sociétés néerlandaises : la société Innoweb, qui exploite un métamoteur de recherche dédié dans le domaine de la vente automobile (gaspedaal.nl), à la société Wegener, qui exploite un site web d’annonces de vente de voitures d’occasion (autotrack.nl).

La société Wegener, considérant qu’Innoweb portait atteinte à ses droits d’exploitant de base de données par la mise à disposition d’un métamoteur de recherche, a assigné cette dernière afin de mettre fin à l’atteinte à ses droits. Wegener a obtenu gain de cause pour la plupart de ses demandes en première instance. La société Innoweb a fait appel. La cour a alors décidé de poser une série de questions préjudicielles à la Cour de justice de l’Union européenne portant sur l’étendue de la protection des bases de données dans le cadre d’une utilisation par un métamoteur de recherche dédié.

Après avoir rappelé les conditions de la protection juridique d’une base de données, nous verrons comment ces conditions ont été appliquées à l’utilisation d’un métamoteur de recherche dédié.


1. Les sites de petites annonces protégés par le droit des bases de données

Les sites de petites annonces constituent des bases de données, protégées juridiquement.

- La protection juridique des bases de données : un droit sui generis
La directive européenne du 11 mars 1996 a consacré un droit sui generis de la protection des bases des données, indépendant de la protection par le droit d’auteur, et essentiellement axé sur la protection des droits patrimoniaux du fabricant, ou producteur, de bases de données.

Considérant en effet que le développement d’une base de données implique généralement un investissement humain et financier conséquent, sa protection juridique permet au fabricant de limiter ou d’interdire toute extraction ou réutilisation non autorisée des données. L’utilisation de la base dans sa totalité ou une partie substantielle, ou de manière répétée et systématique (par exemple, liste d’abonnés aux pages jaunes, catalogue de produits d’un site de e-commerce ou liste de petites annonces), est soumise à l’autorisation (contrat de licence) de l’ayant-droit, accordée en principe contre rémunération.

En revanche, toutes les bases de données ne sont pas automatiquement protégées. Seules les bases de données dont la collecte de données, leur vérification ou la présentation du contenu attestent un investissement, qualitatif ou quantitatif, substantiel sont protégées juridiquement.

- Les notions d’extraction et de réutilisation des données
Concernant les bases de données protégées, la directive définit les notions d’extraction et de réutilisation comme suit :

“extraction” signifie “le transfert permanent ou temporaire de la totalité ou d'une partie substantielle du contenu d'une base de données sur un autre support par quelque moyen ou sous quelque forme que ce soit” ;

“réutilisation” signifie “toute forme de mise à la disposition du public de la totalité ou d'une partie substantielle du contenu de la base par distribution de copies, par location, par transmission en ligne ou sous d'autres formes (…)”

La directive précise ensuite que “l'extraction et/ou la réutilisation répétées et systématiques de parties non substantielles du contenu de la base de données qui supposeraient des actes contraires à une exploitation normale de cette base, ou qui causeraient un préjudice injustifié aux intérêts légitimes du fabricant de la base, ne sont pas autorisées.” (3)

A contrario, l’utilisation d’une base de donnés par un tiers à des fins de consultation ponctuelle par exemple, n’est pas considérée comme portant atteinte aux droits du producteur.


2. Les conditions d'une utilisation licite des bases de données par un métamoteur de recherche

- Les questions posées à la CJUE
Un site web proposant un métamoteur de recherche peut-il être utilisé, sans l’accord des fabricants des bases de données référencées, pour réutiliser du contenu d’une base de données accessible en ligne en procédant, en temps réel, à des recherches dans la totalité ou une partie substantielle du contenu de ces bases de données tierces ?

Si le métamoteur de recherche ne renvoie aux utilisateurs qu’une partie minime du contenu de la base de données tierce, ou la fait apparaître sur son site web selon sa propre présentation et que les actes de recherche sont répétés en permanence, une telle utilisation du métamoteur correspond-elle alors à une réutilisation répétée et systématique de parties non substantielles du contenu de la base de données, contraire aux intérêts du fabricant de la base ?

C’est en substance la problématique soulevée par la cour d’appel néerlandaise à la CJUE dans l’affaire opposant la société Innoweb à Wegener.

- Définition d’un métamoteur de recherche dédié
Dans un premier temps, la Cour définit en quoi consiste un métamoteur de recherche dédié, puis applique les critères établis par la directive afin de déterminer si l’utilisation des bases de données par ce type de métamoteur enfreint les droits des fabricants.

La Cour distingue entre les moteurs de recherche fonctionnant sur des algorithmes, tels que Google ou Yahoo et les métamoteurs de recherche dédiés. Concernant ce type de métamoteur, l’exploitant du service ne dispose pas d’un moteur de recherche propre mais a recours aux moteurs de recherche utilisés par les sites tiers, couverts par le service de recherche.

Le qualificatif “dédié” signifie que le métamoteur est spécialisé dans les recherches sur un ou plusieurs domaines déterminés (en l’espèce, la vente de voitures d’occasion), permettant, par une seule requête, d’étendre la recherche sur plusieurs sites tiers d’annonces. Le métamoteur de recherche dédié traduit “en temps réel” les requêtes des utilisateurs dans les différents moteurs de recherche des sites tiers, permettant de balayer les données de ces bases.

En l’espèce, le métamoteur du site gaspedaal.nl permet de procéder à des recherches dans les bases de données de vente de voitures selon plusieurs critères (marque, modèle, kilométrage, année et prix notamment). Les résultats obtenus sont agrégés, le site du métamoteur affichant les liens vers les annonces correspondant à la requête. En l’espèce, les données n’étaient pas extraites des bases couvertes par le métamoteur.

- Notion de réutilisation des contenus de la base de données
La Cour analyse ensuite la notion de réutilisation, au regard de la finalité définie dans la directive, en l’appliquant au métamoteur de recherche dédié.

