Messages les plus consultés

Affichage des articles dont le libellé est DGCCRF. Afficher tous les articles
Affichage des articles dont le libellé est DGCCRF. Afficher tous les articles

lundi 10 mars 2014

Données personnelles : vers un renforcement des contrôles de conformité à la loi Informatique et Libertés

La loi relative à la consommation (“loi Hamon”), votée le 13 février 2014, doit entrer en vigueur après sa validation par le Conseil constitutionnel. Cette loi comporte des dispositions très diverses, portant notamment sur l’action de groupe, la protection des consommateurs (transposant la directive européenne relative aux droits des consommateurs du 25 octobre 2011), la vente de lunettes en ligne, etc. (1)

Parmi ces dispositions figurent des mesures visant à renforcer les pouvoirs de contrôle des autorités en matière conformité des traitements de données personnelles à la réglementation. Le texte prévoit ainsi la possibilité, d’une part, pour la Commission Nationale de l’Informatique et des Libertés (CNIL) d’effectuer, à distance, des contrôles de conformité à la loi Informatique et Libertés, et d’autre part, pour les agents de la DGCCRF de constater des manquements à la réglementation sur la protection des données personnelles.

En quoi ces contrôles consistent-ils ? Quelle est l’étendue des pouvoirs de contrôle respectifs de la CNIL et de la DGCCRF ? Quelles sont les risques de sanctions en cas de non-conformité ? Nous faisons un point ci-après sur ces nouvelles dispositions légales.


1. Les contrôles de conformité à la loi Informatique et Libertés effectués par la CNIL

Sous réserve de validation de ces dispositions par le Conseil constitutionnel, la CNIL pourra désormais réaliser des contrôles de conformité à la loi sur place, mais également à distance.

    - Le droit en vigueur : les contrôles sur place
Depuis la modification de la loi Informatique et Libertés en 2004, les agents de la CNIL sont habilités à effectuer des contrôles sur place, c’est à dire dans les locaux des entreprises à partir desquels des traitements de données personnelles sont mis en oeuvre. (2)

Ces contrôles sont généralement réalisés à la suite de plaintes d’utilisateurs et de manière inopinée. Sauf urgence ou gravité particulière, le responsable des locaux contrôlés a la possibilité de s’opposer à la visite de contrôle. Dans ce cas, la visite ne peut se dérouler qu’après l’autorisation d’un juge des libertés et de la détention. La visite devra être effectuée en présence de l’occupant des lieux, éventuellement assisté d’un conseil.

Les agents de la CNIL peuvent demander communication de tout document, recueillir tout renseignement utile et accéder aux programmes informatiques et aux données afin de vérifier la conformité à la loi ou encore se faire assister par des experts.

A l'issue du contrôle, un procès verbal des vérifications et visites menées est dressé contradictoirement et doit être signé par les agents de la CNIL et le responsable des lieux.

    - Les contrôles en ligne
La loi Hamon, relative à la consommation modifie la loi Informatique et Libertés (article 105) afin de permettre à la CNIL de constater, à distance, les infractions à la réglementation . Cette nouvelle possibilité de contrôle à distance a pour objet de pouvoir multiplier les contrôles de conformité de sites web, sans pour autant démultiplier les ressources de la CNIL et les coûts associés.

Ainsi, les agents de la CNIL pourront désormais : (i) procéder à toute constatation utile à partir d’un service de communication au public en ligne, (ii) consulter les données librement accessibles ou rendues accessibles, y compris par imprudence, par négligence ou par le fait d’un tiers, le cas échéant en accédant et en se maintenant dans des systèmes de traitement automatisé de données, le temps nécessaire aux constatations ; et (iii) retranscrire les données par tout traitement approprié dans des documents directement utilisables pour les besoins du contrôle.

S'agissant du procès-verbal de contrôle, la loi précise dorénavant qu’il “est dressé contradictoirement lorsque les vérifications et visites sont effectuées sur place”. Ceci implique, a contrario, que le procès-verbal est dressé de façon unilatérale lorsque les investigation de la CNIL sont réalisées à distance. Le nouveau texte de loi prévoit donc un procès-verbal notifié a posteriori simplement pour observation.

Dès lors, ce texte confère à la CNIL un pouvoir d'investigation très important puisque les contrôles en ligne seront menés sans que le droit d'opposition du responsable de traitement puisse s’exercer au moment du contrôle, sans que le responsable du site en soit informé et, sans qu'un procès verbal contradictoire soit établi. Comme précisé plus haut, la loi est actuellement en cours d’examen par le Conseil constitutionnel. Il est possible que cette disposition fasse l’objet de remarques par le Conseil sur sa mise en oeuvre.


2. Les nouveaux pouvoirs de contrôle par les agents de la DGCCRF

L’article 76 de la loi modifie le Code de la consommation (article L.141-1) et prévoit ainsi que les agents de l’autorité administrative chargée de la protection des consommateurs :
- sont habilités, lors de leurs contrôles relatifs à la protection économique des consommateurs, à constater les infractions et manquements à la loi Informatique et Libertés, et 
- peuvent communiquer ces constatations à la CNIL.

Les manquements constatés visent la licéité des traitements de données, les formalités préalables obligatoires, les obligations incombant aux responsables de traitement et les droits des personnes concernées par le traitement de leurs données.