Selon la Cour, la notion de réutilisation au sens de l’article 7 de la directive, “doit être interprétée comme se référant à tout acte consistant à mettre à la disposition du public, sans le consentement de la personne qui a constitué la base de données, les résultats de son investissement, privant ainsi cette dernière de revenus censés lui permettre d’amortir le coût de cet investissement”, peu importe la nature ou la forme du procédé utilisé.

L’activité de l’exploitant d’un métamoteur de recherche a pour objet de fournir aux internautes un dispositif permettant d’explorer toutes les données figurant dans des bases de données protégées, en accédant à l’intégralité du contenu des bases par d’autres voies que celles prévues par les fabricants de ces bases de données. Cette activité a notamment des conséquences financières pour les exploitants des bases de données. En effet, les internautes n’ont plus besoin de se rendre sur leurs sites pour faire leurs recherches, ni même pour accéder aux annonces (ou au moins, sans passer par la page d’accueil du site de petites annonces). Les revenus publicitaires des sites de petites annonces sont alors potentiellement affectés.

La Cour en conclut que l’exploitant d’un métamoteur de recherche dédié procède effectivement à une réutilisation du contenu d’une base de données, au sens de la directive. Cette réutilisation porte sur une partie substantielle, voire même sur la totalité, du contenu de la base concernée, dès lors que le métamoteur : i) fournit à l’utilisateur final un formulaire de recherche offrant les mêmes fonctionnalités que le formulaire de la base de données ; ii) traduit en temps réel les requêtes des utilisateurs finaux dans le moteur de recherche de la base de données, permettant ainsi d’explorer toutes les données de la base ; et iii) présente à l’utilisateur final les résultats sous l’apparence extérieure de son site internet en réunissant les doublons en un seul élément, mais dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.


    En conséquence, un site qui mettrait à la disposition des internautes un métamoteur de recherche dédié, sans avoir au préalable obtenu l’accord des exploitants des sites couverts par ce métamoteur (et quelque soit le domaine couvert par le métamoteur) doit respecter les critères suivants pour ne pas enfreindre les droits des fabricants des bases de données concernées :
    - fournir un formulaire de recherche comprenant des fonctionnalités différentes de celles proposées par les formulaires des bases de données couvertes ;
    - ne pas traduire en temps réel les requêtes des utilisateurs dans le moteur de recherche de la base de données afin de ne pas explorer toutes les données de cette base ; et
    - ne pas présenter à l’utilisateur les résultats de recherche sous l’apparence extérieure de son site internet, en réunissant les doublons en un seul élément et dans un ordre fondé sur des critères comparables à ceux utilisés par le moteur de la base de données pour présenter ses résultats.

Ainsi, l’exploitant d’un métamoteur de recherche a deux solutions pour ne pas enfreindre les droits des fabricants des bases de données des sites couverts : soit obtenir l’accord de ces sites tiers pour interroger leurs bases de données et proposer les résultats obtenus en temps réel, selon un format similaire à celui utilisé par le/les sites d’annonces, soit exploiter le métamoteur sans l’accord des sites tiers, mais en respectant les critères définis par la CJUE, en acceptant le fait que ces contraintes techniques donneront des résultats certainement moins pertinents pour les utilisateurs.

                                                            * * * * * * * * * * *

(1) CJUE, 5ème chambre, décision du 19 décembre 2013, Innoweb BV, Wegener ICT Media BV, Wegener Mediaventions BV

(2) Directive 96/9/CE du Parlement européen et du Conseil du 11 mars 1996 concernant la protection juridique des bases de données, transposée en droit français aux articles L.341-1 et suivants du code de la propriété intellectuelle

(3) Article 7.2 et 7.3 de la directive


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Septembre 2015

Les nouvelles règles de la DME2 relatives aux établissements de monnaie électronique bientôt transposées en droit français

La monnaie électronique, équivalent numérique de l'argent liquide, se définit comme une valeur monétaire stockée sous forme électronique, y compris magnétique, tel le porte-monnaie électronique de type Monéo.

Le statut d'établissement de monnaie électronique ("EME") a été clarifié par la Directive du Parlement européen et du Conseil du 16 septembre 2009 (dite "DME2"). Cette directive abroge la directive du 18 septembre 2000 ("DME1"), qui aurait freiné le développement du marché de la monnaie électronique en posant des exigences en capital minimum particulièrement élevées, en interdisant aux EME d’exercer d'autres activités commerciales et en imposant des règles prudentielles relativement lourdes. (1)

Bien qu'elle ait instauré un régime juridique plus attractif pour les EME, la directive de 2009 n'a toujours pas été transposée par la France. Aussi, sous la pression de la Commission européenne, la France a entamé les travaux de transposition. Un projet de loi est actuellement en cours de discussion devant le Parlement. Ce projet fixe de nouvelles règles juridiques concernant l'accès à l'activité des établissements de monnaie électronique et son exercice.

Nous étudions ci-après les principales dispositions de la Directive DME2 puis celles du projet de loi français.

1. Un nouveau régime juridique européen pour les EME qui tarde à être transposé en droit français

La directive DME2 a pour objectifs de promouvoir la mise en place d'un véritable marché unique des services de monnaie électronique en Europe, de permettre à des services de monnaie électronique innovants de voir le jour et à de nouvelles sociétés d'accéder au marché et enfin de favoriser une concurrence effective entre tous les acteurs de ce marché. (2) En dépit des assouplissements apportés au régime juridique des EME par cette Directive, la France tarde à transposer ce texte en droit interne.

    1.1 Les principales dispositions de la directive DME2 du 16 septembre 2009
Le changement majeur instauré par la directive DME2 est la création d'un régime juridique spécifique pour les établissements de monnaie électronique. Le régime prudentiel des EME sera désormais plus proche de celui des établissements de paiement que des établissements de crédit. Les principales dispositions de la directive à retenir portent sur les points suivants :

    - La nécessité d'un agrément : l'établissement de monnaie électronique est une personne morale dont l’activité est soumise à l’obtention d’un agrément de l’autorité compétente de l’Etat membre l'autorisant à émettre de la monnaie électronique.