Toutefois, cet article ne définit pas les suites à donner une fois qu’un constat de non-conformité aura été établi, ni ne prévoit la possibilité pour les agents de prononcer des sanctions. Le texte dispose simplement que les agents sont “habilités à constater” et qu’ils peuvent rendre compte des manquements à la CNIL.

En pratique, en cas de manquements à la loi, les agents de la DGCCRF communiqueront  en principe les résultats de leurs constatations à la CNIL, afin que celle-ci puisse prendre les mesures appropriées (contrôler, voire sanctionner les entreprises ne respectant pas la loi). Ce texte consacre donc une coopération entre les deux autorités.

La coopération entre la CNIL et la DGCCRF a déjà été abordée à deux reprises : en janvier 2011, la CNIL et la DGCCRF avaient signé un protocole de coopération, permettant l’échange d’informations entre les deux autorités afin de renforcer la protection des données personnelles des consommateurs sur les sites marchands ; en juin 2011, un projet de loi renforçant les droits des consommateurs prévoyait également la possibilité pour les agents de la DGCCRF de relever les manquements à la loi Informatique et Libertés et de les signaler à la CNIL. (3) Ce projet de loi de 2011 n’a pas abouti.


3. Les risques encourus par le responsable de traitement en cas de non-conformité à la loi Informatique et Libertés

A l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.

La CNIL peut également rendre publiques les sanctions qu’elle prononce, en procédant à leur publication sur son site ou en ordonnant leur insertion dans la presse, aux frais de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Indépendamment des sanctions administratives, l'entreprise qui n'a pas mis en place des mesures de sécurité suffisantes pour protéger les données personnelles est passible de sanctions pénales pouvant atteindre 300.000€ d’amende et cinq ans d'emprisonnement.


    Ces deux nouvelles mesures de contrôle de conformité à la loi Informatique et Libertés devraient entraîner un accroissement du nombre de contrôles par la CNIL et, par voie de conséquence, des procédures de sanction pour non-conformité à la loi. Il appartient donc aux responsables de traitement de données de s’assurer de la conformité des traitements réalisés et si nécessaire, de faire procéder à des audits de conformité à la loi Informatique et Libertés.

                                                            * * * * * * * * * * *

(1) Loi du 13 février 2014 relative à la consommation, actuellement examinée par le Conseil constitutionnel ; Directive 2011/83/UE du Parlement européen et du Conseil du du 25 octobre 2011 relative aux droits des consommateurs.

(2) Voir notamment article 44 de la loi n°78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.

(3) Communiqué CNIL du 6 janvier 2011 : “La CNIL et l'ARJEL s'associent pour contrôler les opérateurs de jeux en ligne” et notre article sur le sujet http://dwavocat.blogspot.fr/2011/07/le-renforcement-des-controles-de-la.html ; Projet de loi renforçant les droits, la protection et l'information des consommateurs n°3508, déposé le 1er juin 2011.

Bénédicte DELEPORTE
Betty SFEZ
Avocats

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2014



vendredi 27 janvier 2012

Quelles sont les règles applicables aux soldes sur internet ?

Les soldes d'hiver 2012 ont débuté le 11 janvier dernier et doivent prendre fin le 14 février à minuit. Aux termes d’une enquête FEVAD/CSA publiée le 9 janvier, plus de 22 millions de Français ont l’intention d’acheter en ligne à l’occasion des soldes d’hiver.(1)

Les soldes sur internet sont soumis aux mêmes règles que pour la vente en magasin. Les soldes étant propices à toutes sortes d’abus et de fraudes par des commerçants peu scrupuleux, ces opérations sont très encadrées afin d’éviter les dérives, depuis les périodes autorisées pour les opérations de soldes, en passant par la publicité des soldes, jusqu’aux règles applicables en matière de prix. 

Nous rappelons ci-après les obligations légales, incombant notamment aux e-commerçants, en matière de soldes et les sanctions encourues en cas de manquements à la réglementation.


1. Des périodes de soldes réglementées

Les soldes doivent avoir lieu durant les périodes définies par la loi pour l'année civile. Il existe deux types de soldes : les soldes saisonniers et les soldes complémentaires, ou soldes flottants.(2)

Les soldes saisonniers  -  Comme les commerçants traditionnels, les e-commerçants ont la possibilité d’organiser deux périodes de soldes par an, d'une durée de 5 semaines chacune.

Les périodes de solde saisonniers sont fixées par décret : les soldes d'hiver débutent le deuxième mercredi de janvier à 8 heures du matin et les soldes d'été débutent le dernier mercredi de juin à 8 heures du matin. (art. R.310-15-2 C. com.)

Toutefois, 18 départements (principalement frontaliers et DOM) ont la possibilité de démarrer les soldes à des périodes différentes afin de tenir compte d'une forte saisonnalité des ventes ou d'opérations commerciales menées dans des régions frontalières.

Les soldes complémentaires  -  Ces opérations commerciales, également appelées soldes flottants, sont autorisées pour une durée maximale de 2 semaines par an, consécutives ou non.

Les e-commerçants sont tenus de faire une déclaration préalable des périodes de soldes flottants auprès du Préfet du département du siège de l’entreprise, soit par lettre recommandée avec accusé de réception, soit par voie électronique sur le site de la DGCCRF. Cette déclaration doit être faite au moins un mois avant le début des soldes.(3)


2. Les produits et services concernés par les soldes

Opération de déstockage  -  Les produits proposés en solde sont uniquement les stocks invendus de produits neufs ; l'objet des soldes étant de pouvoir écouler ces marchandises. Le stock, se trouvant dans l'établissement commercial, ses réserves ou un dépôt, doit donc être préalablement constitué : les produits ne peuvent faire l'objet de réapprovisionnement, sous peine d’amende.

Les produits soldés doivent avoir été proposés à la vente en ligne et payés par le e-commerçant depuis au moins 1 mois avant le premier jour des soldes. L'objectif de cette mesure est d'interdire aux commerçants l'achat de produits spécifiques pour la période des soldes, et ainsi d'éviter que le consommateur ne soit trompé sur la réalité de la réduction de prix. (art. L.310-3-I C. com.)

Les prestations de services  -  La DGCCRF considère que le régime des soldes est également applicable à certains types de prestations de services. Selon l'Administration, seules les prestations de services revendues par un commerçant qui en a acquis de manière ferme et définitive une quantité déterminée non renouvelable auprès d'autre opérateur (par exemple, la vente de voyages ou de séjours à forfait), peuvent être soldées ; il n'en va pas de même pour les prestations fournies dans l'immédiat (tels que par exemple les services permettant aux internautes de créer leur site web, un magazines ou des albums photos à partir d’une plateforme fournissant modèles et maquettes-types).

Les conditions de garantie  -  Les produits vendus en période de soldes bénéficient des mêmes garanties que celles prévues pour les produits vendus hors soldes, notamment la garantie contre les vices cachés et autres garanties contractuelles qui seraient habituellement appliquées. Les limitations de garanties sur les produits soldés sont donc interdites. Les mentions du type “articles soldés ni repris, ni échangés” sont considérées comme abusives et ne dispensent pas les e-commerçants d'échanger ou de rembourser les produits présentant des vices cachés par exemple.

En outre, en matière de vente à distance, le consommateur continue à bénéficier du droit de rétractation (sauf exceptions prévues par la loi), même en période de soldes.


3. Produits soldés : les règles applicables en matière de publicité et de prix

L’usage du mot “solde”  -  L’utilisation du terme “soldes” est réglementée. Le terme solde(s) est interdit pour désigner toute activité, dénomination sociale, nom commercial ou enseigne qui ne se rapporte pas à une opération de soldes impliquant une réduction de prix. Dès lors, un e-commerçant ne peut utiliser le mot solde pour des opérations commerciales autre que les soldes telles que définies par la loi. (art. L.310-3-II C. com.)

Les mentions obligatoires  -  Toute publicité relative à une opération de soldes doit mentionner la date de début de l'opération et la nature des produits sur lesquels porte l'opération, si celle-ci ne concerne pas la totalité des produits vendus sur le site marchand. (art. R. 310-17 C. com.)

Les conditions de réductions de prix  -  Les réductions de prix en période de soldes sont soumises à certaines conditions, afin notamment d’éviter la fraude :

- Des réductions de prix effectives : les soldes sont des opérations commerciales comportant de réelles réductions de prix. Ainsi, le commerçant qui maintiendrait ses prix, ou qui augmenterait les prix quelques jours avant les soldes pour les ramener ensuite à leur ancien niveau s'exposerait à des sanctions.

- Des réductions claires : l'acheteur doit être informé des réductions de prix pratiquées et pouvoir clairement faire la distinction entre les produits soldés et non soldés.

Ainsi, le site marchand doit afficher : l'ancien prix (lequel devra apparaître barré), le nouveau prix et le taux de réduction pratiqué. Pour plus de clarté, une rubrique “spécial soldes” peut regrouper les produits soldés. Les publicités, en ligne et hors ligne, doivent préciser l'importance de la réduction de prix (en valeur absolue ou en pourcentage), les produits ou services concernés par les soldes et la période pendant laquelle les produits ou services sont proposés à prix réduit.(4)

- La revente à perte autorisée : la revente d'un produit à un prix inférieur à son prix d'achat, ou revente à perte, est généralement prohibée. Toutefois, cette pratique est exceptionnellement autorisée pendant la période des soldes. (art. L.442-2 et s. C. com.)

Les produits invendus à l’issue de la période des soldes  -  Une fois la période des soldes terminée, le commerçant a la possibilité de poursuivre la vente des produits soldés invendus. En revanche, il devra cesser toute publicité spécifique aux soldes concernant ces produits et ne pourra afficher qu'un seul prix.


4. Les sanctions applicables en cas de non-respect de la réglementation sur les soldes

Le rôle de la DGCCRF  -  Les agents de la DGCCRF disposent de pouvoirs d'enquête leur permettant d'accéder aux locaux des entreprises, de se faire communiquer tous documents professionnels et recueillir tous renseignements. Ces agents sont notamment compétents pour contrôler le respect des règles relatives à l'information des consommateurs sur les prix et les conditions de vente. (art. L.450-1 et s. du C. com.)

Les sanctions  -  Les manquements aux règles précitées sont punis d'amendes dont les montants varient selon l'infraction commise.