    - La réduction du capital initial minimal : l'exigence d'un capital initial d'un million d'euros pour les EME, sous le régime de la Directive DME1, a été abandonnée. Désormais, les établissements de monnaie électronique doivent détenir, au moment de l’agrément, un capital initial minimal de 350.000€.

    - Les fonds propres à détenir : les EME ont l'obligation de satisfaire à tout moment à une exigence minimale de fonds propres prudentiels. Ces fonds ne peuvent être inférieurs au plus élevé des montants suivants : le montant du capital initial minimal, soit 350.000€, ou le montant imposé par la directive 2007/64/CE sur les services de paiements (déterminé selon un calcul complexe) (3). En outre, l’EME doit disposer à tout moment de fonds propres prudentiels d’un montant au moins égal à 2% de la moyenne de la monnaie électronique en circulation.

    - La diversité des activités autorisées : outre l’émission de monnaie électronique, les EME sont désormais habilités à fournir des services additionnels, tels que des services de paiement, des services connexes à l’émission de monnaie électronique ou aux services de paiement, des services de gestion de systèmes de paiement, mais également des activités commerciales autres que l’émission de monnaie électronique.

  - Les conditions de remboursement de la monnaie électronique : désormais, les émetteurs de monnaie électronique doivent rembourser la valeur monétaire de la monnaie électronique détenue, à la demande du détenteur de monnaie électronique, à tout moment et à sa valeur nominale. Le contrat conclu entre l’émetteur de monnaie électronique et le détenteur de monnaie électronique établit clairement et de façon visible les conditions de remboursement, y compris les frais éventuels y afférents. Le détenteur de monnaie électronique est informé de ces conditions préalablement à la conclusion du contrat.

    - Le régime dérogatoire pour les petits EME (ou "PEME") : ces établissements peuvent être exemptés d'une partie des dispositions de la directive relatives aux règles prudentielles, au capital initial et aux fonds propres. Ils sont autorisés à être inscrits dans le registre des EME, sous réserve que :
a) leurs activités commerciales dans leur ensemble génèrent un montant moyen de monnaie électronique en circulation qui ne dépasse pas un plafond fixé par l’État membre mais qui, en tout état de cause, n’est pas supérieur à 5 millions d'euros; et
b) aucune des personnes physiques responsables de la gestion ou de l’exercice de l’activité n’a été condamnée pour des infractions liées au blanchiment de capitaux, au financement du terrorisme ou à d’autres délits financiers.

La directive DME2 étant d’harmonisation maximale (et non minimale comme la DME1), les Etats membres bénéficient d'une faible marge de manoeuvre dans sa transposition en droit interne. La France a donc l'obligation de reprendre en droit national les dispositions instaurées au niveau européen.

    1.2 Une transposition tardive en droit français et ses conséquences
Les Etats membres avaient jusqu'au 30 avril 2011 pour transposer la Directive DME2 dans leur droit interne. Le gouvernement français a tenté, à trois reprises et en vain, de transposer la Directive par la voie d'ordonnance. Cette transposition en droit français a échoué pour diverses raisons : dépassement des délais, abandon d'habilitation en cours de débat puis censure du Conseil constitutionnel.

Ayant largement dépassé le délai maximal de transposition, la Commission européenne a ouvert,  le 26 avril 2012, une procédure d'infraction à l'encontre de la France et des autres pays retardataires (la Belgique, Chypre, l'Espagne, la Pologne et le Portugal). Par un avis motivé, la Commission a "invité" la France à l'informer, dans un délai de deux mois, des mesures prises pour mettre sa législation nationale en conformité avec la Directive DME2. Passé ce délai, la Commission avait la possibilité de saisir la Cour de Justice de l'Union européenne et demander d'imposer des sanctions financières aux Etats membres. (4)

Suite aux pressions exercées par la Commission, c'est finalement par voie de projet de loi, déposé au Sénat le 1er août 2012, que la France a pris l'initiative de transposer la Directive. Ce projet est actuellement en cours de discussion au Parlement. La loi de transposition n’est toujours pas votée au 1er décembre 2012.


2. L'adoption du nouveau régime juridique pour les EME en débat au Parlement français

Actuellement, en France, les services de monnaie électronique ne peuvent être proposés que par des banques ou des établissements de crédit. Ainsi, les entreprises françaises souhaitant offrir ces services doivent aujourd'hui nécessairement obtenir un agrément en tant qu'établissement de crédit, nécessitant une mise en conformité avec un régime très strict. La transposition de la Directive DME2 en droit français, permettant un assouplissement du régime actuel, est donc attendue par des entrepreneurs n’appartenant pas au domaine bancaire, souhaitant se lancer dans l’activité de fourniture de service de monnaie électronique.

Le projet de loi a été adopté par le Sénat et présenté en première lecture à l'Assemblée Nationale, le 27 septembre 2012. (5) Ce projet comprend une trentaine d'articles relatifs à la monnaie électronique (Titre I du projet de loi) qui viendront compléter ou modifier les dispositions du Code monétaire et financier ("CMF").

Les dispositions essentielles du projet de loi concernent d’une part les conditions d’accès à l’activité d’EME, d’autre part les conditions d’exercice de cette activité.

    2.1 Les conditions d'accès à l'activité d’EME
Le projet de loi prévoit que les établissements de monnaie électronique sont des personnes morales, autres que les établissements de crédit, qui émettent et gèrent à titre de profession habituelle de la monnaie électronique (nouvel article L. 526-1 et s. CMF).

    - La nécessité d'un agrément : préalablement à l’émission et à la gestion de monnaie électronique, les EME doivent obtenir un agrément délivré par l’Autorité de contrôle prudentiel, ("ACP") après avis de la Banque de France. Pour délivrer l’agrément, l’ACP s’assure de l’aptitude de l’entreprise requérante à garantir une gestion saine et prudente de l’établissement de monnaie électronique et apprécie la qualité des actionnaires ou associés qui détiennent une participation qualifiée.

    - Un capital minimum obligatoire : pour délivrer l’agrément à un établissement de monnaie électronique, l’ACP vérifie si celui-ci dispose, au moment de la délivrance de l’agrément, d’un capital libéré d’un montant au moins égal à une somme qui sera fixée par voie réglementaire, étant précisé que le montant de 350.000€ fixé par la Directive DME2 est un seuil minimal.

    2.2 Les conditions d'exercice de l'activité d’EME
    - Des dispositions prudentielles particulières : les EME sont tenus de respecter des normes de gestion destinées à garantir leur solvabilité ainsi que l’équilibre de leur structure financière. Ils disposent également d’un dispositif approprié de contrôle interne leur permettant notamment de mesurer les risques et la rentabilité de leurs activités. Ils respectent un niveau de fonds propres adéquat. Comme pour le capital initial, le montant minimum des fonds propres et les modalités de calcul y afférentes seront fixées par voie réglementaire.

    - Un éventail d'activités autorisées : en sus de l’émission, la gestion et la mise à disposition de monnaie électronique, les EME peuvent : (i) fournir des services de paiement, (ii) fournir des services connexes à la prestation de services de paiement ou étroitement liés à l’émission et la gestion de monnaie électronique (ex: des services de change et de garde et l’enregistrement et le traitement des données), et (iii) exercer une activité commerciale autre que les activités mentionnées ci-dessus. Toutefois, ces activités commerciales ne doivent pas être incompatibles avec les exigences de la profession, notamment le maintien de la réputation de l’établissement de monnaie électronique, la primauté des intérêts des clients et le jeu de la concurrence sur le marché considéré.

    - La protection du consommateur : le projet de loi prévoit des obligations contractuelles particulières relatives à l’information préalable du consommateur. Les conditions contractuelles doivent être communiquées dans des termes clairs et aisément compréhensibles au détenteur de monnaie électronique avant tout contrat ou offre liant les parties. Le remboursement des unités de monnaie électronique doit, sauf exceptions, être effectué sans frais pour le détenteur. Le contrat doit établir clairement les conditions et le délai de remboursement des unités de monnaie électronique. Le remboursement devra être effectué, au choix du détenteur de monnaie électronique, en pièces, en billets de banque ou par virement (nouveaux articles L.133-29. et s. L.315-5 et s. CMF).

    - Un régime allégé pour les petits EME : Le projet de loi prévoit un régime allégé pour les petits EME. Ces établissements pourront être exemptés de l'essentiel du dispositif prudentiel, si leurs activités commerciales dans leur ensemble génèrent une moyenne de la monnaie électronique en circulation inférieure à un montant qui sera fixé par décret (nouvel article L.526-19 du CMF). Le montant de 5 millions d'euros prévu par la Directive est un seuil maximal.

    2.3 Des sanctions lourdes en cas d’infraction à la loi
Le projet de loi prévoit plusieurs sanctions qui varient en fonction de la gravité de l'infraction. Ainsi, sont notamment punis de 3 ans d'emprisonnement et 375.000€ d'amende (1.875.000€ pour les personnes morales), toute personne ou entreprise, autre que les EME : (i) émettant et gérant de la monnaie électronique à titre de profession habituelle, ou (ii) utilisant une dénomination, une raison sociale, une publicité ou, d’une façon générale, des expressions faisant croire qu’elle est agréée en tant qu’établissement de monnaie électronique (nouvel article 572-13 et s. CMF).

Ces peines principales peuvent être accompagnées de peines complémentaires telles que : l'interdiction d'exercer l'activité professionnelle dans l'exercice ou à l'occasion de laquelle l'infraction a été commise, ou la fermeture des établissements de l’entreprise ayant servi à commettre les faits incriminés, pour une durée de 5 ans au plus.


    La directive et la future loi française créent ainsi un véritable régime juridique autonome pour les établissements de monnaie électronique. Avec ce nouveau régime, le paysage de la réglementation financière devient plus complexe : il faudra distinguer entre les banques, les établissements financiers, les établissements de monnaie électronique et les prestataires de services de paiement.

Il conviendra de suivre avec attention les prochains débats parlementaires, certaines dispositions du projet de loi étant susceptibles d'évoluer d'ici l'adoption de la loi. En effet, bien que la DME2 impose une harmonisation maximale, certaines de ses dispositions fixent un seuil ou un montant minimum ou maximum, laissant une certaine marge à chaque Etat membre pour sa transposition.

En toute hypothèse, il appartient à la France de ne plus tarder à transposer cette directive si elle ne veut pas être soumise à des contraintes financières. La Commission européenne a ainsi demandé le 21 novembre dernier à la Cour de justice de l’Union européenne d’imposer une astreinte journalière d'environ 60.000€ à la Belgique, faute de transposition. Cette décision de la Commission est intervenue alors que le projet de loi de transposition est actuellement en cours de débat au Parlement belge. 

* * * * * * * * * *

(1) Directive 2000/46/CE du Parlement européen et du Conseil 18 septembre 2000 concernant l'accès à l'activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements (DME1).

(2) Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (DME2)

(3) Directive 2007/64/CE du Parlement européen et du Conseil du 13 novembre 2007 concernant les services de paiement dans le marché intérieur, modifiant les directives 97/7/CE, 2002/65/CE, 2005/60/CE ainsi que 2006/48/CE et abrogeant la directive 97/5/CE. Voir notamment l'article 8 décrivant les méthodes de calcul des fonds propres.

(4) Communiqué de presse de la Commission européenne du 26 avril 2012 "Marché intérieur: la Commission prend des mesures pour faire appliquer les règles européennes en matière de monnaie électronique", Référence: IP/12/418, accessible sur le site : http://europa.eu/.

(5) Projet de loi n°737 portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière, déposé le 1er août 2012 et Projet de loi n°232, adopté par le Sénat, portant diverses dispositions d'adaptation de la législation au droit de l'Union européenne en matière économique et financière, déposé le 27 septembre 2012.

Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Décembre 2012

E-commerce : les conditions de validité et d’opposabilité des contrats de vente en ligne B-to-C

Sur un site marchand, l’achat d’un produit ou d’un service, et donc la contractualisation de l’acte d’achat est réglementée et passe par plusieurs étapes que l’on peut résumer comme suit : la consultation du site web et de l'offre par l'internaute, suivie de la sélection du/des produits ou services, la vérification puis la confirmation de la commande, le paiement, puis côté marchand, la confirmation de la commande par le e-commerçant et enfin la livraison du produit ou du service commandé.

Cette succession d’étapes nous conduit à revenir sur les conditions de formation et de validité du contrat de vente en ligne : à quel moment et à quelles conditions le contrat de vente est-il considéré comme conclu ? Comment s’assurer que les conditions de vente sont effectivement acceptées et opposables aux acheteurs ?

Nous rappelons ci-après les règles applicables aux contrats conclus en ligne, dans une relation B-to-C et plus particulièrement la procédure de contractualisation et les conditions d’opposabilité du contrat aux parties.

1. La conclusion du contrat de vente en ligne

    1.1 L'offre de vente et l’information sur les produits ou services
Sur un site marchand, la description des produits n’est pas considérée comme une “simple”  publicité, ni comme la “simple” fourniture d’informations. La description des produits proposés à la vente est considérée juridiquement comme une offre de contracter qui engage le e-commerçant. A ce titre, la description doit être complète, loyale (ne pas induire le consommateur en erreur) et à jour (les produits doivent être disponibles).

Un e-commerçant pourrait par exemple voir sa responsabilité engagée si la description des produits (couleur, taille, origine, composition, etc.) n’était pas conforme à la réalité.

Ainsi, l'offre de vente doit notamment préciser les caractéristiques essentielles (qualitatives et quantitatives) des produits, le prix en euros TTC et s’il y a lieu, les frais qui viendront s’ajouter au prix de vente (frais de livraison, le cas échéant, droits de douane). L’offre doit en outre mentionner, de manière claire et compréhensible, un certain nombre d’éléments relatifs à l’exécution de la vente : modalités de paiement, date limite de livraison, existence ou non du droit de rétractation, etc. (1)

    1.2 La contractualisation en ligne
Le processus de contractualisation comprend deux étapes : la vérification de la commande puis sa confirmation par l’acheteur (procédure du "double-clic").

Dans un premier temps, pour que la commande soit valablement conclue, l'acheteur doit avoir pu la vérifier (détail de la commande et prix total, y compris les frais de livraison et autres frais annexes éventuels). Dans un second temps, le contrat est finalement conclu lorsque, après avoir pu vérifier le détail de sa commande, l'acheteur confirme la commande. Le e-commerçant doit alors sans délai, accuser réception de celle-ci par voie électronique, généralement par l’émission automatique d’un accusé de réception. Cet accusé de réception ne constitue qu'une information indiquant au client que sa commande a été prise en compte par le e-commerçant, et n’a pas de valeur contractuelle en soi.

Pour rappel, les pratiques ou les clauses contractuelles qui permettraient à l'e-commerçant de modifier de façon unilatérale le prix, d'ajouter unilatéralement le coût de la livraison qui n'aurait pas été contractuellement fixé (et non agréé par le client) ou de rajouter des produits ou services (extension de garantie ou assurance par exemple) dans le panier de l'acheteur, en pré-cochant des cases, sont prohibées.

Au cas où l’un des éléments relatifs à l’exécution de la commande (tels les frais de livraison) ne serait pas renseigné au moment de la passation de la commande, le contrat ne sera pas considéré comme conclu. Si le bien vendu doit être livré, et que la livraison est payante, le contrat à distance ne sera réputé conclu qu’après que l’acheteur ait reçu les informations relatives à la livraison (frais de livraison, délais et conditions) et ait confirmé son acceptation de la commande.

Une fois le contrat valablement conclu, le marchand est tenu de l’exécuter dans les termes agréés.  Le e-commerçant est responsable de plein droit de la bonne fin de la vente jusqu’à la livraison du produit à l’acheteur et ce, que l’intégralité des obligations contractuelles soient exécutées par lui-même ou non (sous-traitance de la logistique, du transport, etc.).


2. L’opposabilité, à l’acheteur, du contrat conclu en ligne

    2.1 L'acceptation effective des conditions générales de vente (CGV)
En application de l’article 1369-4 du code civil “Quiconque propose, à titre professionnel, par voie électronique, la fourniture de biens ou la prestation de services, met à disposition les conditions contractuelles applicables d'une manière qui permette leur conservation et leur reproduction. (…)”

Tout e-commerçant doit donc mettre ses CGV à disposition, en ligne. Les CGV, si elles sont correctement rédigées, auront l'avantage de regrouper en un seul document l'ensemble des informations contractuelles requises par la loi, devant être fournies à l'acheteur.

L'article L.121-19 du Code de la consommation prévoit en outre que l'acheteur doit recevoir par écrit ("ou sur un autre support durable à sa disposition"), en temps utile et au plus tard au moment de la livraison, certaines informations telles que : la confirmation des informations mentionnées dans l'offre de vente, les conditions et les modalités d'exercice du droit de rétractation, l'adresse de l'e-commerçant où l'acheteur peut présenter ses réclamations, etc.

Toutefois, la simple mise en ligne des CGV sur le site web, la simple mention d'application des CGV à la commande ou encore l’indication que le e-commerçant se réserve le droit de modifier les CGV à tout moment, sans qu’une procédure d’acceptation des CGV n’ait été mise en place, ne suffisent pas à prouver que le e-commerçant a rempli son obligation d'information contractuelle et que le consommateur a effectivement accepté les CGV du marchand.