Ainsi, le fait d’organiser des soldes sur des produits détenus depuis moins d'un mois à la date de début de la période de soldes et/ou le fait d'utiliser le mot solde (ou ses dérivés) dans les cas où cette utilisation ne se rapporte pas à une opération de soldes telle que définie par la loi sont punis d'une amende de 15.000€ (75.000€ pour une personne morale). (art. L.310-5 C. com.)

Le fait de ne pas mentionner dans la publicité, la date de début de l'opération commerciale et la nature des produits ou services sur lesquels portent les soldes est puni d'une contravention de 5e classe, soit 1.500€ (7.500€ pour une personne morale). (art. R.310-19-3° C. com.)

Enfin, le fait d'utiliser le mot solde dans une publicité, hors période de soldes et sans autorisation, est passible de l'amende prévue pour la publicité trompeuse, si l'opération est susceptible d'induire  les consommateurs en erreur. Le montant de l'amende s'élève à 37.000€ et peut aller jusqu'à 50% du montant consacré à la publicité litigieuse. (art. L.121-15 C. conso.)


5. Réglementation des soldes et territorialité


Le problème de la réglementation française des soldes et de son application territoriale, notamment pour les périodes de soldes, se posait pour la vente en ligne lorsque les périodes différaient selon les départements d’établissement des lieux de vente. Les dates des soldes saisonniers étant désormais les mêmes sur tout le territoire français (sauf certains départements et DOM, soumis à des dates différentes, comme indiqué ci-dessus), ce problème ne se pose plus au niveau national. Les entreprises de e-commerce établies en France sont soumises à ces règles - périodes de soldes, règles relatives à la publicité des soldes, à la fixation des prix, etc. - de la même manière que les magasins “en dur”.

Cependant, le problème de la territorialité de la réglementation des soldes n’est pas entièrement résolu pour autant : non seulement les consommateurs peuvent acheter sur des sites de e-commerce établis à l’étranger, à des prix “soldés” à des périodes différentes de celles applicables sur le territoire français, mais les règles applicables en matière d’établissement des prix et de publicité peuvent ne pas être encadrées de manière aussi stricte qu’en France. De la même manière, rien n’empêche les consommateurs étrangers de profiter des périodes de soldes sur les sites établis en France (sauf le refus du e-commerçant de vendre à des acheteurs résidant à l’étranger).

Le “handicap” de la concurrence des sites étrangers non soumis aux mêmes règles doit cependant être mis en perspective avec les garanties offertes par les conditions de vente des sites français (voir ci-dessus), et les obligations de transparence en matière de prix, ces deux éléments devant rassurer le consommateur. Enfin, avec la transposition de la directive protection des consommateurs, applicable dans les états membres au plus tard en juin 2014, les règles généralement applicables au commerce en ligne au sein de l’Union européenne (notamment information du consommateur, obligations en matière de livraison, délai de rétractation, etc.) seront amenées à se rapprocher. Certes, la directive ne concerne pas les conditions applicables aux soldes en ligne, mais les droits et obligations applicables à la vente en ligne B-to-C seront désormais très proches dans les différents états membres de l’Union.(5)


* * * * * * * * * * * *

(1) Voir communiqué de presse du 9 janvier 2012 sur le site de la Fevad (www.fevad.com), à la rubrique > espace presse
(2) Les règles concernant les soldes sont définies aux articles L.310-3 et suivants et R.310-15 et suivants du Code de commerce.
(3) Voir art. R.310-15 C. com. ; la télé-déclaration peut être faite en ligne sur le site de la DGCCRF (http://telesoldes.dgccrf.bercy.gouv.fr/).
(4) Voir notamment les articles 1 et 2 de l'arrêté du 31 décembre 2008 relatif aux annonces de réduction de prix à l'égard du consommateur qui disposent que toute publicité relative à l'annonce de réduction de prix, lorsqu'elle est faite sur le lieu de vente (en l’occurrence, le site marchand), doit faire apparaître, outre le prix annoncé, le prix de référence, qui ne peut excéder le prix le plus bas effectivement pratiqué au cours des 30 derniers jours précédant le début de la période des soldes. L'annonceur peut également utiliser comme prix de référence le prix conseillé par le fabricant ou l'importateur du produit sous réserve que ce prix soit couramment pratiqué par les autres distributeurs.
(5) Directive 2011/83/UE du 25 octobre 2011 relative aux droits des consommateurs.


Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Janvier 2012

article publié sur le Journal du Net le 30 janvier 2012

vendredi 9 septembre 2011

Vers une protection juridique accrue de l’e-consommateur

Malgré le développement continu du e-commerce, le législateur, tant européen que français, n’a de cesse de mettre l’accent sur les problèmes de fraude des e-commerçants et de déficit de confiance de la part des consommateurs. Reconnaissant cependant l’impact du e-commerce sur l’économie française et européenne, les politiques veulent renforcer la “confiance” dans le commerce en ligne.

De nouvelles règles, axées sur la protection du e-consommateur, doivent entrer en vigueur dans les prochains mois. Le présent article fait le point sur les grandes mesures annoncées : directive “droit des consommateurs” et projet de loi sur la protection des consommateurs.