A défaut de procédure d'acceptation effective des CGV, ou de leur version modifiée, celles-ci pourront être déclarées inopposables à l'acheteur en cas de contentieux. Dans ce cas, le juge appliquera les conditions issues de la loi, de la jurisprudence et de l'équité, ce qui créera un degré  d’incertitude pour le commerçant, qui risquera de se voir opposer des conditions différentes et/ou moins favorables que prévues aux CGV.

Afin de s’assurer que ses CGV seront opposables aux acheteurs, le e-commerçant doit prévoir une procédure d'acceptation effective des CGV, à renouveler lors de leur modification (ou au moment de la passation d’une nouvelle commande, postérieurement à la modification des CGV).

Par ailleurs, de très nombreux sites marchands font accepter leurs conditions contractuelles en faisant cocher une case avec une mention du type "J'ai lu et j'accepte les CGV", avec un lien hypertexte renvoyant vers la page des CGV sur le site.

Cette pratique, qui était juridiquement acceptée jusqu’à maintenant, vient d’être invalidée par la Cour de Justice de l’Union européenne dans un arrêt de juillet 2012, qui l’estime contraire à l'article 5 §1 de la directive 97/7 concernant la protection des consommateurs en matière de contrats à distance (transposé à l'article L.121-19 du code de la consommation mentionné ci-dessus). Dans cet arrêt, la Cour rappelle, que “(…) le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès, confirmation des informations mentionnées à l’article 4 par.1(…), en temps utile lors de l’exécution du contrat et au plus tard au moment de la livraison (…), à moins que ces informations n’aient déjà été fournies au consommateur préalablement à la conclusion du contrat par écrit ou sur un autre support durable à sa disposition et auquel il a accès.(…)”.

La Cour considère que lorsque les informations contenues dans les CGV ne sont accessibles que via un lien communiqué au consommateur, ces informations (i) ne sont ni "fournies" au consommateur, ni "reçues" par celui-ci et (ii) ne peuvent être considérées comme fournies sur "un support durable" au sens de la directive. (2)

Les conditions d’acceptation des CGV ont ainsi été renforcées par une interprétation stricte des dispositions de la directive de 1997 par les juges européens. Il est donc recommandé de revoir les conditions d’acceptations des CGV en ligne afin d’éviter les procédures en inopposabilité de ces CGV.

    2.2 Le délai de prescription, l’archivage du contrat et l’opposabilité dans le temps
La question de l’opposabilité des CGV aux acheteurs ne se pose pas uniquement pendant l’exécution du contrat de vente, mais jusqu’à l’expiration du délai de prescription des actions en responsabilité.

Même si le contrat de vente en ligne expire après exécution de la livraison (étendue à la durée de la garantie légale, et éventuellement d’une garantie contractuelle plus longue), l’acheteur conserve  la possibilité d’intenter une action en responsabilité à l’encontre du vendeur pendant un délai de plusieurs années après l’expiration du contrat.

Le droit de la prescription civile a été modifié avec la loi du 17 août 2008. Le délai de prescription de droit commun est ainsi passé de 30 ans à 5 ans. (3) Ce délai de 5 ans concerne les contrats conclus en ligne avec les consommateurs.

Ce délai de droit commun comporte cependant de nombreuses exceptions. 

Outre, ce délai de prescription, tout e-commerçant a l’obligation, pour les contrats d’un montant supérieur à 120€ TTC, de conserver le contrat et de le tenir à la disposition du consommateur pendant une durée de 10 ans à compter de sa conclusion. (4) Le e-commerçant est donc dans l’obligation de conserver et d’archiver les CGV applicables au moment de la conclusion de la vente, ainsi que les éléments contractuels (commande, description du bien ou du service). La conservation de ces documents est nécessaire pour que les parties puissent faire valoir leurs droits en cas de contestation future, pendant la période non-prescrite.

Cet archivage électronique devra être réalisé de manière à ce que le e-commerçant puisse à tout moment produire le contrat à la demande de l’acheteur, de l’administration (en cas de contrôle fiscal par exemple) et en cas de litige avec un acheteur, pendant la période non-prescrite. La norme d’archivage de référence est la norme AFNOR Z42-013 / ISO 14641-1. Bien que cette norme ne soit pas impérative, elle constitue néanmoins le référentiel en matière d’archivage électronique.


Il est donc recommandé aux e-commerçants de s’assurer de la conformité à la loi de leur procédure de contractualisation en ligne et de conservation des documents contractuels et, à défaut, de prendre toutes mesures nécessaires de mise en conformité pour s’assurer notamment que leurs conditions de vente sont effectivement opposables aux acheteurs, non seulement au moment de la conclusion de la vente, mais pendant toute la durée de conservation, jusqu’à l’expiration des délais de prescription.

Le non-respect de certaines des obligations mentionnées dans notre article est sanctionné pénalement par une contravention de 5e classe, soit, pour les personnes morales, un montant maximum de 7.500€, pouvant être porté à 15.000€ en cas de récidive.

* * * * * * * * * * *

(1) Voir les art. L.111-1 et s., L.113-1 et s., et L.121-18 et s., R.121-1 et s. du Code de la consommation ; art. 1369-4 du Code civil.

(2) Voir l’arrêt CJUE 3é ch. du 5 juillet 2012, Content Services Ltd c/ Bundesarbeitskammer, aff. C-49/11 et notre article “Vente en ligne : les conditions d’opposabilité des informations contractuelles au consommateur précisées par la CJUE” publié sur ce blog en août 2012

(3) Loi 2008-561 portant réforme de la prescription en matière civile

(4) Voir Art. L.134-2 du Code de la consommation et le décret d’application n°2005-137 du 16 février 2005.



Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com


Octobre 2012

Vente en ligne : les conditions d’opposabilité des informations contractuelles au consommateur précisées par la CJUE

De très nombreux sites de e-commerce font accepter leurs conditions contractuelles (CGU et/ou CGV) en faisant cocher une case face à un lien hypertexte renvoyant vers la page web correspondante. Cette pratique, qui était juridiquement acceptée jusqu’à maintenant, vient d’être invalidée par la Cour de Justice de l’Union européenne (CJUE) dans un arrêt du 5 juillet 2012, qui l’estime contraire à la directive 97/7 concernant la protection des consommateurs en matière de contrats à distance. (1)

En l’espèce, la société Content Services Ltd proposait des services en ligne, dont le téléchargement de logiciels gratuits et payants et des abonnements en ligne. L’acceptation des conditions contractuelles se faisait via une case à cocher, avec un lien hypertexte vers la page des CGV du site. En cochant la case, l’internaute acceptait donc les CGV, qui mentionnaient notamment leur renonciation au droit de rétractation. Un organisme autrichien de protection des consommateurs a poursuivi Content Services devant les tribunaux autrichiens, considérant que cette société ne respectait pas les règles européennes en matière de protection des consommateurs et de conclusion des contrats à distance, notamment l’article 5 par.1 de la directive 97/7. Le tribunal autrichien a décidé de porter la demande devant la CJUE afin d’obtenir une décision préjudicielle.

En résumé, il était demandé à la CJUE de trancher la question de savoir si le fait, pour le e-commerçant, de communiquer au e-consommateur un lien hypertexte renvoyant aux conditions contractuelles consultables sur son site web, était ou non conforme aux exigences d’information du consommateur, posées par l’article 5 par. 1 de la directive.


1. La communication d’un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “fourniture des informations” au sens de la directive ?

La directive 97/7/CE concerne la protection des consommateurs en matière de contrats à distance. (2) L’article 5 “Confirmation écrite des informations” dispose, au paragraphe 1 que “le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition et auquel il a accès, confirmation des informations mentionnées à l’article 4 par. 1(…), en temps utile lors de l’exécution du contrat et au plus tard au moment de la livraison (…), à moins que ces informations n’aient déjà été fournies au consommateur préalablement à la conclusion du contrat par écrit ou sur un autre support durable à sa disposition et auquel il a accès.(…)”. (3)

Les informations devant être fournies comprennent notamment les conditions et modalités d’exercice du droit de rétractation, l’adresse géographique du fournisseur où le consommateur peut présenter ses réclamations, les informations relatives au SAV et aux garanties commerciales, les conditions de résiliation du contrat lorsque celui-ci est à durée indéterminée ou d’une durée supérieure à un an.

La directive 97/7 a été transposée en droit français, l’article 5 étant transposé à l’article L.121-19 du Code de la consommation. (4)

La première partie de la question posée à la CJUE portait sur la notion de “fourniture” des informations pertinentes au consommateur ou de “réception” de celles-ci, au sens de la directive.

En d’autres termes, le fait pour l’exploitant d’un site de e-commerce, de communiquer au consommateur un lien hypertexte qui renvoie vers les pages du site relatives aux CGV est-il suffisant et conforme aux exigences d’information de la directive ?

La réponse de la CJUE est négative. Selon les juges européens, la directive a pour objet la protection du consommateur, cette protection devant être renforcée en matière d’achat à distance.  La protection du e-consommateur inclut la fourniture d’une information complète par le e-commerçant. A ce titre, le e-consommateur dispose notamment du droit de se rétracter postérieurement à son achat, sans avoir à se justifier.

La directive impose, à l’article 5, la “fourniture” des informations pertinentes au e-consommateur, ou sa “réception” de celles-ci. Les juges estiment que le consommateur ne doit pas avoir à faire d’efforts pour avoir accès à ces informations, par exemple, en devant cliquer sur un lien pour rechercher et accéder aux conditions contractuelles sur le site web, a fortiori dans la mesure où la grande majorité des utilisateurs acceptent les CGU/CGV des sites marchands quasiment automatiquement avant leur achat et ne les lisent jamais. Selon la Cour, un comportement passif des consommateurs doit suffire pour prendre effectivement connaissance des informations, sans même avoir à cliquer sur un lien pour se rendre sur une page web.

La Cour en conclut donc que lorsque ces informations ne sont accessibles que via un lien communiqué au consommateur, lesdites informations ne sont ni fournies au consommateur, ni reçues par celui-ci au sens de l’article 5 par. 1 de la directive.


2. La fourniture des informations via un lien hypertexte renvoyant vers une page du site web du vendeur répond-elle à l’exigence de “support durable” ?

L’article 5 par. 1 de la directive pose une deuxième condition en matière de fourniture des informations pertinentes au e-consommateur : celles-ci doivent être fournies par écrit ou sur un “support durable”.

Après avoir répondu à la question relative à la fourniture des informations, la Cour examine la notion de support durable. Ainsi, pour être considéré comme durable, un support doit répondre aux trois critères suivants : 1) permettre au consommateur de stocker les informations qui lui ont été adressées personnellement, 2) garantir l’absence d’altération de leur contenu ainsi que leur accessibilité pendant une durée appropriée, et 3) offrir aux consommateurs la possibilité de les reproduire telles quelles. En effet, le consommateur doit pouvoir conserver durablement les conditions contractuelles applicables à son achat afin de pouvoir y faire référence en cas de litige éventuel.

Or, selon les juges, le seul fait de renvoyer vers une page web, à partir d’un lien communiqué au consommateur, ne permet pas à celui-ci de stocker les informations dans les conditions rappelées ci-dessus. En outre, le contenu des pages web peut être modifié à tout moment par le e-commerçant. (5)

La CJUE estime donc que les informations qui sont uniquement disponibles sur un site internet, en passant par un lien hypertexte présenté par le vendeur, ne peuvent être considérées comme fournies sur un support durable, au sens de l’article 5 par. 1 de la directive.


3. Les conséquences pratiques de l’arrêt de la CJUE du 5 juillet 2012 pour les sites de e-commerce européens

L’intérêt de cette décision est qu’elle s’applique à l’ensemble des sites de e-commerce de l’Union. Or, à ce jour, de très nombreux sites de vente en ligne font accepter leurs conditions contractuelles (CGU et/ou CGV) en faisant cocher une case face à un lien hypertexte renvoyant vers la page correspondante. Les conditions peuvent parfois être téléchargées en format pdf et/ou être imprimées. D’autres sites ne prennent même pas la peine de faire accepter leurs conditions contractuelles par ce moyen, les CGV indiquant uniquement que le fait de commander un bien ou un service entraîne automatiquement l’accord des conditions contractuelles du marchand par le consommateur.

La décision de la CJUE du 5 juillet 2012 a pour effet de lever toute ambigüité sur l’opposabilité des conditions contractuelles (ou “informations pertinentes”) des e-commerçants aux e-consommateurs. Cet arrêt a pour effet de pousser la protection du e-consommateur vers un nouveau pallier, quitte à le déresponsabiliser un peu plus. Il contredit la pratique communément admise de l’acceptation des conditions contractuelles par opt-in et lien hypertexte, validée notamment par les tribunaux français. (6)

En conséquence, nombre de sites de e-commerce français et européens vont devoir adapter le mode de communication de leurs conditions contractuelles à leurs clients s’ils veulent s’assurer que ces conditions sont considérées comme effectivement acceptées par les consommateurs et qu’elles leurs sont donc opposables.

Cette adaptation s’articule autour de deux éléments : la “fourniture” effective des informations au consommateur, sur un “support durable”.

Ainsi, jusqu’à présent, les e-marchands adressaient un email de confirmation de commande au client, au contenu souvent générique. La mise en conformité aux dispositions de la directive passera, par exemple, par l’intégration en toutes lettres dans l’email de confirmation de commande des informations prévues à l’article 5 par.1 de la directive (article L.121-19 du Code de la consommation). Il est recommandé par ailleurs de faire en sorte que les CGU/CGV puissent être aisément imprimables et/ou disponibles sous format électronique non modifiable (support durable) et comprennent a minima une date d’effet, un numéro de version et/ou une empreinte d’horodatage.

A défaut de prendre ces précautions, le e-commerçant, sur qui repose la charge de la preuve de la fourniture des informations pertinentes et de la bonne exécution de ses obligations, pourra se voir imposer un droit de rétractation porté de 7 jours à 3 mois, des conditions contractuelles non opposables à ses clients, ainsi qu’une amende de 1500€ (3000€ en cas de récidive) en application de l’article R.121-1-1 du Code de la consommation.


Cette décision suscite une certaine perplexité : d’une part, rien n’obligera le consommateur à lire effectivement les conditions contractuelles lors d’un achat en ligne, quel que soit le mode de communication de ces conditions, via un lien hypertexte ou in extenso dans l’email de confirmation de commande par exemple ; d’autre part, à l’ère du m-commerce, encore moins d’acheteurs auront la volonté de lire les conditions contractuelles applicables à un achat, le plus souvent d’impulsion, sur un écran de smartphone... Le consommateur doit, certes pouvoir bénéficier d’une certaine protection contractuelle, il n’en doit pas moins prendre ses responsabilités d’acheteur, en lisant le contrat.

* * * * * * * * * * * *

(1) Arrêt CJUE 3é ch. du 5 juillet 2012, Content Services Ltd c/ Bundesarbeitskammer, aff. C-49/11

(2) Directive 97/7/CE du Parlement européen et du Conseil du 20 mai 1997 concernant la protection des consommateurs en matière de contrats à distance. Cette directive doit être remplacée par la directive 2011/83 relative aux droits des consommateurs, à compter du 13 juin 2014. La directive 2011/83 reprend, à l’article 6, des dispositions relatives à l’obligation d’information concernant les contrats à distance.

(3) A noter que les dispositions de l’article 5 par. 1 ne s’appliquent pas aux services fournis en une seule fois et dont la facturation est effectuée par l’opérateur de la technique de communication.

(4) L’article L.121-19 du Code de la consommation dispose “I.-Le consommateur doit recevoir, par écrit ou sur un autre support durable à sa disposition, en temps utile et au plus tard au moment de la livraison :
1° Confirmation des informations mentionnées aux 1° à 4° de l'article L. 121-18 et de celles qui figurent en outre aux articles L. 111-1, L. 111-2 et L. 113-3 ainsi que de celles prévues pour l'application de l'article L. 214-1, à moins que le professionnel n'ait satisfait à cette obligation avant la conclusion du contrat ;
2° Une information sur les conditions et les modalités d'exercice du droit de rétractation ;
3° L'adresse de l'établissement du fournisseur où le consommateur peut présenter ses réclamations ;
4° Les informations relatives au service après vente et aux garanties commerciales ;
5° Les conditions de résiliation du contrat lorsque celui-ci est d'une durée indéterminée ou supérieure à un an.
II.-Les dispositions du présent article ne sont pas applicables aux services fournis en une seule fois au moyen d'une technique de communication à distance et facturés par l'opérateur de cette technique à l'exception du 3°.III.-Les moyens de communication permettant au consommateur de suivre l'exécution de sa commande, d'exercer son droit de rétractation ou de faire jouer la garantie ne supportent que des coûts de communication, à l'exclusion de tout coût complémentaire spécifique.”

(5) L’arrêt fait référence à un rapport du European Securities Markets Expert Group (ESME) de 2007 qui distinguait entre les “sites ordinaires” et les “sites sophistiqués”, considérant que certains sites sophistiqués pouvaient constituer un support durable. Ce point n’a pas été étudié plus avant par les juges dans la mesure où le site de la société Content Services n’entrait pas dans la catégorie des sites sophistiqués.

(6) Voir par exemple : CA Paris du 25 novembre 2010, SAS Karavel c/ epx Challet. Dans cette affaire, les utilisateurs contestaient, entre autre, l’opposabilité des CGV de l’exploitant du site. La Cour a estimé que le fait d’avoir coché une case mentionnant leur acceptation des CGV, celles-ci étant accessibles via un lien hypertexte, les engageait contractuellement. Ils ne pouvaient donc prétendre ne pas connaître les conditions contractuelles du site.

Bénédicte DELEPORTE
Avocat
août 2012