1. Renforcer la protection de l’e-consommateur européen

Le Parlement européen vient d’adopter, le 23 juin 2011, les nouvelles règles applicables aux contrats conclus à distance et aux contrats hors établissement.(1) Après avoir été approuvée par le Conseil des ministres, cette nouvelle directive sur la protection des consommateurs devra être transposée dans les droits nationaux dans un délai de deux ans, les lois de transposition devant entrer en vigueur 6 mois après leur adoption.

- Un objectif d’harmonisation du droit européen de la protection du e-consommateur

Au niveau européen, la directive e-commerce de juin 2000, transposée en France avec la LCEN du 21 juin 2004, avait fourni un cadre juridique au commerce électronique, en définissant notamment les grandes catégories d’intervenants (opérateurs, fournisseurs d’accès, hébergeurs, commerçants) et les contours des régimes de responsabilité applicables aux unes et aux autres.(2)

Ces règles avaient pour objectif de créer un socle commun minimum, les Etats-membres pouvant décider d’adopter des règles plus contraignantes.

La directive de juin 2000 n’avait cependant pas pour objet spécifique de définir les règles applicables aux consommateurs. Les règles du droit de la consommation restaient donc assez disparates d’un Etat-membre à un autre, notamment pour les achats en ligne, certains pays ayant déjà adopté des réglementations protectrices des e-consommateurs, d’autres n’ayant pas encore réellement légiféré dans ce domaine.

La disparité actuelle entre les droits nationaux a pour effet de dissuader les achats en ligne transfrontaliers, les e-consommateurs craignant des règles inexistantes ou moins protectrices que dans leur pays de résidence, et les e-commerçants ne souhaitant pas être confrontés à des règles qu’ils ne connaissent pas en vendant à l’international.

La nouvelle directive “droits des consommateurs” a pour objet d’actualiser et de fusionner deux directives sur les droits des consommateurs, toutes deux antérieures à l’essor du e-commerce : la directive sur les contrats à distance et la directive sur les contrats négociés hors établissement. L’objectif affiché de cette nouvelle directive est de renforcer la protection des acheteurs en ligne. 

Nous ne ferons pas ici une description exhaustive de toutes les dispositions de la nouvelle directive. Trois séries de dispositions peuvent cependant être relevées :

- Un renforcement de l’obligation d’information du e-consommateur

L’e-commerçant doit être identifié clairement. Cette obligation, correspondant à l’obligation de faire figurer les mentions légales de l’exploitant du site, est rappelée dans la directive. Elle figure déjà à l’article 6 III de la LCEN.

- Le nouveau droit de rétractation

Le droit de rétractation voit ses contours redéfinis. Ainsi, le délai de rétractation accordé au e-consommateur passe de 7 à 14 jours à compter de la livraison. En contrepartie, le e-consommateur devra être remboursé (montant du bien et frais de livraison) dans un délai de 14 jours à compter de sa rétractation. Un formulaire type de rétractation est proposé à la fin de la directive. L’acheteur doit renvoyer le bien au vendeur au plus tard 14 jours après avoir communiqué sa décision de se rétracter.(3)

Cependant, pour que ces délais soient applicables, il incombe au e-commerçant d’informer l’acheteur des conditions de rétractation (et le cas échéant, de l’absence de droit de rétractation). En l’absence d’information de l’acheteur, le délai de rétractation est automatiquement prolongé d’un an. Le commerçant doit également préciser si les frais de renvoi sont à la charge de l’acheteur.

Les frais de retour d’un bien acheté à distance ne pouvant être renvoyé par courrier ordinaire doivent être énoncés clairement dans le contrat de vente afin que le e-consommateur ait toutes les informations nécessaires s’il souhaite se rétracter et renvoyer le bien. Au cas où les informations relatives aux frais de retour ne seraient pas indiquées, ces frais seront à la charge du vendeur. Cette disposition sera, sans nul doute, complexe à mettre en oeuvre puisque, entreront en ligne de compte, le lieu de résidence de l’acheteur, le type d’objet et son poids.

Il existe des exceptions au droit de rétractation. Ainsi, certains types de biens et prestations de services ne peuvent faire l’objet d’une rétractation après leur commande en ligne, tels que les locations de voiture, les billets d’avion, les denrées alimentaires, les biens personnalisés ou les biens numériques. Certaines restrictions existent déjà en droit français (référence à la loi), d’autres sont nouvelles. Enfin, certains services pourront être annulés après le début de leur exécution, sous réserve que l’acheteur règle au prestataire la partie du service déjà exécutée.(4)

- Des conditions d’exécution du contrat précisées

La livraison doit être réalisée dans un délai de trente jours, sauf accord contraire entre les parties.

Le transfert des risques a lieu au moment de la remise du bien à l’acheteur. Il s’agit, en d’autres termes, de l’application du principe de responsabilité de plein droit du e-commerçant de la bonne fin du contrat, jusqu’à la remise du bien à l’acheteur.(5)

La directive “droits des consommateurs” doit être transposée dans les droits nationaux selon le principe de l’harmonisation maximale, c’est-à-dire que les Etats-membres ne pourront adopter de législations plus contraignantes (comme un délai de rétractation plus long par exemple).

Même si la directive “droits des consommateurs” intègre un certain nombre de dispositions existant déjà en droit français, de nombreux ajustements devront néanmoins être réalisés. Les nouvelles règles énoncées dans la directive entraîneront donc une mise à jour des conditions de vente (CGV) et des conditions d’utilisation (CGU) des sites web d’ici le début de 2014 pour assurer leur conformité à des règles impératives.


2. Assurer le respect des règles de la vente en ligne par les e-commerçants français


En parallèle à la directive “droits des consommateurs”, un projet de loi renforçant les droits, la protection et l’information des consommateurs est en cours d’examen par le Parlement. Ce projet devrait être voté avant fin 2011. (6)

Bien que ce projet de loi ne soit pas spécifiquement dédié au commerce en ligne, on retiendra notamment une série de mesures venant compléter ou modifier le droit existant : une information contractuelle du consommateur plus complète, les modalités d’exécution du droit de rétractation précisées, le renforcement du contrôle du respect des dispositions de la loi Informatique et Libertés en matière de sollicitation commerciale et les conditions applicables à la livraison des biens achetés à distance.

- Une information contractuelle du e-consommateur plus complète

Certains sites de e-commerce ne fournissent pas ou peu d’informations contractuelles : pas de CGV (ou CGV difficilement accessibles), des CGV très incomplètes, etc. L’un des objectifs du projet de loi est d’améliorer l’information du e-consommateur en rappelant que cette information est obligatoire, sous peine de sanctions. Ainsi, les CGV devraient désormais “figurer directement sur la page d’accueil du site” ou sur tout support de communication de l’offre, ce que l’on traduit par “être accessibles” depuis la page d’accueil du site de vente en ligne, ou depuis les pages des applications mobiles par exemple.

En outre, les informations relatives au droit de rétractation et à ses limites devront non seulement obligatoirement figurer dans le contrat, mais également être facilement accessibles sur le site web et sur tous les supports de publicité.

- Les modalités d’exécution du droit de rétractation

Dans une optique de protection du consommateur, le projet de loi prévoit de doubler les pénalités à l’encontre du e-commerçant si celui-ci ne rembourse pas à l’acheteur ayant fait jouer son droit de rétractation, les sommes versées dans le délai légal de trente jours. Ces sommes sont actuellement productives d’intérêts au taux légal en vigueur. Le projet de loi prévoit de leur appliquer le double du taux légal, à titre dissuasif.

- Le renforcement du contrôle du respect des dispositions de la loi Informatique et Libertés en matière de sollicitation commerciale

Le spam consiste notamment en la prospection commerciale non sollicitée (ou non autorisée) par son destinataire. Les adresses email peuvent avoir été collectées directement sur le net ou communiquées par des e-commerçants en violation des règles applicables en matière de consentement préalable du destinataire. En outre, les emails publicitaires ne comportent pas toujours les mentions légales pour permettre aux destinataires de se désinscrire de la base d’emailing publicitaire.

Le projet de loi propose la création de sanctions administratives à l’encontre des opérateurs ne respectant pas les règles relatives au traitement des données à caractère personnel des e-consommateurs, à l’occasion de leurs transactions sur internet.

Désormais, les agents de la DGCCRF seront habilités à relever les manquements aux dispositions de la loi Informatique et Libertés lors de leurs contrôles relatifs à la protection économique des consommateurs. La sanction applicable en cas de manquement constaté à la loi s’élèvera à 15 000 euros. De même, les emails publicitaires ne permettant pas au destinataire de se désinscrire et/ou le fait pour l’expéditeur de dissimuler son identité et/ou de mentionner un objet sans rapport avec le message commercial sera sanctionné.

En pratique, les agents de la DGCCRF pourront relever les manquements à la loi, dans le cadre de leurs contrôles et les signaler à la CNIL. Cette mesure aura pour effet d’étendre l’efficacité des contrôles de conformité à la loi Informatique et Libertés au-delà des seules enquêtes diligentées par la CNIL, en s’appuyant sur le réseau des agents de la DGCCRF.

- Les conditions applicables à la livraison des biens achetés à distance


Une dernière mesure vise d’une part à interdire aux transporteurs de se retourner contre l’acheteur en cas de non paiement de la livraison par l’e-commerçant, alors que l’acheteur a déjà réglé le montant de la livraison au e-commerçant lors de son achat en ligne, d’autre part à allonger le délai accordé à l’acheteur pour contrôler le bien livré. Le e-consommateur disposerait désormais de 10 jours, au lieu de trois actuellement, pour émettre ses protestations concernant l’état du bien livré quand le transporteur n’a pas permis au consommateur de le vérifier effectivement.


Ainsi, l’objet affiché, tant par la directive que par le projet de loi français, est une protection accrue du e-consommateur, visant à accroître sa confiance dans le commerce en ligne. De leur côté, les e-commerçants devront mettre en oeuvre des mesures souvent contraignantes, assorties de sanctions. Désormais, la non-conformité à la loi coûtera cher, même en l’absence de pratique frauduleuse.


Bénédicte DELEPORTE
Avocat
www.dwavocat.com

Septembre 2011

(1) Résolution législative du Parlement européen du 23 juin 2011 sur la proposition de directive du Parlement européen et du Conseil relative aux droits des consommateurs. La transposition doit être faite dans les 2 ans à compter de la date de publication au JOUE.
(2) Directive 2000/31/CE du Parlement et du Conseil, 8 juin 2000, relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce électronique, dans le marché intérieur ; Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, dite LCEN.
(3) Articles 6 -1° (points h, i, j et k), 9 à 16 de la Directive et son Annexe 1.
(4) Article 16 de la Directive.
(5) Article 18 (livraison) et 20 (transfert de risques) de la Directive.
(6) Projet de loi renforçant les droits, la protection et l'information des consommateurs n°3508, déposé le 1er juin 2011.

vendredi 22 juillet 2011

Le renforcement des contrôles de la CNIL auprès des sites de e-commerce et de jeux en ligne


La CNIL a acquis des pouvoirs renforcés de contrôle et de sanction en cas de non-respect par les responsables de traitements des dispositions de la loi Informatique et Libertés, et ce depuis la transposition en 2004 de la directive européenne de 1995 sur les données personnelles.(1) Cependant, jusqu’ici la CNIL avait des moyens très limités pour la mise en oeuvre de ces pouvoirs de contrôle. La CNIL vient de renforcer ses actions de contrôle en s’appuyant sur des administrations tierces : DGCCRF par la signature d’un protocole de coopération en janvier 2011 et ARJEL par un partenariat conclu en juillet 2011.

Les cybercommerçants et les opérateurs de jeux en ligne sont particulièrement concernés par cette nouvelle orientation.

Nous faisons un point ci-après sur les pouvoirs de contrôle de la CNIL, la spécificité de certains contrôles et les sanctions applicables.

1. Les pouvoirs de contrôle de la CNIL

La CNIL, autorité administrative indépendante, est chargée de veiller au respect de l’identité humaine, de la vie privée et des libertés. La CNIL dispose ainsi du pouvoir de réaliser des contrôles de conformité à la loi Informatique et Libertés auprès des responsables de traitement de données personnelles.(2) Sont notamment concernés les éditeurs de sites de e-commerce ou de jeux en ligne. Les missions de contrôle de la CNIL s’inscrivent dans le cadre d'un programme adopté chaque année par la Commission ; Ces contrôles peuvent également être réalisés de façon inopinée pour répondre à des besoins ponctuels, dans le cadre de l'instruction de plaintes, à l’encontre d’un site web par exemple.

Ainsi, les membres ou agents de la CNIL peuvent, sur décision de son Président, accéder aux locaux des entreprises, demander communication de tout document nécessaire et en prendre copie, recueillir tout renseignement utile, accéder aux programmes informatiques et aux données. L’objectif est d’obtenir un maximum d’informations, techniques et juridiques, pour apprécier les conditions dans lesquelles sont mis en œuvre les traitements de données à caractère personnel.

Le responsable contrôlé n’est pas systématiquement informé, au préalable, du contrôle. Toutefois, il devra être informé de l’objet des vérifications que la CNIL compte entreprendre et de son droit d’opposition à un tel contrôle, et ce au plus tard au début de la procédure de contrôle. En cas d’opposition, le contrôle pourra être effectué avec l’autorisation d’un magistrat.

2. Le partenariat avec la DGCCRF et l'ARJEL pour des contrôles effectifs


Afin de renforcer son action dans certains secteurs d’activité, la CNIL vient de mettre en place des accords de collaboration avec la DGCCRF et l’ARJEL.

Sites de e-commerce - Le 6 janvier 2011, la CNIL et la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF) ont signé un “Protocole de coopération pour la protection des données personnelles des consommateurs sur Internet”. Ce protocole permet à la CNIL de s’appuyer sur le réseau des agents du Service national des enquêtes (SNE) de la DGCCRF en visant à accroître les actions de contrôle des pratiques des sites de e-commerce en matière de conformité à la loi des traitements de données mis en oeuvre.(3)

En pratique, les agents de la DGCCRF peuvent désormais étendre leurs contrôles de conformité à la réglementation économique pour inclure les contrôle de conformité à la réglementation Informatique et libertés. Les manquements à la loi Informatique et Libertés constatés par les agents de la DGCCRF sont directement communiqués à la CNIL afin que cette dernière puisse prendre les mesures appropriées.

Les comportements réprimés, susceptibles d’être relevés par la DGCCRF, concernent (i) la collecte illicite et déloyale de données à caractère personnel, (ii) le défaut de proportionnalité entre les données collectées et la finalité du traitement déclaré, (iii) la collecte non-autorisée de données sensibles (telles que l’orientation politique, ou des données de santé par exemple), (iv) l’absence de mesures de sécurité pour l’accès aux bases de données et la conservation des données, et (v) l’absence d’information des personnes sur l’exploitation de leurs données.(4)

Sites de jeux en ligne - La CNIL et l’Autorité de Régulation des Jeux En Ligne (ARJEL) viennent de s’associer, en juillet 2011, afin de renforcer les actions de contrôle de conformité des opérateurs de jeux en ligne à la réglementation Informatique et libertés.(5) L’ARJEL a pour missions de délivrer des agréments aux opérateurs de jeux, de mettre en place des moyens de régulation, d’information et de contrôle pour protéger les joueurs, prévenir de l’addiction au jeu et lutter contre la fraude et le blanchiment d’argent.(6) Ce partenariat a pour objectif d’assurer une meilleure protection des données des joueurs.

En pratique, la CNIL réalisera ses contrôles dans les locaux professionnels des opérateurs de jeux agréés, en présence d’un expert désigné par l’ARJEL. La CNIL aura ensuite la possibilité de faire usage de ses pouvoirs de sanction à l'encontre des opérateurs qui seraient en infraction avec la loi. 

3. Les sanctions encourues en cas de non conformité à la loi Informatique et Libertés

Les contrôles identifiant des manquements à la loi Informatique et Libertés peuvent entraîner l’application de sanctions de nature pénale : peine d’amende, voire même peine de prison pour les cas les plus graves. Des sanctions peuvent également être appliquées en cas d’entrave aux contrôles.

Sanctions en cas d'entrave à l'action de la CNIL - L'entrave à l'action de la CNIL est réalisée en dans les cas suivants : (i) opposition à l’exercice des missions de contrôle de la CNIL lorsque la visite a été autorisée par le juge ; (ii) refus de communiquer, dissimulation ou destruction des renseignements et documents utiles à la mission de contrôle et (iii) communication d'informations non conformes au contenu des enregistrements tel qu’il était au moment où la demande de la CNIL a été formulée ou présentation d'un contenu non directement accessible. Le responsable du traitement en infraction encourt une peine d’un an d’emprisonnement et 15.000€ d’amende.(7)

Sanctions en cas de manquements à la loi - (8) A l’issue du contrôle et lorsque des manquements à loi Informatique et Libertés sont relevés, la CNIL peut prononcer un avertissement ou mettre le responsable du traitement en demeure de faire cesser le manquement constaté dans un délai qu’elle fixe. Si le responsable du traitement ne se conforme pas à la mise en demeure, la CNIL peut prononcer une sanction pécuniaire d’un montant maximal de 150.000€ (allant jusqu’à 300.000€ en cas de récidive), une injonction de cesser le traitement ou un retrait de l’autorisation éventuellement accordée par la CNIL.(9)

La CNIL peut également rendre publiques les sanctions qu’elle prononce par leur publication sur son site.  Elle peut également ordonner leur insertion dans la presse, aux frais de la personne ou  de l’organisme sanctionné. Cette dernière sanction est, de toute évidence, susceptible de nuire à l’image de marque de l’entreprise concernée.

Les personnes sanctionnées ont la possibilité de former un recours devant le Conseil d'État contre les décisions de la CNIL.


Il résulte du dernier Rapport d’activité de la CNIL et de son Programme des contrôles 2011 que la CNIL n’a de cesse de prendre des mesures pour renforcer son pouvoir de contrôle de conformité à la loi. La Commission veille à “être présente sur l’ensemble du territoire afin de pouvoir vérifier la correcte application de la loi” par les responsables de traitement, “où qu’ils se trouvent”.(10) Dans ce contexte, il est recommandé aux cybercommerçants et opérateurs de jeux en ligne (mais également à tout exploitant de site web qui collecte des données à caractère personnel) de s’assurer de la conformité de leurs traitements des données des clients et utilisateurs à la loi et à leurs déclarations CNIL et, à défaut, de prendre toutes mesures nécessaires de mise en conformité.

******************************

(1) Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, modifiée notamment par la loi n°2004-801 du 6 août 2004 et Directive 95/46/CE du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.
(2) Les pouvoirs et modalités de contrôle de conformité par la CNIL sont décrits aux articles 11, 19, 21 et 44 de la loi Informatique et Libertés et aux articles 62 à 65 du décret n°2005-1309 du 20 octobre 2005 pris pour l'application de la loi Informatique et Libertés
(3) Protocole général de coopération signé le 6 janvier 2011 par la CNIL et la DGCCRF.
(4) Sur les conditions de licéité des traitements de données à caractère personnel, voir notamment les articles 6 à 10 de la loi Informatique et Libertés.
(5) Communiqué CNIL du 6 juillet 2011 : “La CNIL et l'ARJEL s'associent pour contrôler les opérateurs de jeux en ligne.
(6) L’ARJEL est une autorité administrative indépendante créée par la loi relative à l’ouverture à la concurrence et à la régulation du secteur des jeux d’argent et de hasard en ligne n°2010-476 du 12 mai 2010 (http://www.arjel.fr/-Role-et-missions-.html).
(7) Article 51 de la loi Informatique et Libertés.
(8) Les sanctions sont prévues aux articles 45 et s. de la loi Informatique et Libertés. Des sanctions spécifiques peuvent être prononcées en cas “d'urgence” et “d'atteinte aux droits et libertés”. Concernant les sanctions pécuniaires, la loi prévoit qu’en cas de récidive le montant de l’amende ne peut excéder 5% du chiffre d’affaires HT du dernier exercice clos de l’entreprise fautive, dans la limite de 300.000€.
(9) Articles 25 et s. de la loi Informatique et Libertés.
(10) 30e Rapport d’activité CNIL (2009), édition 2010 et Communiqué CNIL du 26 avril 2011 “Programme des contrôles 2011 : une ambition réaffirmée, des compétences élargies”.



Bénédicte DELEPORTE – Avocat
Betty SFEZ – Avocat

Juillet 2011